リコーは、ネットワークに接続された機器やサービスによって、コミュニケーションとコラボレーションに不可欠な多様な情報の統合と共有を実現している。セキュリティーに対する国内外動向を念頭に、ネットワークへの依存度が高い自社製品が直面したセキュリティー上の課題と経営環境の変化をふまえた、リコーの製品IoTセキュリティーへの対応事例を紹介する。

経営課題としてのセキュリティー対策

総務省が「スマートジャパンICT戦略」の中で、「サイバーセキュリティ立国」の実現を掲げている。また、内閣サイバーセキュリティセンターは「サイバーセキュリティ戦略・サイバーセキュリティ2018の概要」の中で「サプライチェーン全体を俯瞰した取り組み」と「安全なIoTシステムの構築」について国として推進していくことを提示し、さらに、NICT法(国立研究開発法人情報通信研究機構法)に基づいたIoT機器調査および利用者への注意喚起の取り組みが実施されている。

リコーの場合、コピー、プリンター製品はLAN/WANの範囲内であるが、IoTのデバイスとして配置される車載カメラ、工業系印刷、360度カメラなどはLAN/WANの範囲外である。つまり、外部からのサイト攻撃の標的にさらされる製品を、製造業として提供している。

海外に目を向けると、セキュリティー上の懸念から調達を禁じた5社の製品を使っている企業との取引禁止が明文化されたアメリカ国防権限法や、データ流出などの違反発生時に巨額な制裁金が課せられるGDPR(EU一般データ保護規則)のような課題がある。

これらに対応して行くにはガバナンス機能が必要であり、IT部門だけでなく事業部門なども交えて対策すべきであり、どちらも経営課題としての判断が求められ、リコーの経営環境に変化が起きている。

ISMSからCSFへ

サイバー攻撃の発覚経緯の約半数は外部からの指摘である。サイバー攻撃による被害を受けていても、そのことに気づいていない企業が多数存在するのが実情である。弊社も別のところで予兆があったので、紐付けていくと結果として被害を受けていることが分かったが、結局、タイムリーには見つけることができず、気づかなかった。つまり、適切なセキュリティー対策を実施していなければ気づくことは困難である。

そこで、ITのセキュリティーリスクに比較的特化している「サイバーセキュリティ・フレームワーク(CSF)」は「特定・防御・検知・対応・復旧」の5つの機能が定義されている。現在は、マルウェアなどに侵入されていることを前提としたセキュリティー対策が不可欠で、いかに「検知」するか、早く「対応」するか、どう「復旧」するかが重要である。

リコーは「特定」「防御」といったセキュリティー侵害の予防に主眼を置く「情報セキュリティ・マネジメント・システム(ISMS)」認証を取得しているが、ISMSとCSFを比較すると、ISMSは「特定」「防御」に関することは非常に多いが、今はマルウェアなどに侵入されることを前提として、いかに「検知」するかという検知能力が非常に重要になっている。

つまり、侵入されることを全部排除できないのであれば、それに対して「検知・対応・復旧」が重要であるため、今後はCSFに取り組むことになる。

セキュリティーにおける自社製品の取り組み

リコーは製品の出荷時にポート・スキャンなどを行い、製品IoTセキュリティーに取り組んでいる。ただ、時間の経過とともに暗号強度の問題が生じたり、製品使用環境そのものの性善説が壊れることもある。精査した結果、すべての事業ドメインの商品やサービスのうち17の製品が、製品IoTセキュリティーの対象となった。

そこで、顧客の期待や要望に応えるために、「攻撃者視点で侵入するテスト(ペネトレーションテスト)」を実施することを決めた。

攻撃者視点で侵入するテスト(ペネトレーションテスト)

*リコー鈴木様の講演に続き、IBM纐纈の講演*

IBMのセキュリティー・テスト・グループ「X-Force Red」を紹介する。

「X-Force Red」は、高度な技術を使用して生み出した新たな手法で、攻撃をしかけるホワイトハッカーの集団のようなチームである。IBMのオペレーションからは独立しているが、全員、IBM社員であり、セキュリティーの専門家として活躍している人たちである。

デジタル・サプライチェーンが拡大している状況下、情報システムだけでなくIoT機器を含むセキュリティーが叫ばれている。そして、今後、企業に対するハッキング攻撃は増加の一途と考えられるが、企業内のセキュリティー専門家の皆様だけでは防ぎきれない事態が起きることが想定される。IBMの「X-Force Red」のペネトレーションテストによって、企業は盲点がないセキュリティー態勢を作れるようにフレームワークを用意している。

デジタル・サプライチェーンのメンバーであり続けるためには、ペネトレーションテストなどを活用した高いセキュリティーの維持が、製造業の皆様方にとっても必要になってくると思う。金融機関や自動車メーカーなど他業種での事例もあり、IBMとしてぜひお手伝いをさせていただきたい。

 

Industrial Forum 京都 Digital

京都フォーラムで発信された製造業における先進デジタルを活用した事例を紹介しています。

強い日本の生産現場力を、更に強化するCognitive Manufacturing戦略

AI+IoTを活用したスマートファクトリーで、QCDを劇的に向上させ匠の技術継承を実現する。

デジタル革命に勝利する「AI+IoT モノづくり戦略」

IBM Watsonで新しい顧客価値を創出し、AI & IoT時代の新しい製品開発プロセスを構築する。

インダストリー4.0時代の製造業デジタルSCM改革

SCM改革にブロックチェーンを活用してSCMのすべてを見える化する。