オリンパスは、セキュリティに関わる3つの活動領域の中でも、製品セキュリティについては設計開発、販売、運用、保守、廃棄までの製品ライフサイクルをベースにした「Security by Design」のアプローチをとっていた。しかし、IoTやAI、クラウドの活用が広がり、サイバー攻撃が高度化する中でこのアプローチに限界があった。そこで新体制では、ビジネス全体を見てアプローチする「Security for Business」にコンセプトを変更している。
このSecurity for Businessを確立する中で、重要な役割を果たすのがPSIRTだ。北村氏は「これまで事業部の品質管理部門が担ってきた製品セキュリティと連携しながら、CSIRTをはじめとする他部門や、外部のセキュリティ関連機関・団体との連携を行うハブの機能がPSIRTになる」と説明する。オリンパスのPSIRTは大まかに分けて4つの機能を構築した。まず、平時対応のための情報収集と脆弱性ハンドリングを行う機能があり、万が一のインシデントが起きた際の有事対応に向けたハンドリング機能がある。そして、これらの活動を可視化してPDCAサイクルを回す機能から成る。
可視化のためのKPI(重要業績評価指標)としては、平時は脆弱性の数や変更度、情報入手してから対応完了するまでのプロセス対応期間、有事はインシデント影響度の大きさやクローズするまでの期間などがあるという。また、これらのKPIや外部から収集した情報を基にしたPSIRT活動は分かりやすい形で可視化した上で、製品セキュリティに関わる品質保証部門に加えて、開発部門や工場部門などにも展開している。
北村氏は「PSIRTを構築する中でいろいろと学ぶことも多かった。特に、社内の部署間や、社外の専門家との連携は大切だ。例えば社内であれば、今まで地域任せ部門任せだったところを、横連携で新組織の下で一つになってやれるようになった。これによって、管理の広さ、深さ、早さがアップした。全体像がつかめなかったり、どこかで滞っていたりするような事態にも対応しやすくなった」と強調する。
なお、今回のオリンパスのPSIRT構築では日立のアドバイスが大いに役立ったという。「当社の主力製品である内視鏡は日本国内で開発しているので、PSIRTの構築も日本国内でしっかりと進めたいと考えていた。医療機器や社会インフラを事業として手掛けるとともに、SIRTに関する取り組みで10年以上の知見があることを考慮し、PSIRT構築のアドバイザーとして日立を選んだ」(北村氏)という。
また、日立をアドバイザーに選んだ理由の一つとして、同社で2017年5月に発生したランサムウェア「WannaCry(ワナクライ)」による被害についてオープンに知らせるとともに「その失敗を糧にしている」(北村氏)ことを挙げた。同氏は「まず大前提として、セキュリティのサイバーリスクは完全にゼロにはできない。ゼロにできないからこそ、平時だけでなく有事の備えが必要になる。そういった有事の対応はきれいごとだけでは済まされないが、日立にはその経験があり、リスクを小さくするとともに有事に素早く対応するための助言が得られる。セキュリティの大規模ユーザーである日立自身の社内で起きているセキュリティ関連の課題について定期的に情報共有してもらえることも有意義だ」と述べている。
オリンパスにおけるPSIRTを中心とした新たなセキュリティ組織は、立ち上げから約1年半が経過した段階であり、まだ端緒についたところだ。今後も、継続して体制強化を進めるとともに人材育成や基盤整備にも取り組むとしている。また、医療機器を中心に進めてきたPSIRTなどの体制についても科学機器などの他事業に広げていく方針だ。
Copyright © ITmedia, Inc. All Rights Reserved.