目的:PSIRTの運用方針と手順の特定、記述、文書化
成果:PSIRTの権限やガバナンス/オペレーションを記述する正式なポリシーを得られる。また、職務を遂行するため正式に文書化された手続き/ガイドラインを持てる
ポリシーと手続きを文書化することにより、PSIRTの全スタッフが共通の理解を持つことができ、PSIRTが提供する製品とサービスの一貫性と再現性を実現することができる。更には新しいPSIRTスタッフのトレーニングリソースとなる。
10. 評価と改善
改善点を特定できるようにするため、パフォーマンスおよび/または有効性を評価するための指標を定める。
目的:PSIRTがどれだけうまく機能しているかを評価し、改善の必要がある領域を特定する
成果:PSIRTは、パフォーマンスを測定し、改善が望まれる分野を理解することができる
PSIRTは、製品とサービスがどのように提供されているのかを継続的かつ/または定期的に評価し、改善が必要な分野を特定する。
評価指標および方法は、公式または非公式(たとえば、利害関係者からのフィードバックの収集)な方法で、計画に従って、または必要に応じて実施することがでできる(例:学んだ教訓を文書化する「機能1.1.3 インシデント事後対応プロセス」を参照)。
このPSIRTフレームワーク文書は、PSIRTの運用を評価するための基準のひとつとして提供されるものである。
サービスエリア1 ステークホルダエコシステムマネジメント
16
このサービスエリアは、PSIRTが社内外のステークホルダと適切に関わり、役割を果たすことができるサービスと機能を説明する。ステークホルダエコシステムマネジメントに含まれるサービスの実行は、PSIRTのインシデントライフサイクルやチームの成熟ライフサイクルに有効に機能する。このサービスエリアは、PSIRTのすべてのステークホルダに適切に情報が提供され、インシデント対応プロセスに従事することを目的としている。
PSIRTは、これらのサービスを正式に提供する前に、まずその事業に関連するステークホルダを特定する必要がある。ステークホルダには、経営層またはビジネスリーダー、社内開発チーム、外部コンポーネントの提供者または開発者、さらには組織の顧客などが含まれる。ステークホルダの製品やバージョンのマトリクスを整理しておくことは、コミュニケーションプロセスの効率化に役立つ。
これらのステークホルダとのコミュニケーションに先立って、(ウェブポータル、個人的なEメール、インターネットチャット、チケットシステムなど)彼らが望む視点や方法を理解することも有益である。この文書では、ステークホルダをいくつかのグループに分類している(特定のビジネス環境では、他を特定する場合がある):ファインダー、同僚/パートナー、社内チーム、製品のステークホルダ。
目的:連携可能なまたは連携しなければならないステークホルダと、情報共有するプロセスとメカニズムをハイライトする
17
成果:ステークホルダの良好な連携によって、セキュリティ脆弱性についてステークホルダに伝えなければならないときに、タイムリーかつ必要なステークホルダ/パートナーに納得のいく報告が行える
サービス 1.1 内部のステークホルダ管理
内部のステークホルダとの関わり合い、関連するプロセスを定義し、インシデント時の認識や支援のいずれも確実なものにする。組織内のPSIRTの役割を明確に伝え、製品チームとセキュリティアナリストとの間の連携を確立し、コミュニケーションや対応力を向上させる。
18
目的:PSIRTの権限と専門知識を確立し、脆弱性の修復や製品セキュリティの円滑な調整を促進する
成果:従業員によって発見された脆弱性は外部の圧力を緩和することができ、最もインパクトのあるセキュリティプロファイルの改善が行える
機能 1.1.1 内部ステークホルダとの交流
製品の開発やテスト、パッケージング、および保守に関する社内チームと活発な対話を維持する。内部ステークホルダは、エンジニアリングリソースだけではなく、テスト/品質保証、リリースエンジニアリング、ステークホルダ対応サポートチーム、セールスやマーケティング、またはその他の技術分野の専門家が含まれる。
目的:内部のメッセージング/情報プラットフォーム上にPSIRTの存在意義が示せる体制を構築して、PSIRTの存在、プロセス、および機能について内部の関係者に通知する
成果:PSIRT が正式に文書化された社内ステークホルダリストを保持し、彼らの役割や責任を理解する
サブ機能 1.1.1.1 会社やビジネスリーダー、経営層との交流
PSIRTを有効に機能させるには、現在の組織環境を理解し、それに対応できるようになっている必要がある。ビジネスリーダーや経営層と協力することは、さまざまなレベルでPSIRTの支援となる。経営層の支援はPSIRTの存在を正当化することに役立つ。これによって、情報を共有し、ビジネス上の意思決定に役立つことができる。また経営層の支援はPSIRTのミッションに影響を及ぼす施策や組織の方向性の変化も捉えることができる。
サブ機能 1.1.1.2 広報/コーポレートコミュニケーション、法務部、および政府関係チームとの交流
社内のコミュニケーションチームと法務部門と連携することで、PSIRTのブランドやメッセージングの規格、組織が準拠しなければならない規制/法的環境に準拠することができる。これらのステークホルダは重要なイベントやインシデントが発生する前に、効果的な連携が出来るよう、PSIRTの重要なステークホルダに特殊なパスを提供する。
19
目的:PSIRTとセキュリティ脆弱性のメッセージが、ブランドポリシーや法的ポリシーに準拠していることを確認する。組織内の特定のコミュニケーションや政府機関/法務部門と協力することで、ブランド認可、または法的に/契約上承認されたメッセージを確実に発信できるようになる
成果:PSIRTからの連絡は、関連するコーポレート基準およびポリシーに準拠する。理想的には、広報、コミュニケーション、法律、およびその他の社内グループと協力して、ブランドの評判喪失、犯罪または民事上の法的問題、またはステークホルダ、規制当局、同業者からの企業に対する信用の喪失を回避する
サブ機能 1.1.1.3 社内のビジネスユニット/ラインとの交流
開発関係者と交流することによって、問題が適切に文書化、優先順位付け、対処される。たとえば、PSIRTのエンジニアまたは承認された代理人が、欠陥のあるコードの責任を有するソフトウェアエンジニアリンググループと脆弱性修正に関する調整をする必要がある。インシデント発生時には、当事者間での連携は情報の迅速な伝達と問題の効果的かつ迅速な修復に役立つ。またステークホルダには、プログラムまたはプロダクトマネージャー、SDL監視グループ、プロジェクトマネージャー、プロダクトオーナー、および同様のビジネス関連の責任を持つ関係者が含まれる。
目的:PSIRTは、すべての関係者がその役割と責任を理解できるように、PSIRTの製品提供プロセスにおける役割、それが達成するガバナンス機能、製品の欠陥と脆弱性に関する情報交換を行えるよう組織の事業に関わるべきである。ビジネス関係者と連携することは、欠陥の適切な優先順位付けや企業のセキュリティガイドラインの確実な遵守にもつながる。ビジネス関係者と継続的に対話し、脆弱性に関するメトリクスを提供することは、修復が必要な問題が発生したときに彼らが適切に資金を調達し、問題を解決することに役立つ
成果:PSIRTは、ビジネスラインの機能、目標、目的、PSIRTがどのような影響を与えるのかを理解する
サブ機能 1.1.1.4 内部開発/エンジニアリングとの交流
PSIRTのエンジニアは、欠陥のあるコードを担当するソフトウェアエンジニアリンググループと脆弱性の修正調整を行う必要がある。開発関係者との連携によって、問題が適切に文書化され、優先順位を付けられ、対処される。インシデント発生時には、これらのパートナ
20