実践的にサイバー対策を学ぶ「サイバーナレッジアカデミー」を生かし、オフィス、工場、海外拠点にまたがる包括的な対策を進めるDNP：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

DXを進める上で重要なのがサイバーセキュリティ対策。DNPでは重要な経営課題の1つとして捉え、グローバル拠点も含むグループ全体でのセキュリティ強化とサイバーインシデント復旧体制を構築している。

[高橋睦美，ITmedia]

DNP情報システム 執行役員 サイバーフュージョンセンター センター長 兼 大日本印刷 ABセンター サイバーセキュリティ事業開発ユニット 谷建志氏

　大日本印刷（DNP）は、DXとサイバーセキュリティ対策を一体のものとして推進している。DNP情報システムのサイバーフュージョンセンターでセンター長を務め、同社のセキュリティ対策における特徴の一つとなっているサイバーナレッジアカデミー（CKA）の責任者でもある谷建志氏が、「サイバーセキュリティの体制整備から態勢整備へ：大日本印刷グループの取り組み」と題し、技術だけでなく、人や組織、プロセスにまたがる包括的な取り組みの一部を紹介した。

サイバーセキュリティはDXに必須の要素、経営課題として推進

　2026年に創業150周年を迎える大日本印刷（DNP）は、出版印刷事業で培ってきた印刷技術を生かし、ICカードや写真サービスのほか、リチウムイオン電池用バッテリーパウチやディスプレイ用光学フィルム、有機ELディスプレイ製造用のメタルマスク、半導体関連製品に至るまで、「こんなものまで印刷なのか」というほど幅広い事業を展開している。今では日本に加え19の国・地域で約3万7000人の従業員が働いている。

　一連の事業は、プリンティング（Printing）テクノロジーにインフォメーション（Information）テクノロジーを掛け合わせて新しい価値を創出し、社会課題解決につなげていこうとする「P&Iイノベーション」という事業ビジョンに基づいている。これはまさに世間一般で言うDXそのものだ。

　谷氏によると、DNPグループのDXには大きく2つの軸がある。1つ目は、デジタルを活用した新製品・新サービスの創出や、既存製品への新たな価値付加をめざす「社会価値の創出」、もう1つは、社内ICT基盤の再構築やDX人材の育成、工場など製造部門のスマート化を通して生産性を向上させていく、「経営基盤の強化」である。

DNPのDXによる価値創造

　こうした施策の一部として推進しているのが、グローバル拠点も含むグループ全体でのセキュリティ強化とサイバーインシデント復旧体制の構築だ。「DXを進める上で重要なのがサイバーセキュリティ対策です。DNPではサイバーセキュリティ対策を重要な経営課題の1つとして捉えています」（谷氏）。特に、攻めのDXを進める上で必須となるクラウドサービスを安心・安全に利用できるよう、ゼロトラストネットワーク環境への転換を早急に進めたという。

　サイバーセキュリティ関連の施策を迅速に進めるため、DX推進を牽引するICT・システムと新規事業、サイバーセキュリティの3つの組織が連携し、CISOが横串的に統括する形を取っていることが、DNPの大きな特徴となっている。

組織体制の特徴

インシデント対処を経験させて人材育成を図る「サイバーナレッジアカデミー」

　DNPでは、経済産業省と情報処理推進機構(IPA)が定める「サイバーセキュリティ経営ガイドラインVer3.0」に沿い、ガイドラインで示された重要10項目を網羅する形で具体的な対策を推進している。

　例えば「リスク管理体制の構築」においては、代表取締役副社長を委員長とする「企業倫理行動委員会」の下に「情報セキュリティ委員会」を設置し、その中に本社の「情報セキュリティ本部」が置かれている。この本部の中にあるCSIRT「DNPシーサート」が、情報システム部門のSOCおよびセキュリティ人材育成機関である「サイバーナレッジアカデミー」（CKA）と連携しながら活動している。

　「CKAはサイバー攻撃対策要員の実践型育成部署であり、DNPのセキュリティ体制の大きな特徴です。自社の人材育成に加え、お客様企業のCSIRT要員育成事業も行っています。」（谷氏）

　CKAは、サイバーセキュリティ経営ガイドラインの「資源（予算・人材）の確保」に当たる取り組みで、2016年に開講した。「イスラエル製のサイバーレンジを用いて企業の情報システム環境で実際に起こったサイバー攻撃を再現し、インシデントハンドリングを経験できる環境を提供するアリーナです」（谷氏）。最新の情勢にキャッチアップしていくため、セキュリティ専門家の名和利男氏を技術顧問に迎え、さまざまなアドバイスを受けている。また、経営層や一般従業員など役割・職層に応じて、動画などを活用したセキュリティ教育や対応訓練などを実施している。

　「保護対策の実施」においては、予防に当たる「サイバーハイジーン」と、侵入された後に速やかに対処・復旧するための「サイバーレジリエンス」の両面で、多面的な取り組みを実施している。

　サイバーハイジーンで注力しているのが「脆弱性管理」だ。「組織外部から攻撃者視点でスキャンするEASM（External Attack Surface Management）を利用しています。特にお客様向けのサービスについては、サプライチェーンの一員として高いセキュリティレベルが期待されているため、レーティング系ASMを用いて状況を数値化し、脆弱性が発見された場合にはCSIRT主導で是正措置まで行っています」（谷氏）

　「緊急対応体制の整備」および「復旧体制の整備」においては、保護対策として導入している統合監視プラットフォームをベースに、日々発生するアラートを調査・分析し、早期の検知・復旧につなげている。有事の際にはフォレンジックからインシデントレスポンスを行うことになるが、外部ベンダーと連携するほか、CKAで定期的に訓練・演習を積むことで、起こりうる事態に備えた体制を整備してきた。

　そして、「サプライチェーンセキュリティ対策」に関しては、サプライヤーの重要度に応じた取り組みを始めている。以前から呼び掛けてきた自主点検に加え、主要サプライヤーには「チェックシート」による評価を開始した。さらに、重要製品に関わる数10社についてはレーティングサービスによる評価を実施しているという。

工場や海外拠点も含めたセキュリティレベルの底上げを図る

　DNPにとってもう1つ欠かせない取り組みが、工場におけるセキュリティ対策だ。

　DNPは印刷会社という特性上、お客様の新製品情報や個人情報、機密情報が原稿として入稿されてくる。そうした情報を守るため、以前から物理、組織、人、そして技術の各側面から情報漏洩対策を進めてきた。

DNPグループの情報セキュリティ対策

　だが、サイバー攻撃の蔓延によって状況は変わり、内部犯行だけでなく、サイバー攻撃によって情報が漏洩するリスクが高まった上に、操業停止に陥るリスクも顕在化してきた。こうした背景から、サイバー攻撃への新たな対策が必要となった。ただ、オフィスおよび国内主要工場だけでなく、海外拠点やグループ会社全体を見てみると、セキュリティレベルは必ずしも十分には可視化されておらず、万全とは言えない状態にあった。

　DNPの事業分野は多岐にわたっているため、工場ごとに製造設備などが異なり、状況も一律ではなく、ITシステムのような統一的なサイバー攻撃対応が困難だった。また、長年工場の生産ラインはインターネットに接続せず、閉じた環境で運用されてきたため、従業員側に「うちは安全だ」という考えが根強く残っていたことも課題だった。

　そこでDNPでは、自社の情報セキュリティ基本方針に沿って「ガイドライン」を策定し、それに基づくチェックシートを作成して現状とあるべき姿のギャップを把握し、必要に応じて技術的・人的対策を導入して改善していくというアプローチによって、グループ全体でガバナンスを効かせる取り組みを進めている。

　中でもユニークなのが、工場従業員、特に管理職を対象とした「合同ワークショップ」の実施だ。「工場へのサイバー攻撃を実際に体験し、その体験に基づいて対応策を議論・検討してサイバー攻撃とセキュリティ対策についての理解を深める試みです。受講した社員からは『攻撃者の考え方や実行方法を学ぶことで対策の検討項目が具体的になった』といった意見が寄せられ、アウェアネスの向上につながっています」と谷氏は説明した。

DNPでは引き続き、各工場と本社とでコミュニケーションを取り、工場それぞれの状況を踏まえながら「工場サイドの課題」「本社サイドの課題」を整理し、継続的に改善していく方針だ。

　もう1つの重要課題が、海外拠点におけるセキュリティ対策だ。

　DNPではM&Aを通じて多くの企業を傘下に収めてきた。その際、対策は各拠点・事業部に任せる方針を採っていたため、本社部門としてなかなか実態把握ができないといった課題があった。

　そこでサイバー攻撃の高度化も踏まえ、海外拠点のセキュリティ対策方針を定め、DNPグループとしてのガバナンスを効かせるため、活動を進めることにしたという。

　中でも力を入れたのは、各海外拠点で同一のICT基盤を整備することだった。クラウドサービスを最大限活用した、拠点に必要な基本システム一式を「DNP Global ICT Platform」として標準化して展開することで、セキュリティの強化・可視化を図っている。

　これまでにDNP Global ICT Platformの導入率は75％に達した。プラットフォーム上の基幹システムも合わせて整備することで、新規に拠点を展開する際のITインフラ導入を迅速化するとともに、経営状況の見える化やIT投資の重複回避といった効果も得られ、全体として経営効率の向上につながっているという。

　EDR導入とSOCによる24時間体制での監視といった技術的対策、そして情報システム部門の人員を各エリアに駐在員として配置し、現地ITマネージャーと密に連携する組織的対策も推進し、課題の共有を進め、欧州の輸出指令をはじめとする各エリアの法制度への早期対応などを進めている。

グローバルガバナンス強化のための技術的対策