【レポート】SaaSベンダーの成長を支えるセキュリティ対策 ～成長途上のベンダーも導入すべきPSIRTの考え方～　＃ Security Days Spring 2023

どうもさいちゃんです。

この記事は2023年3月7日から10日に行われたSecurity Days Spring 2023 Tokyoで発表された「SaaSベンダーの成長を支えるセキュリティ対策 ～成長途上のベンダーも導入すべきPSIRTの考え方～」というセッションを聞いてそこから特に気になった部分や個人的に面白かった部分について自分なりに深堀し、まとめたブログになります。 セッションすべての内容を網羅的にまとめたものではありませんのでご了承ください。

セッション概要

日本でもSaaSの利用が急速に伸び、あらゆる業務シーンでSaaSが使われるようになってきました。一方、サービス提供ベンダーの多くは成長途上で、セキュリティ対策やインシデント発生時の体制に課題を抱える企業も少なくありません。

このセッションでは、成長途上のSaaSベンダーが見逃しがちなセキュリティ対策上の盲点について触れ、体系的な脆弱性管理やインシデント対応、製品品質の向上を行ための組織「PSIRT」の役割と整備について、実際のPSIRT構築経験を元にお話します。

スピーカー

（一社）ソフトウェア協会 / Software ISAC （株）コラボスタイル 取締役 CIO　波多野 謙介 氏

レポート

PSIRTとは

PSIRTは「Product Security Incident Response Team」の略で自社のプロダクト・サービスにおけるインシデント発生時の対応やセキュリティレベルの向上を担うチームうのことです。 似たような言葉にCSIRTがありますが、PSIRTが自社の製品やサービスのセキュリティを担当するチームなのに対し、CSIRTは組織自体のネットワークや情報システムにおけるセキュリティレベルの向上を担うチームです。　

このPSIRTについてはPSIRTのフレームワークというものが用意されており、この中にPSIRTが担う役割や必要な機能資産についてまとめられています。

ここで本セッションで大事にする事について波多野氏から紹介がありました。

• ここで行われるPSIRTについての説明は「PSIRTのフレームワーク」をもとにしているが、網羅性を重視したものではない
• 実際に波多野氏がPSIRT構築を進めてみたうえで、 必要に感じた部分を中心に説明
• 成長途上のSaaSベンダーの一助になるような情報であること

PSIRTの重要性と成長途上のSaaSベンダーがどのようにPSIRTを構築していくかについて確認していきます。

成長途上のSaaSベンダーはPSIRTとどのように向き合うのか

成長途上の企業にとってするべきことは山積みです。「成長途上なのにPSIRT？CSIRTじゃダメなの？そこまで手が回らないよ。」と考えている企業も多いのが現実ではないでしょうか。

波多野氏は企業にとってPSIRT構築が必要になる時期についてこう語っています。

• メンバーがなかなか増えない時期はセキュリティ意識やポリシーの共有は比較的簡単に行うことが出来る。
• 何か困りごとがあっても技量の高いメンバー数人の力で何とかなってしまうような場面も多い
• しかし組織に人が増えてくるとこういったことが難しくなってくる
• そのため組織に人が増えてきたタイミングでこそPSIRT構築が必要になってくる
• 組織が小さければCSIRTでもいいが、PSIRTの構築をすることによってプロダクトセキュリティを重視していることが社内外にアピールできるというメリットもある。

成長途上のSaaSベンダーにとってプロダクトは価値の土台となります。その土台を安定させるのがPSIRTなのです。 こうした動機を持ちPSIRTを進めていくためには攻めのPSIRTを進めていく必要があります。セキュリティをホラーストーリとして考えるのではなく、PSIRT構築によって会社にもたらされるメリットについて考えることが重要です。

例えば、ブランド価値や信頼性が高まる。それによって安定収入の基盤となる。といったようなメリットがあります。こうしたメリットにフォーカスした考え方をしていくことでよりPSIRT構築が進みやすくなるのです。

PSIRTを始めるには

ここまでPSIRTの重要性について確認してきましたが、PSIRT構築を始めようとしても何から始めて良いのかわからないという方も多いのではないでしょうか。実際上記でもご紹介したPSIRTのフレームワークにはPSIRTの細かい役割や考え方についての記述があります。しかしPSIRTに限ったことではありませんが、ドキュメントを読み込んで理解しても、なかなかすぐに実行に移すのは難しいですよね。　

そこで本セッションではざっくりとPSIRTが提供すべき6つのサービスを紹介しています。

1. ステークホルダーエコシステムマネジメント
2. 脆弱性の発見
3. 脆弱性のトリアージと分析
4. 対策
5. 脆弱性の開示
6. トレーニングと教育

今回はこの中で私が特に気になった３つを紹介していきたいと思います。

1.ステークホルダーエコシステムマネジメント

ステークホルダーエコシステムマネジメントとは社内外の関係者（ステークホルダー）とコミュニケーションを取る事を指しています。 ここでいうステークホルダーには経営層や販売代理店、OEM先、新たな脆弱性を発見したユーザー等の様々な人やコミュニティーが含まれます。

例えば経営層やビジネスリーダーと情報を共有し協力することはビジネス上の意思決定に非常に役立ちます。 そのため、セキュリティを単なるコストとして節寧するのではなく、セキュリティ向上が売り上げに寄与するという観点から経営層にアピールをする必要があります。

• エンドユーザー、パートナーへのセキュリティ意識のアピールになる
• しっかりセキュリティについて考えているのに社外にアピールできないのはもったいない
• 製品の信頼性がブランド価値向上につながる 上記のような観点から経営層にアピールしてみるのも、PSIRTに理解を示してもらうための一つの手段になるかもしれません。

広報や法務部、コーポレートコミュニケーションとの交流はインシデント発生時に効果的に連携を行うために重農です。また、開発者との連携もインシデント発生時の迅速な修復には不可欠です。

上記に挙げたのは社内のステークホルダーのほんの一例ですが、PSIRTがこれらのステークホルダーと円滑なコミュニケーションを取っておくことでインシデントが発生した際に迅速に対処できることにつながります。

ステークホルダーは社内だけではありません。 OEM先や販売代理店などとの間には契約時にインシデント発生時の対応について求められることもあります。販売契約はセールス系のチームに任せがちにではありますが、PSIRTが契約内容についてしっかりと把握、理解しておくと適切な対応をスムーズに行うことが出来ます。

製品の脆弱性を発見した第三者とのコミュニケーションも必要です。こちらに関しては脆弱性の発見にも関わるのでそちらで詳しく説明していきます。

2.脆弱性の発見

本セッション内では脆弱性の発見の項目に関しては窓口の整備という観点からの説明がなされていて興味深かったです。

こちらは前項のステークホルダーエコシステムマネジメントにもかかわってくるのですが、例えば第三者が製品の脆弱性を発見したとしましょう。脆弱性を発見したという問い合わせは知識のないメンバーが受けると、不審な問い合わせとして扱われてしまう可能性があります。 最初は善意で脆弱性の発見を報告していた発見者がメンバーの対応によっては悪意のあるアクションをとるように変化してしまうという可能性もあるのです。こうしたことを防ぐためにも、しっかりと窓口（脆弱性報告用のWEBフォームの作成など）を整備し、受付のルールを決めたうえで脆弱性報告の可能性のある問い合わせはPSIRTで判断することも必要です。

「PSIRTのフレームワーク」内では報告されない脆弱性を特定することについての記載もあります。脆弱性情報は技術ブログやソーシャルメディア、カンファレンスなど非公式のチャネルから開示されるといった場合を想定する必要があります。 そのため様々な角度から脆弱性に関しての情報をチェックしておく、常にアンテナを張っておく必要があります。

3.脆弱性情報のトリアージ

こちらは脆弱性が発見された際に脅威レベルや被害想定から優先順位を付けることを意味しています。脆弱性診断にはCVSS（共通脆弱性評価字ステム）で行っている企業も多いかと思います。CVSSは脆弱性の特性を評価しその深刻度に応じてスコア値を算出する手法です。汎用的な評価手法なので、脆弱性に対して会話をする際の共通指標として話がしやすいという効果があります。

しかし、実際の現場で「対応スピードを重要視したい」といった場合には、まずは対策を進め関係者との情報共有の一環という位置づけでCVSSスコアを付ける、といったように臨機応変に対応する必要があるでしょう。

「PSIRTのフレームワーク」では製品セキュリティの脆弱性の定義を文書化し関係者全員に共有しておくことや、脆弱性の認定基準を経験や業界のベストプラクティス、ステークホルダーのフィードバックに基づいて継続的に改善していくことが推奨されています。

もちろん脆弱性の調査も定期的に行われることが理想ですが、調査基準についても定期的な見直しや改善していくことがベストプラクティスになっているのです。

運用上の課題

体制変更

成長途中の企業では特に体制変更が発生しやすい傾向にあります。体制変更時には運用ルールの引継ぎだけでなく、PSIRTの意義と意識を引き継ぐことも重要です。特にこの意識の醸成は簡単なものではないためそれなりに時間がかかります。 確かに成長途上の企業の中で高いセキュリティ意識や責任感、PSIRTの役割についての理解の深いメンバーは限られているため、リソースの配分が難しい背景があると思います。

しかし、体制変更は見直しのいい機会でもあると、波多野氏は語ります。PSIRTのミッションを改めて問い直し役割りを見つめてみることも必要です。

訓練の実施

本セッション内では、インシデント発生を想定したシュミレーショ訓練をすることを進めています。こうした訓練はハードルが高いように感じますが、大きなメリットがあります。

• 机上の対応策が本当に有効なのかどうか洗い出すことが出来る
• 参加者がインシデント発生を具体的にイメージできるため自分事として日々のセキュリティ運用を考えられるようになる

こうした訓練を定期的に実施し、インシデント対応フローを継続的に改善していくことも重要です。

最後に

SaaSベンダー側のセキュリティという視点でのセッションはとても面白かったので今回は少し深堀をしてブログにしてみました。PSIRTの必要性や価値だけでなく、PSIRT構築をどのように進めるべきか、経営層にPSIRTの重要性を理化してもらうための伝え方など幅広く説明されていてとても勉強になりました。