情報：PSIRTってなんだ

梧桐です、みなさんお元気ですか。

今日はこんな記事を読んでいました。ITセキュリティ関係の業務に従事している人ならCSIRTを知っている人は多いかと思います。いわゆる企業の情報セキュリティの対応担当グループです。が、PSIRTという言葉はご存知でしょうか。

PSIRTとCSIRTを抱えるサイボウズ、そのセキュリティ活動の実態とは？

https://news.mynavi.jp/article/20190220-770517/

以前からある単語ですが、PSIRTってなんですか的な話題はちょこちょこ目にします。要はなんか情報系の仕組みが入っている製品を作ったり売ったりしている会社が、その商品にセキュリティ上の問題がないことを確認する組織ですね。

こういうのはこれまで品証（品質保証）チームやCSIRTチームが兼任で担ってきましたが、よりセキュリティに特化して独立したほうが良いという事でしょう。まあ、個人的にも同感です。近年のセキュリティは経営に深く組み込むべきというのが定石になってきていて、かつてはCISOと呼ばれCIOの配下にいることが多かったセキュリティチーフも、現在はCSOとしてCIO（情報チーフ）やCTO（技術チーフ）と同列にすべき、予算も独立させるべき、というのがコンサルの業界で言われるようになってきています。

PSIRTの取り組みが最も先進的になってるのはご存知マイクロソフトですね。年がばれますがWin2000のころなんてとにかくセキュリティ対策がひどくてネットにつなぐとウィルスが突っ込んでくるのが当たり前でしたが、その後の急速な対策の進歩により、今やその仕組みを他のソフトウェア企業がマネするようになってきています。

私はIoT機器のペンテストを販売する立場にいますので、私から見るとPSIRTはお客さんの立場ですね。外部パートナーとして良い関係を築くため、こういう組織のあるべき姿をしっかり把握し、正しく提案できるようにしておきたいものです。

ではまた。梧桐でした。