EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
Select your location
Local sites
昨今、家庭用ルーターやCCDカメラなどのIoT機器や業務用SaaSなどのクラウドサービスを狙ったサイバー攻撃が増加しています。2025年2月開催セミナーでは、ネットワーク製品やクラウドサービスにおけるセキュリティの重要性と実務上の留意点について、専門家を交えてディスカッションを行いました。その模様を一部ご紹介します。
要点
- 多くの組織が利用するSaaS等のクラウドサービスやIoTといったプロダクトに関連するサプライチェーンを標的としたサイバー攻撃が増加している。
- プロダクトを提供する側は、社内インフラのセキュリティとともに、自社のプロダクトについても可用性や機密性などを確保するためのセキュリティが必要である。
- IoT製品セキュリティ適合性評価制度やEUサイバーレジリエンス法など、近年新たに登場した法規制への対応も留意する必要がある。
2025年2月6日(木)「Digital Trust Webinar:Cybersecurity ~プロダクトセキュリティへの対応~」と題したウェビナーを開催しました。
本ウェビナーでは、昨今新たな価値を提供し続けているIoT機器やSaaSに対してサイバー攻撃が増加している現状に焦点を当て、製品・サービス(プロダクト)のサイバーリスクへの対策と法的側面からのアプローチについて、第一線で活躍されている専門家や実務家と議論を行ったほか、実務上の留意点を共有していただきました。
なぜ「プロダクトセキュリティ」が重要なのか
まずは、プロダクトセキュリティに関しての各社の取り組みや、法規制の動向について、パナソニックホールディングス株式会社(以下、パナソニック)の中野学氏、サイボウズ株式会社(以下、サイボウズ)の明尾洋一氏、TMI総合法律事務所の寺門峻佑氏にご登壇いただきました。その後、EY新日本有限責任監査法人プリンシパルの杉山一郎がファシリテーターを務め、登壇者の皆様とディスカッションを行いました。
杉山 一郎(EY新日本有限責任監査法人 プリンシパル)
冒頭、EY Japan Forensicsにてサイバーインシデント対応などを行うフォレンジックテクノロジー部門の責任者を務める当法人の杉山一郎より、多くの組織が利用するSaaSなどのクラウドサービスやIoTといったプロダクトに関連するサプライチェーンを標的としたサイバー攻撃が増加している現状から、プロダクトセキュリティの不備は事業上の重大なリスクになりつつある点を強調しました。
具体的には、プロダクトを提供する側は、社内インフラを守るセキュリティとともに、自社のプロダクトについても、顧客の事業継続や情報管理などに影響を及ぼす可能性があるため、可用性や機密性などを確保するためのセキュリティが必要であること、また、プロダクトを利用する側も、提供元やプロダクト利用時のセキュリティに留意することが重要であると説明しました。
中野 学 氏(パナソニックホールディングス株式会社 製品セキュリティグローバル戦略部 部長)
IoTなどのデバイスに潜むセキュリティリスクと対策
中野氏は、以前、独立行政法人情報処理推進機構では組み込みデバイスや制御システムなどのセキュリティについて取り組まれ、現在、パナソニックでは製品ライフサイクルにわたるセキュリティ活動やインシデント体制、Panasonic PSIRT(Product Security Incident Response Team)を率いています。一般的にPSIRTとは、自社販売の製品に対するセキュリティや脆弱(ぜいじゃく)性対応を含むインシデント対応の体制を強化することを目的に組成された専門組織を指します。そこでは、他組織のPSIRTとの情報交換や自組織の関係者との良好な関係の構築など、PSIRTを運用する上でのポイントについても経験談を交えながら解説いただきました。
明尾 洋一 氏(サイボウズ株式会社 セキュリティ室/Cy-SIRT)
クラウドサービス事業者におけるセキュリティの取り組み
明尾氏は、サイボウズにて社内セキュリティ強化のためにセキュリティ室を設置し、ISMAPクラウドサービスリストへの登録、SOC2 Type2保証書の受領に尽力する傍ら、一般社団法人ソフトウェア協会サイバーセキュリティ委員会副委員長として活躍しています。プロダクトセキュリティの取り組みとして、中野氏同様にPSIRTの活動内容をご紹介いただくとともに、会社自体のセキュリティや外部審査・監査対応等の活動内容、セキュリティ団体との関わり方について語っていただきました。多くのSaaSサービスを提供している同社は、セキュリティを重視する姿勢を示すための工夫として自社の管理態勢に関する外部評価を得る施策を取り入れているなど、具体的事例をご説明いただきました。
寺門 峻佑 氏(TMI総合法律事務所 パートナー)
プロダクトセキュリティに関する法的観点
寺門氏は、国内外の個人情報保護法対応・情報漏えいインシデント対応、プラットフォーム開発・ライセンス関連のIT法務、IT関連の国内外紛争・不正調査案件を主に携わっていることから、製品セキュリティに関する法規制の動向について解説いただきました。特に、IoT製品セキュリティ適合性評価制度やEUサイバーレジリエンス法など、近年新たに登場した法規制やルールについて触れていただくとともに、各法への対応アプローチについても言及いただきました。
ディスカッション:プロダクトセキュリティにおける現場の課題感とは
ディスカッションパートでは、まずはインシデント発生時の対応ポイントについて議論が行われました。発生時の対応ポイントとして、開発や品質等の関係部門との連携など、平時の備えが最も重要である点を皆が強調しつつ、体制も含めた具体的なPDCAの方法について示唆に富む意見が交わされました。そして、どこまで準備すべきかという観点から、適切なセキュリティの判断基準について、それぞれの立場から考え方が示されました。
このほかにもプロダクトやサービスのユーザー側が留意すべき点など、多くの興味深いテーマが扱われました。本稿では概要のみを紹介しています。プロダクトセキュリティの最前線が分かる本ウェビナーのアーカイブ映像をぜひご覧ください。
以下のページからお申し込みください。
Digital Trust Webinar:Cybersecurity ~プロダクトセキュリティへの対応~
※視聴期限は2026年2月5日までとなっております。
本ウェビナーがプロダクトセキュリティへの最新の見解や具体的な対応策についての知見を深める機会となれば幸いです。
登壇者との記念撮影。左から小寺 雅也(EY新日本有限責任監査法人 シニアマネージャー)、杉山 一郎(EY新日本有限責任監査法人 プリンシパル)、中野 学 氏(パナソニックホールディングス株式会社 製品セキュリティグローバル戦略部 部長)、明尾 洋一 氏(サイボウズ株式会社 セキュリティ室/Cy-SIRT)、寺門 峻佑 氏(TMI総合法律事務所 パートナー)、加藤 信彦(EY新日本有限責任監査法人 パートナー)、安達 知可良(EY新日本有限責任監査法人 アソシエートパートナー)
【共同執筆者】
小寺 雅也
EY新日本有限責任監査法人
公認会計士 アシュアランスイノベーション本部 シニアマネージャー
※所属・役職は記事公開当時のものです。
サマリー
昨今、家庭用ルーターやCCDカメラなどのIoT機器や業務用SaaSなどのクラウドサービスを狙ったサイバー攻撃が増加しています。2025年2月開催セミナーでは、ネットワーク製品やサービスにおけるセキュリティの重要性と実務上の留意点について、専門家を交えてディスカッションを行いました。その模様を一部ご紹介します。
