CSIRT/PSIRTは、かつては先進的な取り組みとされていましたが、今やその設置は企業の社会的責任であり、ビジネス継続のために欠かせない条件となっています。

特に自動車業界では、UN-R155への対応が型式認証の前提となり、PSIRTによる車両ライフサイクル（開発・生産・生産後）全体での脆弱性管理とインシデント対応が法的に求められています。

もはや「努力義務」ではなく、対応できなければ型式認証が取得できない、つまりビジネスが継続できなくなるという「義務」になっています。すでに価値というより、「なければ業界から外される時代」になっていると私は考えています。

製品開発に関わるPSIRTの現場では、特有の課題が発生します。 脆弱性が発見されても、開発部隊から「PSIRTは何のために来たのか？」「費用は誰が負担するのか？」といった抵抗を受けることがあります。PSIRTは品質の最終責任を負えず、開発側は「承認」や「保証」を求める場合もあるため、両者の間には認識や役割分担のギャップが生じがちです。

UN-R155は、サイバーセキュリティインシデントに迅速かつ適切に対応できる仕組みを含むCSMSの構築を求めています。しかし、規格はあくまで方向性を示すものであり、実務レベルでの具体的な運用方法や、組織間の調整・合意形成まではカバーしていません。

ここでDNVの支援価値が発揮されます。規格対応には「唯一の正解」はなく、実装や運用は他社事例やコミュニティの知見に大きく依存します。私自身、NCAの理事として、また講師・委員としての活動を通じて、他社CSIRT/PSIRTの生の実例や課題、対応の工夫に触れてきました。さらに、他社や各種業界団体、専門化との意見交換や情報収集、連携の機会も多く、こうした外部とのつながりを踏まえた支援が可能です。机上の空論ではなく、現場で実際に機能する規格対応の実装手順や開発部隊との現実的な調整方法まで踏み込んだ、実践的な支援を提供します。

構築がうまくいかない典型的な例は、「高機能なツールを導入したが、運用が回らない」「詳細な手順書を作ったが、作成した担当者の異動で誰も使えなくなった」といったものです。これらはいずれも、セキュリティを「自分ごと」として捉え、組織の日常的な実務プロセスにまで十分に落とし込めていないことが原因で発生します。

CSIRT/PSIRTを正しく構築することで、こうした課題を解決し、組織は大きな効果を得ることができます。

「作りっぱなし」の組織にしないために、DNVはまずお客様の状況を深く理解することから始めます。 完璧を一度に目指すのではなく、お客様の成熟度や文化に合わせ段階的に支援します。