IoT、AI、RPAなどの台頭により、セキュリティのコントロールポイントと対応策に変化が生じている。企業ではビジネス全体を視野に入れたセキュリティ対策が求められており、事業部の体制としてPSIRTが注目を集めている。本稿ではIT部門が担うべきビジネスにおけるセキュリティ対応の役割とPSIRT活用に向けたアプローチについて述べる。
これまでインターネットの世界で語られることの多かったセキュリティ(security)は、いまや現実社会のプロダクトやサービスにおいても重要な概念となっている。プロダクトやサービスの提供企業では、これまでも信頼性(reliability)や安全性(safety)を重視し、経験に基づく予防(Critical incident Technique)を講じてきた。しかし、昨今の急速なクラウドやIoTの普及から、ネットワークを経由したサイバー攻撃はこうしたプロダクトやサービスにも行き及び、予期せぬインシデントの増加を招いている。信頼性、安全性、およびセキュリティを網羅的に管理することは、今日の企業の責務と言ってよいだろう。
一方で、その推進にあたっては各々の管理項目の要件が互いにトレードオフとならないよう留意が求められる。例えば、IAEA(国際原子力機関)は安全基準において、「セキュリティ対策が安全を損なわないように、また安全対策がセキュリティを損なわないように」と述べている。さまざまなインシデントに対処するには、信頼性、安全性、セキュリティに関わる対策をバランスよく講じなければならない。それには、各対策によって何がどのように保護されるのかを把握しておきたい。