PSIRT構築コンサルティング・アトラシアン（Atlassian）社製品 Jiraの導入事例

Astemo株式会社様

背景

自動車業界に迫るセキュリティ脅威に危機感

品質統括本部 システム品質保証統括部 部長
中野 陽介 氏

Astemo株式会社は、持続可能な社会と人々の豊かな生活の実現に貢献するために歩みを進め、モビリティの進化に対応した競争力のある先進技術、製品を提供するグローバルメガサプライヤーとしての地位を築いてきました。

今、モビリティ業界はかつてない変革期を迎えています。自動運転技術の進化や、コネクテッドカーの普及などを背景に、ソフトウェアを通じて自動車を制御する領域が拡大しました。自動車はソフトウェアに重きをおくSDV時代へいよいよ本格的に移行しつつあります。こうした変化の中で、これまで車内の閉じたネットワーク上で完結していた各機能が、外部ネットワークと接続するようになり、自動車がセキュリティの脅威にさらされるリスクは一段と高まっています。「セキュリティリスクへの対応は、当社の競争力を左右する経営課題であり、品質統括本部としても重要な戦略の一つに位置付けています」と中野氏。

同社は後に自動車サイバーセキュリティ法規UN-R155 / UN-R156（WP.29^＊1）や、自動車向けISO^＊2/SAE^＊3 21434などの国際規格が制定される流れを見据え、製品セキュリティインシデント対応組織（PSIRT^＊4）の構築が必要と判断。2016年にプロジェクトを発足し、PSIRT体制構築に向けた検討を開始しました。「当初は、脆弱性への対応はどうあるべきかといった方針に関する議論が中心でしたが、自動車分野で国際的な法規制化の動きが本格化し、継続的な脆弱性監視や迅速な対応などより高度なセキュリティ運用が求められるようになるにつれ、セキュリティ運用の自動化に向けて正式な体制を構築し、チーム全体で、いざという時の対応能力を高めようという動きになっていきました」と中野氏は経緯を語ります。

＊1　WP.29：World Forum for Harmonization of Vehicle Regulations
＊2　ISO：International Organization for Standardization
＊3　SAE：Society of Automotive Engineers
＊4　PSIRT：Product Security Incident Response Team

取り組み

豊富な実績と長期的な運用支援が決め手に

当時PSIRTは、自動車業界においてはあまり馴染みのない領域でした。個人のセキュリティ意識や技術力にもばらつきがあり、こうした状態で進めても脆弱性やインシデントのハンドリングが属人化するのではないかと不安もありました。そもそも何から手をつければよいかわからなかったという同社は、同じ日立グループとしてもともと取引のあった日立ソリューションズに相談しました。

「日立ソリューションズは、PSIRTの豊富な構築実績はもちろんのこと、自動車業界における法規制対応や開発業務なども幅広く手がけられていて安心感がありました。また、構築フェーズにとどまらず、成熟度レベルの向上に向けて運用改善のプロセスに、長期的に寄り添っていただける点が最終的な決め手になりました」（中野氏）

効果

セキュリティ活動の基礎固めに成功

品質統括本部 システム品質保証統括部 IRT課 課長
大友 昇 氏

品質統括本部 システム品質保証統括部 IRT課
久保田 輝 氏

こうして同社は、日立ソリューションズが提供する「PSIRT構築コンサルティング」を採用し、2016年から2020年にかけて、計画策定フェーズ、構築・運用フェーズ、さらには運用強化フェーズへと歩みを進めてきました。途中、脆弱性の特定や評価、修正といった脆弱性管理のプロセスにかかる手間と時間を削減するべく、問い合わせ管理や、チケット管理、情報共有など、PSIRTの活動を支援するITツールとして「Jira」も導入。製品選定や既存システムからの移行を日立ソリューションズが支援し、インシデント・脆弱性管理の効率化を実現しています。運用の定着化が一段落した現在は、日立ソリューションズの提案を受けながら、継続的な改善に取り組んでいるところです。

プロジェクトの初期段階では、従業員のセキュリティ意識の醸成や、役割の明確化と責任の割り当てなど、初めて取り組むことへの戸惑いも見られました。こうした場面では、日立ソリューションズがワーキンググループの開催を通じて、事例の共有や策定したルールの展開を支援。関係部門を巻き込み、合意形成を図りながら理解を促していきました。「とにかくセキュリティの知見が豊富で大変心強く、要望に対しても気軽に相談に乗ってくれました」と久保田氏。

また大友氏は、日立ソリューションズの貢献について、「多様な業界における知見やノウハウをお持ちで、PSIRTの活動を高度化していくうえで重要なヒントを得ています。セキュリティ活動は基礎がないところでは動くものも動きません。体制やルール、考え方など、基礎となる部分を作っていただいたおかげで、なんとか運用が回せるようになりました。ステークホルダーに対して明確に説明できる体制が整ったのも大きな成果です」と評価します。PSIRTの構築を通じて、セキュリティ確保に必要なプロセスを確立し、人に依存することなく対応の品質を高めていくための土台が完成したと言えます。

展望

選ばれる企業をめざして運用の成熟度を向上

品質統括本部 システム品質保証統括部 IRT課
城崎 紀行 氏

今後のPSIRTの活動については、「担当者の入れ替えがあるなかで、いかに技術を伝承していくかが課題です。担当者の退職などによって活動が後退するリスクを踏まえると、セキュリティ文化の醸成や意識の高度化を含め、組織として長期的な視点でフォローし続けていく必要があります」と中野氏が語るように、引き続き人財の育成にフォーカスするとともに、PSIRT活動のさらなる効率化や自動化を検討し、人海戦術での対応を減らしていく考えです。

また、PSIRTの成熟度を高めるために、「自社のレベルがどの程度のものなのか、自動車業界という枠にとらわれず、より広い視点で客観的に評価できるようにしたいと考えています。そうした評価の仕組みを作り、客観性をもって自社が対応できていること、できていないことを見極めることによって、必要な改善に真摯に取り組んでいきます」と大友氏。城崎氏も、「外部環境がめまぐるしく変化するなかで、日立ソリューションズには、よりよい改善のあり方を実現するための支援に期待しています」と語ります。

PSIRTの活動の強化は、製品の品質、信頼性の向上に直結し、Astemoブランドの一層の強化につながっていきます。SDV時代に選ばれる企業をめざして、同社における製品のセキュリティ対策は今もなお進化し続けています。