情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　こうした背景から、工場のセキュリティ対策の必要性はこれまでになく高まっている。問題は、「セキュリティイコール情報漏洩対策、特に個人情報」という意識が根強く残っていること。そして、具体的に何をやればいいのかがよく分からないことだ。

　池田氏は、「この状況を作ってきたのは、情報セキュリティの側だったのではないかと思い始めています」と振り返った。というのも、これまでの情報セキュリティ教育や監査は、「情報を守る」ことを求めて行われてきたからだ。

　これに対し工場の現場が重視するのは、安全や生産の稼働率、品質といった事柄だ。「個人情報を取り扱わない工場にいくら『情報を守れ』と言っても、自分たちが重視する要素には直結しないため、対策の優先度は下げられてしまいます。日々工場を回している人たちに対し、生産停止や不良品の発生、安全上の問題につながるというように、彼らが重要だと考えているものが毀損するからセキュリティ対策をしなくてはいけないといった説明が必要です」（池田氏）

　また工場では、生産ラインの停止を伴うようなITシステムと同じ対策をそのまま適用するのは難しい。いくつか手段を提示し、重大なリスクを回避して少しでも改善されるよう、落とし所となる対策を提示していくことが重要だ。

　こうした経験を踏まえ、凸版印刷では今年、工場に製造システムや装置、IT、OT機器などを導入する担当者やその上司、工場長を対象にした「工場セキュリティガイドライン」を作成した。あえて機密性や情報流出といった言葉を避け、安全性や可用性を前面に押し出している。また、社内で発生した事象を共有し、なるべく身近に感じてもらうための工夫も行った。

「ようやく、サイバー攻撃によって自分たちの生産活動が影響を受ける可能性があることを実感してもらい、現場と目線の合った情報の伝え方ができたと考えています」と池田氏は述べた。 凸版印刷は今後も工場セキュリティの強化に向けた取り組みを進め、ガイドラインを元に各工場のセキュリティアセスメントを実施していく予定という。

　また、生産の自動化に伴って業務の一部が見えなくなってしまうという課題を踏まえ、通信可視化ツールとヒアリングを組み合わせ、技術と人の両面から、工場視点でのリスク洗い出しを継続していく。ガイドラインそのものも継続的に改善していくほか、海外工場での展開に向け、英語版を作成する計画だ。

グローバルガバナンスとヒューマンファイアウォールの取り組みも

　凸版印刷はこうした技術面での取り組みに加え、ガバナンスと人の面での施策も推進している。

　ガバナンス面では、海外拠点を含むグループ会社やサプライチェーン全体での対策を意識しているという。実は凸版印刷は、M＆Aなどにより海外現法を100社以上抱えている。地域や事業内容によって求められるセキュリティレベルは異なるため、「凸版グループのグローバルガバナンスとしては、グループ全体で最低限守るべき基本方針と基本規定、ベースラインを策定し、その成熟度を定期的に評価する一方、より細かな各社ごとのルールや実装は各社で作る方針にしています」（池田氏）

　サプライチェーン、特に取引先向けの対策も強化した。これまでは個人情報の委託先のみを対象に監査を実施してきたが、その範囲を拡大。といっても、一万社を超える取引先すべてに協力を求めていくのは難しいため、個人情報に加え、経済安全保障法で規定された機密情報を扱う業務に関して、監査シートによる客先監査に加え、サイバーセキュリティレーティングサービスに基づいて認定された会社以外への発注を禁止することにした。

　また人の面での対策について、池田氏は「サイバー攻撃は、技術的な対策だけで防ぎきれるものではなくなっています。どこかのステップで攻撃に気づき、止めるには、人が果たす役割も重要であり、これを凸版では『ヒューマンファイアウォール』と定義しました」と述べた。

　そして、ヒューマンファイアウォールを育てていくために、eラーニングやウイルスメール訓練、経営層を巻き込んだサイバーセキュリティ演習を実施するほか、セキュリティ技術者向けの研修、工場技術者向けの「技術防人養成プログラム」を実施するといった具合に、さまざまなセキュリティ教育を実施している。

ヒューマンファイアウォールの実現を目指して

　その一環として、サイバーセキュリティ人財育成の専門子会社、Armorisを設立し、幅広いメニューを通して人財育成に活用している。またユニークな取り組みとして、工場など職場での労災削減を目的に2010年に開設した「トッパングループ安全道場」で、現場での巻き込み防止などの安全対策に加え、サイバー攻撃によるロボットアームの不正操作などのメニューを組み込み、危険性を体感しながら学べるよう準備を進めている。

自社、そして他社や外部組織との関係性を作りながら世界をよりセキュアに

　最後に池田氏は、これまでの対策はITシステムやサイバーセキュリティに閉じた対策になりがちだったという反省を踏まえ、サイバー攻撃の影響を最小限にとどめ、被害を出さないために、「どうやって問題を早く見つけて業務を早く復旧し、ビジネスをいかに守るか、つまりサイバーセキュリティではなくビジネスリスクという観点を忘れないようにすることが重要になります」と強調した。

　さらに、チェックシートや承認機能を活用したBEC（Business Email Compromise：ビジネスEメール詐欺）対応を例にとって、「ITシステムでの対策だけでなく、既存の業務フローにチェックポイントを設けるなど、業務全体で押さえるポイントを洗い出していくことも効果的になります」（池田氏）

　何より、サイバーセキュリティは自社だけの問題ではなくなってきている認識が必要だ。池田氏はさらに「ということは、自社のセキュリティ部門だけで守ることができなくなってきている、ということでもあります」と述べた。

　例えば、日頃の訓練を通して従業員の感度を高めるだけでなく、日頃から関係性を作り上げ、少しでも疑わしいものがあれば迅速に一報を入れてもらえるような仕組みを整えたり、互いに伝わる言葉を用いて社内の他部署と連携することもポイントになる。また、既存のルールやエスカレーションフローを活用すれば、有事の際の混乱を防ぐことにもつながる。

　他社や外部組織との連携も重要だ。講演で何度も言及したように、「サプライチェーンでインシデントが発生すると自社だけではなく他社にも影響が及ぶため、サプライチェーン全体でセキュリティレベルを向上するよう連携していくことも重要になります。いざというときに備えて緊急連絡先をまとめておいたり、日頃から他社のセキュリティ組織と連携し、情報交換を行っておくことも有効です」（池田氏）

　そしてこうした連携を通して「日本、そして世界をよりセキュアにしていきましょう」と呼びかけ、講演を締めくくった。