製品セキュリティ技術サイバー社会の安全性を担保する

セキュリティ・インシデントに対応する組織

昨今、サイバー攻撃による個人情報の漏洩やシステム障害のニュースを耳にすることが多いと思います。東芝の製品やサービスがその攻撃の対象となる可能性があるならば、対策をしなければなりません。ここでいう東芝の製品やサービスとは、東芝ブランドのつくもの全てです。たとえばウェブのシステムもあり、インフラや運輸管理のシステムもあり、広範囲に渡ります。
私たちPSIRT（Product Security Incident Response Team）は製品やサービスの企画から製造を経て出荷後の運用、そして、いずれ役割を終えて破棄されるまで、そのライフサイクルを通してセキュリティ上の問題への対策を担うチームです。東芝が作る製品やサービスにセキュリティ上の問題がないかどうかを検証し、運用中に発生するインシデントと呼ばれる問題にも対応します。品質保証部門や調達部門と連携し、東芝の製品やサービスの中で利用されている他社製の製品やサービスについても、セキュリティ確保に努めています。
開発者にとって、脆弱性への対応は不可欠です。ただ、日々新たなサイバー攻撃の手法が出現している状況で、情報を収集して適切に対応することは大変です。開発が大規模になればなるほど、たくさんの時間がかかります。開発の一部を外部に委託している場合には、自社だけでは対応できないこともあります。そこでPSIRTが組織され、迅速に対応ができるように体制や仕組みを整え、備えているのです。

プログラミング未経験の状態からのスタート

PSIRTでは、脆弱性への対応として攻撃を想定して対策するだけでなく、要件定義、開発・設計、製造・試験、実装・検査というものづくりのプロセスそれぞれの段階でセキュリティ確保のための活動を行います。オープンソースのソフトウェアに脆弱性があれば、自分たちで対応するのではなく、コミュニティやベンダーからの情報を入手した上で、必要な警鐘を鳴らし、対応を求めます。私は大学で数学を専攻していたこともあり、セキュリティはもちろん、プログラミングやITの知識もほとんどない状態で入社しました。同期とのレベルの差を感じ、1年目、2年目は相当に辛かったですね。同期の家に泊まり込みでプログラミングを教えてもらいに行くなど、入社後数年間は周囲に支えられながら勉強と業務をこなしていました。あきらめずに頑張り、ようやく一人で事業部門からの依頼に応えられるようになったのが6年目くらいです。ちょうどその頃、JPCERT/CC*に出向する機会に恵まれました。JPCERT/CCでは主に制御システムに関するインシデント対応、情報収集・分析・発信、関係構築などに従事しました。国内外の関連組織や各国CSIRTと連携して情報を収集し、インシデントの被害を受けた組織の初動対応の支援や、業界団体やセキュリティイベントでの講演など、幅広く経験を積むことができました。そこでの経験は今の業務に生きていると思います。出向を終えて戻ってきときに「化けたね」と声をかけられたのですが、自分でも成長している実感が持てました。かなり時間はかかりましたが、今でも地道に学びながら前に進んでいこうという気持ちで仕事をしています。

*JPCERT/CC: Japan Computer Emergency Response Team Coordination Center （https://www.jpcert.or.jp/）

それぞれの現場に最適なプロセスを見出し、根付かせる

大学3年生までは数学者になりたいと思っていました。ただ、数学者への道はあまりに狭き門だったため、修士課程までは数学を学び、その後は就職しようと決めました。就職先は少しでも数学に触れられるように暗号系の研究を行っている企業を探し、東芝ソリューション株式会社（当時）に入社しました。東芝グループの中でITソリューション事業を行う会社で、配属先はITセキュリティを研究するワークスラボでした。その後の組織変更で、2020年にワークスラボのPSIRTのメンバーは株式会社東芝の研究開発センターに移り、今に至ります。PSIRTのプロセスにはまだベストプラクティスと呼べるものがなく、手探りの部分があります。それぞれの現場に寄り添う形でプロセスを作り、現場でもしっかり対応できるようにするのが野望です。それには今までの開発プロセスに手を入れる必要があり、現場からの反発もきっとあると思います。それらと向き合い、現場の負担を軽減できる有効な方法が根付くまで寄り添うことがミッションだと思っています。