東芝グループは発電、上下水道、鉄道などのインフラ、電子デバイス、デジタルなど、社会を支える幅広い領域の製品(サービスやシステムを含む)を、20あまりの事業体を通して提供してきた。
世の中でサイバー攻撃が質・量ともに増加する中、メーカーには、顧客が求める機能と品質を備えたソリューションを所定の期日とコストで届けるだけではなく、出荷後の製品に発覚した脆弱性に適切に対応することが求められるようになった。ましてや、電力や上下水道、鉄道といった社会を支える重要インフラともなればなおさらだ。そうした取り組みは、日本政府の安全保障政策のほか、サイバーセキュリティ強化に向けた米国大統領令、あるいはヨーロッパのサイバーレジリエンス法(CRA)といったグローバルな法規制の動向からも必要とされている。
●事業部PSIRTと連携しながら製品の脆弱性管理を推進
そんな中、東芝のサイバーセキュリティセンターでは、他のセキュリティ施策と足並みをそろえつつ、脆弱性管理に関するルールやプロセスを整備し、東芝グループが提供する製品セキュリティにガバナンスを効かせる役割を、各事業のPSIRT担当と連携しながら担ってきた。
「かつてコンシューマー向けのデジタル製品にインターネット接続機能を搭載した際、早々にセキュリティインシデントが起こってしまったことがありました。この件や世の中の動向を鑑み、製品セキュリティへの推進が必要であると危機感をもち、その対応を進めてきました。今では、人材育成をはじめとする包括的な取り組みへと発展しています。」(鬼頭氏)東芝は毎年発行しているサイバーセキュリティ報告書にも示しているとおり、具体的なKPIを定め、達成度を確認しながら成熟度を高めてきた。
●増える脆弱性と判断指標、内製のままでは対応工数が課題に
ユーザー企業が行う脆弱性対応においては、情報処理推進機構(IPA)などが運用する公的なデータベースから脆弱性情報を収集し、利用している製品の構成情報と突き合わせて対応の要否を判断する。
一方、メーカーとして、自社の製品に存在する脆弱性をハンドリングする際には、こうしたパブリックな情報だけでなく、世界中のセキュリティリサーチャーらから脆弱性対応窓口に寄せられる非公開の脆弱性情報も取り扱い、適切に取り扱っていく必要がある。
こうした要件を満たすため、東芝では内部で脆弱性管理システムを独自に開発し、長年にわたって脆弱性をハンドリングしてきたが課題もあった。
「昨今、セキュリティに関する要求水準が高まり、脆弱性情報もどんどん増えてきました。それにつれて、脆弱性のリスクや優先順位を判断する指標も、以前から使われてきたCVSS(Common Vulnerability Scoring System)だけでなく、優先順位付けを支援するSSVC(Stakeholder-Specific Vulnerability Categorization)や、悪用可能性を推定するEPSS(Exploit Prediction Scoring System)といった新たなものが出てきました。このまま自社開発で続けていくと、そうした新たな指標に対応するための機能拡張やメンテナンスのコストが膨らむため、市販のツールを使う方が効率的ではないかと判断しました。」(鬼頭氏)
加えて、東芝グループが開発・提供する製品は非常に大量かつ多岐にわたっている。脆弱性ハンドリングのプロセスを全社展開していく中では、システム自体のスケールアップも求められていた。「脆弱性情報のマッチングを行うには、手作業で製品の構成情報をリスト化する必要がありました。また、この先、脆弱性情報の増加に伴って、処理量がさらに拡大していくことを考えると、各事業部に展開する上でも、既存のシステムでは現実的ではないだろうという声がありました。」(木村氏)
そもそもサイバーセキュリティセンターの役割は、東芝グループが提供する製品の脆弱性を管理し、適切な対応を支援することであり、脆弱性管理システムの開発ではない。「そちらにリソースを割かれるあまり、本来やりたいこと、やるべきことが進まない事態は避けたいと考えました。」(鬼頭氏)
●ビジョンが共有できたフューチャーとともに、PSIRT向け機能を拡張
こうした背景から東芝は、自社製品の脆弱性ハンドリングを効率よく行えるツール探しに取り組み始めた。
まず十数種類の脆弱性管理ツールを対象に情報を収集し、東芝が求める要求事項にどれだけ対応しているかを調べあげ、2~3個の有力候補に絞り込んだ。さらに、事業部PSIRTとの議論に基づいてまとめた「業務要件書」と照らし合わせ、最適なツールを検討していった。
だが、「元々ツールを自作して脆弱性ハンドリングのプロセスを運用してきたため、外部で作られた製品では我々のやり方にマッチしない部分がありました。特に当時は、外部から寄せられる非公開の脆弱性情報を取り扱えるような製品はほとんどありませんでした。」(木村氏)
そんな中、フューチャーが、FutureVulsを拡張し、自社製品に関わる脆弱性情報の一元管理機能を追加することに前向きな姿勢を示したことが、採用の大きな決め手になったという。
「事業部に『ツールに合わせてやり方を変えてください』と言うようでは、社内展開は難しいと考えていました。そこでフューチャーの皆さんに相談したところ、東芝の業務要件を実現できるようなPSIRT向け機能の必要性に共感いただき、一緒に作り上げていくことにしました。」(鬼頭氏)
両社は週に一回の定例ミーティングを重ねながら、FutureVulsのPSIRT向け機能の実装を進めていった。フューチャーは、通知やファイル添付機能を追加したいといった、東芝の様々な要望にきめ細かく対応していったほか、脆弱性情報の扱いに関するライセンス面でも踏み込んだ対応がなされたという。
「B2Bの製造業の場合、脆弱性の情報をお客様に開示し、どのように対応するかを検討するフェーズが必要になります。そこで、FutureVulsで収集したデータを、ライセンスを持つ我々だけでなくお客様にも提示して話し合いに利用できるように、ライセンスにも柔軟に見直しを加えていただきました。」(鬼頭氏)
こうして生まれたのが「FutureVuls PSIRTプラン」(FutureVuls PSIRT)だった。
「東芝社内で脆弱性管理に関する研究に取り組んでいる研究部門とも連携しながら、フューチャーとともに技術開発を進め、最終的には国内の学会で発表し、表彰を受ける(※1)に至りました。我々にとって使いやすいだけでなく、世の中の皆が利益を享受できる形へと進化させていこうというビジョンを共有できた会社であることが、採用の決め手の一つとなりました」(鬼頭氏)
●対話を通し、事業部の脆弱性対応支援という本来の役割を強化
東芝グループでは現在、リリースした製品の脆弱性管理に FutureVuls PSIRTを活用している。出荷後の製品に脆弱性が見つかった場合には、FutureVuls PSIRTで関連する情報を示し、顧客とともに脆弱性の優先順位付けを行い、最善な策を検討して実施している。
「インフラを支えるシステムは大規模なため、複数の脆弱性が浮上することもあります。それらの中でどれが本当に危ないのかを判断し、絞り込んで対応していくために、さまざまな脆弱性の指標のより適切な使い方を探りながら取り組んでいます。」(中溝氏)
運用していく中で、サーバ単位だけでなく、複数のサーバを束ねて1つの製品として管理できる「ロール機能」や、事業体ごとにアクセス権限をきめ細かく管理し、見せるべき情報と見せるべきではない情報を柔軟に制御できる点も便利だと感じている。
「インターフェイスが洗練されており、一目ですべての情報が確認できます。また検索やフィルタリング機能も豊富なため、使いたいデータがすぐに得られるようになり、わかりやすくなったとユーザーから言われています。」(中溝氏)
以前は手作業でリストを作成する必要があった製品構成情報の登録も、製品特性に合わせ、スキャナなど複数の手段を活用することで、少ない手間で行えるようになった。登録作業が負荷なく、かつ確実に行えるようになったことで、脆弱性マッチングの精度も高まってきているという。
何より、自分たちで開発する代わりに外部のツールを活用することで、製品の脆弱性管理に関して各事業部を支援するという本来の業務にいっそう集中できるようになったことも大きな効果だ。
「以前から、四半期ごとにPSIRT関係者を集めた説明会を通じて、脆弱性ハンドリングに関する施策や対応事例を共有してきましたが、どうしても一方通行で伝えるという形式になりがちでした。FutureVuls PSIRTの導入によってシステム開発・管理の工数が減り、しかも事業部側が求める情報を提供できるようになったことで、説明会以外の場も含めて「対話」できる環境へと変わりつつあります。」(木村氏)
実際に脆弱性対応に当たるメンバーとの間で「何が本質的な課題なのか」「どうすれば解決に近づけるか」といった事柄について話し合う部分に、より多くの時間を使えるようになった。結果として、組織ごとにより細かな対応ができるようになっている。「対話が増え、ツール自体も使いやすくなったこともあり、ステータス管理も過去に比べてさらにしっかり行えるようになってきました。」(木村氏)
●SBOM作成にも着手し、さらに強固なセキュリティを備えたもの作りを推進
東芝グループは重要インフラを支えるメーカーとして、システムなどに万が一の事態が生じ、電力供給をはじめとする社会を支えるサービスが停止するといった事態はあってはならないと考えている。それには、製品品質はもちろん、強固なセキュリティを保持した製品を提供し続けることが不可欠であり、そのために、引き続きさまざまな角度から対策を推進していく。同時に、FutureVulsの導入で効率化した出荷後の脆弱性管理だけでなく、開発段階においても、これまで進めてきた出荷前のセキュリティチェックやルール作りをさらに強化し、さらなるセキュリティ向上に努めていく方針だ。
近年、各国の製品セキュリティに関する法制度が厳格さを増している。このトレンドを踏まえ、脆弱性管理のプロセスを適切に回すだけでなく、監査もきちんと行える仕組み作りが必要だと考えており、FutureVuls PSIRTにも監査機能が搭載されることに期待している。
合わせてSBOMの作成・運用にも取り組んでいく。顧客にSBOMを提供するにはどういったプロセスが必要かを社内で話し合い、FutureVuls PSIRTに搭載されたSBOM管理機能の活用も視野に入れつつ検討を進めている段階だ。「SBOMはサプライチェーンセキュリティを強化する手段の一つだと考えています。業界全体で意識を高め、管理していくという目標に向け、フューチャーとも引き続き協力していければと考えています。」(鬼頭氏)
日本の製造業はグローバルで激しい競争にさらされている。「セキュリティだけで選んでいただくのは難しいかもしれませんが、『セキュリティを考えるとやっぱり東芝の製品がいいね』と言っていただけるようなものづくりができるよう、事業部をサポートしていきたいと考えています。」(鬼頭氏)
(話者紹介)
株式会社東芝 技術企画部 サイバーセキュリティセンター 製品セキュリティ推進室 エキスパート 鬼頭 利之 氏
株式会社東芝 技術企画部 サイバーセキュリティセンター 製品セキュリティ推進室 エキスパート 中溝 孝則 氏
株式会社東芝 技術企画部 サイバーセキュリティセンター 製品セキュリティ推進室 エキスパート 木村 浩二 氏
(FutureVuls紹介)
FutureVuls
https://vuls.biz
米国政府機関CISA推奨の「SSVC」による自動トリアージ機能搭載。リスクベースの脆弱性評価から対応指示までを全自動化したフューチャー株式会社が提供する脆弱性管理ソリューションです。
![多様な顧客案件の脆弱性管理成功事例:電通総研がSSVCで実現した自動リスク判断の秘訣[株式会社電通総研] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/46351.png)
![Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/43935.jpg)
