メモ

規格や法令を基準に、想定された範囲での設計・対応では、日々進化するサイバー攻撃への対応は難しい。そこで、製品の開発ライフサイクルを通じて、必要な安全管理、サポート、インシデント対応を実施する組織として「PSIRT（Product Security Incident Response Team）」が注目されている。

PSIRTとは何か？ IoT時代のセキュリティ組織、先行事例にマイクロソフトなど ｜ビジネス+IT

急速に広がるIoT機器は、すでにサイバー攻撃の恒常的な標的となり、社会問題化している。IoTに関連した初期の製品は、スタンドアロン製品に、通信ハードウェア、ネットワークソケットとプロトコルスタックを実装しただけのものが多く、それがインターネットにじか付けされていたりする。設計と運用の両面でセキュリティ対策がなされていない状態だ。
　TELNETやFTPのポートを閉じていないもの、機器へのログインパスワードが固定のもの、LAN内利用を想定して必要なセキュリティ機能を実装していないものは、確実にハッキングされる。このような状況は、新製品では改善されつつあるが、セキュリティ機能を実装し、正しい設定をした製品でも、ファイアウォールの設定やセグメントの設計が不十分で、インターネットからアクセス可能になっていることもある。

PSIRTとは何か？ IoT時代のセキュリティ組織、先行事例にマイクロソフトなど ｜ビジネス+IT