セキュリティ業界で最近、「PSIRT（ピーサート）」が脚光を浴びている。CSIRTは知っていても、PSIRTについては初耳という人も少なくないだろう。PSIRTは、Product Security Incident Response Teamの略。自社が開発・製造した製品・サービスのセキュリティ対策を担う組織がPSIRTだ。＜トラスト（信頼）＞あるデジタル社会の実現を目指して挑戦する、NTTグループの上級セキュリティ人材を紹介する連載「＜サイバーセキュリティ戦記＞NTTグループのプロフェッショナルたち」。第20回に登場するのは、NTTコムウェアのPSIRTでリーダーを務める土井厚志だ。

自社が開発した製品・サービスのサイバーセキュリティ対策が十分ではなく、大切な顧客に損害を与えてしまった……。ネットワークにつながる製品・サービスが当たり前になった現代、多くの企業がこのようなリスクに直面している。

そうしたなか注目が高まっているのが、プロダクトセキュリティ対策を担う「PSIRT」である。

プロダクトセキュリティ対策とは、自社が開発・製造する製品・サービスをサイバー攻撃から守るための取り組みのこと。そして、プロダクトのセキュリティレベル向上のための活動や、実際に自社の製品・サービスでインシデントが発生してしまった際に対応を行う組織が、PSIRT（Product Security Incident Response Team）である。

「プロダクトセキュリティという言葉が出てきたのは最近のことですが、この考え方自体は20年以上前からあったと思います。CSIRTが、PSIRT的な役割を担っているケースも多いでしょう。必要性がより高まってきたため、プロダクトセキュリティやPSIRTという特化した概念が登場したのだと認識しています」

こう語るのは、NTTコムウェアのPSIRTでリーダーを務める土井厚志だ。

NTTコムウェアがPSIRTを組織したのは、2021年のこと。「CSIRTから独立するという形にプラスし、セキュリティ人材育成を行っていたチームも合流して、NTTコムウェアのPSIRTは立ち上がりました。NTTグループの中でも、PSIRTの設立は早い方だったと思います」と土井は言う。日本シーサート協議会（NCA）で、PSIRT WG（ワーキングループ）の活動が始まったのも2023年6月のことである。

ただ、NTTコムウェアがPSIRTを世の中に先駆けて組織したのは、先見の明に限らない。直接のきっかけは、顧客から指摘された自社開発システムの脆弱性だった。