何であれグローバルで体制構築するのは難しい -オリンパス社のPSIRT-

オリンパス社の事例から

さて前回はだいぶ主題から逸れて、東大の藤本隆宏先生のセミナー聴講について記載しましたが、今回はサイバーセキュリティに話を戻して、事例を見てみたいと思います。参考にするのは下記オリンパス社の取り組みです。

CSMSを概観した際、最後に出てきたのがPSIRT(Product Security Incident Response Team)でしたね。社外へ出している製品やサービスに対してセキュリティインシデントが発生した際に対応するチーム、ということでした。詳細は下記。

グローバル体制構築の難しさ

2019年4月から推進しているということで、わたしのようなセキュリティ音痴からするとだいぶ先取りしていたんだな、と感心させられました。掲載されている絵がわかりやすいのでそのまま引用します。

本来は、ITセキュリティ、製品セキュリティ、データ保護という3つの活動領域を束ねて対応すべきだが、以前はこれらが別々の組織になっていたのが実情だった。

f:id:rugbyfp91:20210113145859j:plain

MONOist同記事より

PSIRTたるべく、社内を守るのではなくあくまで顧客を守るということで、上記の考え方をCustomer Centric Securityと名付けたとのこと。また記事内ではさらっと書かれていますが、わたし自身は次のグローバル体制に着目しています。

f:id:rugbyfp91:20210113150638j:plain

MONOist同記事より

この手の活動で最も難しく、また一度構築してしまった後に見直しをしずらいのが、グローバルマネジメントだと考えます。同社では日本、米州、欧州、アジアオセアニア、中国の5地域において、前図に描かれているセキュリティの3つの活動領域をそれぞれ担当する責任者を配置しているとのことです。このようなグローバル体制を構築する際に難しい点は、各地域にどこまで権限移譲しどこからは制約するのか、また各地域からどのようにフィードバックを受け他地域へ展開するのか、といったセンターとローカルとのバランスです。

同社の製品がどの程度グローバル共通なのか存じておりませんが、自動車のセキュリティを考える当ブログでは、基本的には共通性が高いモノをイメージします。権限をローカルに移譲し過ぎてしまうと、本来他地域にも展開したかったグローバル共通の対応ができず、各地域バラバラの対応となり、後日同じ製品・領域でインシデントが発生した際にも、中央からの統制はきかせられず、ローカルに任せっきりとなり、最悪の場合は各地域ごとにもぐらたたきが必要となります。逆にセンターでの管理が厳しすぎると、各地域での実際の対応までに時間がどうしてもかかってしまい、各地域から悲鳴が上がってきます。次に似たようなインシデントが起きても、最悪、報告が上がってこなくなります。

絵ではきれいに整然と書けるのですが、そこにいる人を意識すると、各社毎の風土なども考慮しながら、センターとローカルのバランスをどう取るか、初めに充分な議論をすべきと考えます。

オリンパス社のPSIRT

オリンパス社のPSIRTは大まかに4つの機能からなるとのこと。

  • 平時対応のための情報収集
  • 平時対応のための脆弱性ハンドリング
  • 万が一のインシデントが起きた際の有事対応に向けたハンドリング機能
  • これらの活動を可視化してPDCAサイクルを回す機能

f:id:rugbyfp91:20210113174243j:plain

MONOist同記事より

記事には書かれておりませんが、やはりこれら機能をグローバルで運用管理することは非常に難しいと思います。有事のインシデントハンドリングはともかく、平時の活動やPDCAを回すといった機能は、言うは易しですが、実際はね・・・という感じですね。

ただ同社はPSIRT活動のKPIを見える化しているようで、製品セキュリティに関わる品質保証部門に加えて、開発部門や工場部門などにも展開しているとのことです。下記図にもリージョンを軸とした分析軸もあるようなので、実際、グローバルでKPI管理ができているのかもしれません。情報を共有し品質の向上と同質化を図るのであれば、グローバルで同じ分析軸を用い、各地域を比較できるようにしておくことは効果的と考えます。同じ評価軸であれば勝手な言い分はできませんからね。

f:id:rugbyfp91:20210113175002j:plain

MONOist同記事より

さて今回は個別事例としてオリンパス社のPSIRTについて見てきました。同様の体制が自動車メーカー、自動車部品メーカーでも必要であることを考えると、取り組みは待った無しであることがひしひしと実感できますね。