Security Days Spring 2023セミナー開催報告レポート

製品セキュリティを取り巻く法規制と果たすべき説明責任

製品セキュリティが他のセキュリティと大きく異なる点は守るべき対象が自社ではなく、ユーザーをはじめとしたステークホルダーだということである。製品セキュリティにおいてはステークホルダーを守ることが最重要であり、これに関しては法的な義務もある。
製品セキュリティを取り巻く法規制には様々なものがあるが、もっとも基本となる法規制は製造物責任法（以下、PL法）である。PL法は世界各国で施行され、不安全な製品やシステムの販売は禁止されている。PL法に反し、ユーザーに生命や身体、財産に危害を与えれば、製造業者や販売業者に巨額の損害賠償責任が科される。近年DXを推進する中で、あらゆる業界でIoTシステムが利用されているが、これはPL法上の製品であり、開発、構築する業者だけでなく、利用しサービスを展開する業者にも安全配慮義務があることに注意しなければならない。
 
なお、PL法は立証責任を製造業者や販売業者に課しているため、セキュリティ対策においては厳格な説明責任が求められる。しかも製品開発だけでなく、製造やシステム構築におけるセキュリティ対策の説明責任も求められる。これも製品セキュリティが他のセキュリティと異なる点と言える。
説明責任を果たすには、製品や製造・システム構築におけるセキュリティリスクを網羅的に洗い出し、セキュリティ対策の妥当性を証明しなければならない。そのためには、セキュリティ対策を構成部品に分解し、部品毎に安全性を検証する必要がある。この構成部品を可視化した表がセキュアBOM（部品表）である。また、セキュリティ対策の部品は、ソフトウェア部品やハードウェア部品だけでなく、工場における人的・物理なセキュリティ対策といったプロセス部品も含まれる。

図表1に示すセキュアBOMに記載の各部品で、セキュリティアルゴリズムの危殆化がなく、また脆弱性がなく、またプロセスが正しく実施されていれば、その部品で構成されるセキュリティ対策には妥当性があることを証明できる。このように、セキュアBOMを作成し管理することは、網羅性、妥当性を明らかにすることであり、PL法に準拠した証となる。

セキュアBOMを作成、管理せずに問題が発生すれば、ユーザーやステークホルダーに大きな影響を与えかねない。また訴訟において安全性を考慮したと主張できないので、自社が存続できなくなる事態へと発展する可能性がある。

図表1

製品セキュリティプロセスとPSIRTが実施すべきSBOM管理

製品販売前の段階では、セキュアBOMを作成し、実際に部品が実装されているかテストし、プロセス監査を正しく行うことができれば対策は万全といえるだろう。

しかしPL法は販売後10年間の安全保障を求めている。経年劣化などいわゆるセーフティの分野であれば確率計算できるため、設計の段階で10年間の安全を織り込むことが可能で、日本であれば1995年の施行以来、長らくこのような対策を続けられてきた。このため従来の製品であれば、販売までの対策が完了すればPL法を十分満たすことができる状態だった。

では今日におけるセキュリティの分野ではどうだろうか。販売までに十分な対策を行っていても製品販売後にハッカーが新たな攻撃手法を開発し攻撃してくる可能性がある。また、日々新たな脆弱性が発見されているため、妥当性が突然失われることがある。セーフティと異なりセキュリティは突然破られる可能性があり、あらゆるものが繋がるコネクティッド社会ではこうした可能性がますます高まっている。

DXの時代になり、セーフティよりもセキュリティの脅威がはるかに高まり、これまでにない対策が必要になったことでPSIRT（Product Security Incident Response Team）の活動が求められるようになった。PSIRTはセキュリティリスクが日々高まる中で、販売後10年間、製品を常に監視し続ける必要がある。つまりセキュアBOMを管理し、先に挙げた危殆化、脆弱性、プロセスの監視を行うのである。監視において部品に問題を発見すれば、ユーザーが少なくとも10年は安全に使い続けられるように部品を修正する。PSIRTが機能することはPL法を満たし、製品およびユーザーをはじめとするステークホルダー、自社を守ることにつながっている。

図表２

PSIRTはインシデント対応より、インシデントを起こさないことが最も重要であり、それを担う組織である。PSIRTをCSIRTの下位組織として配置するケースも見られるが、それは間違いであり、製品を安全に利用できることを保証し、ステークホルダーを守る役割を担っているため、品質保証に属する組織といえる。PSIRTに含まれるIncident Responseという言葉から有事の際に対応する組織というイメージを持っている方もいるかもしれないが、もちろん有事対応はするものの、メインは平時の活動であり、危険を未然に防止する活動こそがPSIRTの真髄といえる。
PSIRTはSBOMを管理することが主ではあるが、単なる管理という小さな視点ではなくその位置づけやDXの真髄に関わる役割を担っているということを認識することが重要である。

ソフトウェアBOMの調達要件・規制・基準に関する動き

最近、欧米においてソフトウェアBOM作成が規制化される見込みとなり、多くの企業でソフトウェアBOMの作成が始まっている。しかし、少なくともIoT製品・システムを開発、構築、利用する業者にとって、ソフトウェアBOM作成はPL法遵守で実施するものであり、このような規制を理由に作成するものではない。この規制はPL法非対象のハードが一切絡まないソフトウェア製品をターゲットにしたものと捉えるべきものである。PL法対象であるIoT製品・システムを開発、構築、利用する業者はこれまでに述べたように、ソフトウェア部品にハードウェア部品やプロセス部品を加えたセキュアBOMを作成し、管理しなければならない。

また欧州サイバーレジリエンス法に見られるように、BOM作成、管理に必要な図表2のプロセスを実現してないこと自体を違反とする動きもあるため、セキュアBOM作成前に、組織やプロセス、ルールの見直しが必要となっている。

セキュアBOM運営の課題とデロイトサービスの紹介

セキュアBOMの必要性は理解できても実際に運用を行う中での課題は多い。危殆化、脆弱性、製造プロセスの監視はそれぞれで高い専門性が求められ、日々更新される情報のチェックや定期的な監査マネージメントを運用することは簡単なことではない。デロイト トーマツではコンサルティングサービスに加えてセキュアBOM管理ツールをリリースし、危殆化、脆弱性情報のチェック、発見、対策要否の判断はもちろん、デロイト トーマツの専門家がその影響について助言を行っている。また難易度が高い製品セキュリティにおけるリスク分析のアドバイザリーやグローバル ネットワークの強みを生かした世界中の情報をスピーディーに提供することが可能である。デロイト トーマツはこうしたサービスと合わせて、やみくもな対策や方法論ばかりではなく経営課題やリスクを可視化した上であるべき姿に導くことが可能である。