このモデルは、より小さい組織や同種の製品ポートフォリオを持つ組織でもうまく機能する。また、高度なセキュリティスキルと専門知識を1つの領域に集中して醸成することができる。一方で、このモデルは集中的かつ専門的であるため、拡張性に乏しく、製品ポートフォリオが拡大したり多様化したりした場合のチーム維持にコストがかかるという課題も持つ。
ハイブリッドモデル
ハイブリッドモデルは、分散モデルと集中モデルの両方の特性を含むモデルである。 次に挙げる要素を考慮し、双方のモデルが持つ特性や機能を選択してハイブリッドモデルのPSIRTを構築することができる。
? 組織構造と規模
? 製品ポートフォリオの規模と多様性 ? 製品開発戦略
6
その他の考慮事項
PSIRTは製品の脆弱性に関して独立性と客観性を備えた立場を維持するため、自律性を持つことが重要である。そのため、PSIRTの戦略や構造を検討するにあたっては、組織の報告体制を考慮し、組織としての融和を考える必要がある。またPSIRTを承認している経営層に対して活動報告を行い、PSIRTの権限を確認することが重要である。
PSIRTが成熟?拡大し、ミッションが進化するにつれて、チームの構成や報告体制が変化する可能性がある。PSIRTの変化と成熟の原動力は、主要なステークホルダの存在と、往々にして組織のステークホルダベースに広範にわたって影響を及ぼす深刻な脆弱性の存在である。ステークホルダはしばしば、組織の規模のみならず、組織が採用したPSIRTのモデルによっても定義される。
ステークホルダ(利害関係者)
ステークホルダのニーズや要求を考慮することは、PSIRTの戦略と構造を定義する上で重要な要素となる。組織がPSIRTのモデルを採用するにあたっては、ステークホルダのアイデンティティと影響力の大きさをはかり、ステークホルダがPSIRTを支持してくれるような関係性を継続することが重要である。「サービスエリア1:ステークホルダエコシステムマネジメント」には、ステークホルダの管理方法の詳細が記載されている。
PSIRT構築における最終的な検討事項のひとつとして「インフルエンサー」が挙げられる。インフルエンサーは、個人やグループとして名前の付いているステークホルダとは異なるものである。インフルエンサーは、業界や行政機関の基準や法令、規制、傾向のことであり、ステークホルダ以上にPSIRTの構築や運用、また戦略や方針に影響を及ぼすものである。
PSIRTは何をするのか?
PSIRTのモデルはその活動の対象や内容を定義するものだが、自社製品の脆弱性に対処するために組織として取るべき行動を必ずしも変更する必要はない。PSIRTのモデルは、あくまでもPSIRTの機能や活動、責任の範囲について改善するためのものであり、組織全体を対象とするものではない。
7
継続的なプロセスとポリシーの作成
PSIRTは製品セキュリティに関する組織の方針を確立する。PSIRTの必要性はビジネス上のニーズに依るものであって、その逆ではない。PSIRTのポリシーはその内容が実行に移される前に、組織内でレビューされ、権限を伴うかたちで組織内に浸透していなければならない。承認されたポリシーには、それが遵守された場合には組織内のコンプライアンスが確実なものになるような行動手順が付随しなくてはならない。
ステークホルダの教育
PSIRTは製品の脆弱性への対処を能率的に実行?完了させるために、ポリシーと行動手順に沿ったワークフローおよび管理システムを構築する必要がある。そうすることにより、組織が製品セキュリティ対策を日常業務の中に取り入れることが容易になるのである。
PSIRTのミッションやポリシー、行動手順を組織に展開するにあたって最大の失敗となるのは、それらが自分の責任ではない、もしくは自分に要求されているものではないとみなされることである。そのため、組織内の全ての構成員に製品セキュリティの基本や各々の役割について教育することが非常に重要である。また、PSIRTのポリシー要件を満たすために、組織全体にポリシーを有効に機能させ、必要な権限付与も行わなければならない。
メトリクスの重要性
製品セキュリティインシデント対応の成否を評価することは非常に重要である。メトリクスは要件の定義には用いることはできないが、対応プログラムの支援、必要なリソースの決定、プロセス/ツールの改善が必要な箇所の特定にも役立つ。評価指標を定めそれをトラッキングすることは、PSIRTの導入や展開に関する課題を明らかにすることで、PSIRTの成熟にも役立たせることができる。「サービス 1.7 ステークホルダメトリクス」および「サービス 5.4 脆弱性情報マネジメントの評価指標」では、トラッキングする価値のある測定基準の種類について詳しく説明する。
8
用語の定義
本文書ではいくつかの用語を定義する。サービスエリア、サービス、ファンクションは、何がなされるべきかを異なる粒度で表すものであるのに対し、タスクとアクションはそれがどのように実施されるべきかを異なる粒度で表す点に注意が必要である。タスクとアクションは、ほかの文書とともに発行されるが、より頻繁に更新される。
? アドバイザリ - 製品の脆弱性に関する通知、警告、対応に関する助言を行うための発
表や速報のこと
? Bug Bars(バグバーズ) - 特定の開発段階で修正するバグ情報。一般的には深刻度も含
まれる
? コーディネーター(調整者) - 脆弱性情報に関する取り扱いや開示に関してベンダと
発見者の支援をする関係者のこと
? 公開の制限 - 影響を受けるベンダによりセキュリティアップデートあるいは緩和策や
回避策が提供されるまで、顧客を守るために脆弱性の詳細公開を保留すること ? 発見者 - 製品やオンラインサービスの潜在的な脆弱性を特定する個人または組織のこ
と。研究者、情報提供者、セキュリティ企業、ハッカー、ユーザ、政府、コーディネーターなどが含まれる
? 機能 - あるサービスの目的を達成するための手法。複数のタスクから構成される ? オープンソース - 一般向けに公開され自由に入手可能なものであり、一般向けに公開
されることで多くの人の協力や論評が行われる。オープンソースプロジェクトは企業や個人が所有するものではなく、プロジェクトに貢献する多くの個人から構成されることが多い
? パートナー - OEM(相手先ブランド製造)、供給者(社)、オリジナルデザインメーカ
ー(ODM)
? 製品 - 有償販売あるいは無料提供される、実装または開発されたシステム
? 品質ゲート(クオリティゲート) - 開発やリリースの次の段階に進む際に満たすべき基
準のこと
? 対策 - 脆弱性を修正するためのパッチ、アップグレード、またはコンフィグレーショ
ンや文書の変更
? リスク - 「目的に対する不確かさの影響」 ここで不確かさのなかにはイベント(生じ
る場合と生じない場合がある)や曖昧さ、情報不足によって生じる原因が含まれる ? リスクの受容 - リスクを認識しても実際にリスクが顕在化しない限り対応を行わない
とする戦略のこと
? リスク検討記録 - リスク分析の結果やリスク対応計画の結果が記録されている文書
9
? セキュアな開発ライフサイクル(SDL) - 開発コストを削減しながら、よりセキュアに
製品を構築し、セキュリティコンプライアンスの要求に対処するための開発プロセスのこと
? サービスエリア - 全体の構成を理解しやすくするために、互いに関連する複数のサー
ビスをまとめたもの
? サービス - サービス対象者に対して目にみえる形で実施する一貫したアクションの集
合。複数の機能から構成される
? サービスレベルアグリーメント(SLA) - サービスプロバイダー(内部向けまたは外部
向け)とエンドユーザとの間で、期待されるサービスレベルを定義する契約
? ステークホルダ(利害関係者) - PSIRTという組織構成またはその運営に関心を持つ
関係者。PSIRTのアクション、目的、方針に影響を受けたり、与えたりする。ステークホルダによるサポートがなければ PSIRT は存続できない
? サードパーティ - 製品またはソリューション/サービスに組み込まれるコンポーネン
トを提供する上流のサプライヤまたは開発者
? ベンダ - 製品またはサービスを開発した人や組織、またはそれを保守する責任を負う
もの
? 脆弱性 - ソフトウェア、ハードウェア、またはオンラインサービスの悪用可能な欠陥
運用基盤
10