CPS(IoT/OT)セキュリティ 2026.03.18

PSIRTで築くセキュアな製品開発～脆弱性対応や社内連携のポイント～

はじめに

近年、製品セキュリティに対する法規制が国内外で急速に強化されています。とりわけ欧州で施行が進むCRA（EUサイバーレジリエンス法）などの影響は大きく、製品開発を手がける企業は全社規格に則ったセキュリティ体制の整備が求められています。

CRAでは、デジタル要素を含むすべての製品を対象に、重い罰則と厳格な認証基準が設定されています。これに含まれる脆弱性管理義務は、単なる開発部門の個別対応では乗り切れないものです。全社的な標準化と効率的な対応体制を実現するためには、PSIRTを基軸とした社内連携体制の構築が急務です。

本記事では、今まさに喫緊のテーマとなっている「PSIRT（Product Security Incident Response Team）」の必要性と効果的な運用方法について、組織横断のセキュリティ対応と脆弱性管理ツール活用を軸に解説します。

PSIRTが必要とされる背景と法規制動向
- 製品開発を取り巻く規制強化
- CRAの概要と企業への影響
製品セキュリティ体制とPSIRTの役割
- PSIRT組織の必要性
- PSIRTの具体的役割分担
効率的な脆弱性管理体制の構築
- CRA対応における脆弱性管理フローの要点
- 脆弱性管理ツールの導入ポイント
マクニカが提供する主なツールとサービス
- Black Duckによる自動SBOM・脆弱性検出
- LeanSeeksによるリスクベーストリアージの自動化
- コンサルティング・導入支援

PSIRTが必要とされる背景と法規制動向

製品開発を取り巻く規制強化

IoT、自動車、医療機器など、製品の種類に応じてさまざまな法令や規制が登場しています。CRA（EUサイバーレジリエンス法）に加え、米国大統領令やISO/SAE 21434、自動車分野のUN-R155/156、医療機器関連のIMDRFガイドラインなども、製品ライフサイクル全体でセキュリティ対応を強く求めています。特に欧州向けの製品においては、2026年9月から厳しい報告義務が課され、2027年12月以降はCEマーキング適合が不可欠となります。

スライド1.JPG

この図により、自社製品がどの規制の対象となるかを俯瞰でき、CRAへの対応がいかに「全社的な課題」となるかを理解できます。

CRAの概要と企業への影響

CRAは、デバイスやネットワークに接続可能なすべての製品が対象としています。企業には、セキュリティリスクアセスメントの実施、脆弱性報告・対応、SBOM（ソフトウェア部品表）の作成、脆弱性連絡窓口の設置など、多岐にわたるコンプライアンス義務が生じます。違反時の罰則は最大1,500万ユーロまたは全世界売上2.5%（いずれか高い方）と、経営リスクの観点からも無視できません。

製品セキュリティ体制とPSIRTの役割

PSIRT組織の必要性

こうした規制への実効的な対応は、製品開発部門ごとの個別裁量では限界があります。社内横断型の対応を担うのが、PSIRT（Product Security Incident Response Team）です。PSIRT組織の目的は、脆弱性管理を標準化・効率化し、会社全体でセキュリティ対応レベルを引き上げることにあります。

スライド2.JPG

この図は、本社・事業部・グループ会社といった多階層でPSIRTが組織される場合の関係性を示しており、全社方針の浸透と現場実装との橋渡し役としてのPSIRTの重要性が一目で理解できます。

PSIRTの具体的役割分担

本社PSIRT：司令塔・ガバナンス機能

全社方針や脆弱性対応ルールの策定
標準フロー・通知テンプレート整備、インシデント管理システムなどツール選定
社外・規制当局との連携窓口
社内教育・部門支援

事業部PSIRT：現場部隊・実装推進機能

担当製品の脆弱性調査、分析、技術的対応
開発部門との密接な調整と対応策の実装
顧客通知や本社への報告連携
製品品質保証

PSIRTが本社・事業部・開発部門を横断して連携することで、脆弱性発見から修正・顧客対応までの一連フローが標準化され、対応漏れや工数の肥大化を抑えられます。

効率的な脆弱性管理体制の構築

CRA対応における脆弱性管理フローの要点

CRAでは製品リリース前のSBOM整備と、リリース後の継続的脆弱性管理が求められます。リリース後は外部報告窓口の運用、迅速な警告通知（24時間以内）、是正措置の提供（72時間以内）など、時間軸にも厳格なルールがあります。これらを満たすには組織横断の情報管理と、工数削減のためのツール導入が不可欠です。

スライド3.JPG

脆弱性管理ツールの導入ポイント

脆弱性管理ツールを活用することで、リリース前後のSBOM作成、脆弱性情報の自動検出、優先度付け（トリアージ）、パッチ作成・承認までの一連業務を効率化できます。特に次の観点が重要です。

各開発現場ごとのルール・ポリシー設定が可能
多様な開発言語・環境に対応した解析手法が選択できる
構成ファイルからの自動SBOM生成
利用OSSやライセンスの自動検出と脆弱性優先度自動化
脆弱性情報DBとの連携・最新情報の即時反映

これらによって日々増加する脆弱性情報の管理工数を大幅に削減できます。

マクニカが提供する主なツールとサービス

Black Duckによる自動SBOM・脆弱性検出

Black Duckは、開発中のOSSコンポーネントを自動的にSBOM化し、ライセンス情報・既知脆弱性・新たな脆弱性を継続的に検出します。事業部や開発チームごとに利用ルールを設定できるため、現場運用を阻害せず管理レベルを引き上げられます。

LeanSeeksによるリスクベーストリアージの自動化

マクニカ独自のサービスLeanSeeksは、増え続ける脆弱性情報群の中から対応優先度の高いものを精度よく絞り込みます。Black Duckの検出能力と組み合わせることで、社内対応の工数削減・修正判断基準の明確化が可能になります。これにより煩雑になりがちな対応フローを簡素化でき、規制対応のための運用標準化が進みます。

コンサルティング・導入支援

マクニカでは、PSIRT組織の新規構築から各種ツールの選定、社内運用環境のグランドデザインまで、コンサルティング・導入支援サービスを展開しています。導入前の検証（PoC）から運用後の改善・現場トレーニングまで一貫サポートを提供し、安心してDX成果につなげることができます。

法規制強化が進む現状では、開発チーム個別裁量に頼る時代はもう終わりました。全社的なセキュリティ対応を実現し、標準化・効率化するにはPSIRT組織の構築と適切なツール導入が不可欠です。脆弱性管理体制を見直したい方は、ぜひマクニカのコンサルティングやツール活用をご検討ください。

PSIRTで築くセキュアな製品開発～脆弱性対応や社内連携のポイント～

はじめに

目次