さて前回はオリンパス社におけるPSIRT構築事例を見てきました。とりわけ、グローバルでの体制構築の難しさについて言及してみました。
他にも何か調査に値する事例は無いかなあと探していたところですが、やはりまだまだ実績みたいなものはなかなか無いようで、今回はWP29で検討されているCSMSに関する民間サービスを見ていく中で、より一層の理解を深めてみたいと思います。尚、CSMSの概観については下記から順に目を通していただければと思います。
そんなわけで今回取り上げるのは、KPMG社の「車両サイバーセキュリティ管理システム(CSMS)構築支援サービス」です。
KPMG社さんはいわゆる総合コンサルティングファームという業態かと思います。最近はコンサルティングと言っても、昔のように経営改革の施策を提言する!!みたいなことよりも、DXみたいな名目でITソリューションを提供するのが主だった業務だと聞いてますが、実態はどうなんでしょうか。
さて上記図は「KPMGおよびESCRYPTのW.29対応フレームワーク」という彼らの提案するCSMS/SUMS構築に向けたアプローチとなっているようです。ESCRYPT社というドイツの会社と提携をしているようです。図の1つ1つについて簡単に内容の説明があります。
| 項番 | 項目 | 内容 |
|---|---|---|
| 1-1 | プロジェクトマネジメント | プロジェクトゴール、スコープ、マイルストン、作業内容、作業者、作成物に対して、プロジェクトの進捗や課題を管理 |
| 2-1 | 現状把握 | 現状のISMS、QMS、機能安全における組織やプロセスを把握 |
| 2-2 | 導入計画作成 | 現状とWP.29のCSMS&SUMSとのギャップを分析し、CSMS&SUMSの導入計画を作成 |
| 3-1 | サイバーセキュリティガバナンス構築 | 経営のコミットメント、方針・標準・手順の作成・導入、組織とプロセスの定義・導入 |
| 3-2 | リスク管理プロセス構築 | CSMSが要求するリスク管理プロセスの構築 |
| 3-3 | 人材育成 | 十分なスキルの人員の配置と、CSMS&SUMSを運用するための教育ツールの導入 |
| 3-4 | サプライヤとの連携 | CSMS&SUMS運用に係るサプライヤとその機能と責任範囲の整理および連携 |
| 4-1 | モニタリング | 自社やサプライヤへの監査と分析・評価 |
| 4-2 | 継続改善 | CSMS&SUMS適合の妥当性や効率性の検証と、不適合となりうる事項への改善措置 |
当ブログを順に追っていただいている方はおわかりかと思いますが、これまでCSMSについてやさーしく記載してきた内容を思い出すと、KPMG社さんがやりたいアプローチが良くわかりますね。1や2はともかくとして3についてはCS Regulation 7.2.2.2節の内容に合致する部分が多いですね。個人的には3-1できちんとガバナンスという言葉を利用いただいているところに共感します。単にPSIRT体制を構築すれば良いわけではない、という話は散々やってきましたからね。また3-4でサプライヤとの責任範囲の整理について記述がある点も評価できます。ここが難しく、また逆に考えるとサプライヤにとってチャンスにもなる、という記載を過去記事でしましたね。下記ご参照。
ただし評価できない点もあります。SUMSをしれっとCSMS横並びで記載している点ですね。大きな考え方は近しいと思いますし、組織のあり方のような部分は実際同じもので運用していけると考えますが、当ブログでも記載したRXSWIN(型式認証を受けた車載システムにインストールされたソフトウェアのバージョン情報を集約し管理する概念)などはCSMSの枠組みで検討できるものではありませんね。詳細は下記をご参照ください。
ただ、完璧ではないものの、現在世の中にこの手のサービスが目立って提供されているようには見えませんので、とりあえず取っ掛かりたい企業にとっては相談してみるのも選択肢だろうとは思います。
