PSIRTを支援するSBOM管理ソリューション

開発、製造、PSIRTが連携して製造物責任を果たす取り組みを

メーカーは製造物責任（PL法）を果たすためにセーフティに加えてセキュリティ対策が必須となっており、セーフティと同様に以下の説明責任が求められています。

① 開発・設計の責任　～部品表で証明～

－攻撃を受けても製品が安全に使えることを証明

② 製造の責任　～ガイドラインで証明～

－攻撃を受けても正しく製造できていることを証明

③ 指示（告知）の責任

さらにPL法は、販売後も10年間は安全であることを求めていますが、セキュリティではセーフティと違って脆弱性や危殆化が課題となり得るため、上記①、②に対して継続的に以下の活動が求められます。


■ 部品の脆弱性や危殆化の有無をチェックして、必要に応じて対策を実施

■ ガイドラインどおりに実施されていることを確認

このように、脆弱性や危殆化の監視およびプロセス監査を継続的に実施することがPSIRTの活動です。

近年、ソフトウェアを部品として管理するソフトウェアBOMの法制化が各国で進んでいますが、IoT製品ではソフトウェアBOMに加えてハードウェア対策やプロセス監査情報を含めて管理しなければ、製造物責任を果たすことができません。
このように、製造物責任の要求事項に合わせて作成する部品表のことをセキュアBOMと呼称します。

セキュアBOM管理における課題

セキュアBOMを継続的に管理するには、主に4つの課題があります。 この4つの課題を効果的に解決するために、デロイト トーマツではSBOM管理ソリューションであるCyber Regulation Platform(PSIRTモジュール)を提供しています。

SBOM管理ソリューションの特徴

・ ソフトウェアBOMに加え、PL法に合わせてハードウェア対策やプロセス監査情報をセキュアBOMとして管理します

・デロイト トーマツの専門家が危殆化情報を定期的にチェックし、該当する部品に対してアラートを通知します

・ 脆弱性や危殆化情報に加えて、関連する脅威情報など有益な情報を提供します（簡易版）

デロイト トーマツ サイバーが提供する製品セキュリティサービスメニュー

デロイト トーマツ サイバーは、SBOMを効率的に管理するSBOM管理ソリューション以外にも、製品の企画・設計から構築・テスト、運用まで、製.品セキュリティ関連のサービスを提供しています。

■製品セキュリティのサービスメニュー