「セキュリティ対策は情報漏洩対策」からの脱却を――ビジネスリスクと捉え、工場やサプライチェーンでの対策も推進するTOPPANグループ：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

[高橋睦美，ITmedia]

　TOPPANは2023年に社名から「印刷」の文字を外し、デジタルトランスフォーメーション（DX）とサステナブルトランスフォーメーション（SX）の2つを追求している。

TOPPAN 情報セキュリティ本部ガバナンス部部長 池田望氏

　そんな同社にはいくつかの特徴がある。まず、創業以来軸としてきた、材料を加工し、色を塗り、データを処理するといった、印刷関連技術を応用して幅広いビジネスを展開していることだ。そして、このような事業の性質上、年間でのべ10億件以上の個人情報を取り扱っている。

　また、国内外に260社以上もの子会社・関連会社があり、異なる地域で多様な事業を展開していることも特徴だ。こうした幅広い事業領域に合わせて2万社以上に及ぶ顧客や取引先があり、分野ごとに異なる水準のセキュリティレベルを要求されている点も、他にあまり見ないケースと言えるだろう。

　そんな中TOPPANは、どのようにグローバル全体でのガバナンス確立やサプライチェーンセキュリティといった課題に取り組みつつDXを推進しているのだろうか。TOPPANホールディングス 情報セキュリティ本部ガバナンス部部長の池田望氏が「セキュリティ対策はビジネスリスクへの対策だ！　進化する脅威へのTOPPANの実践的アプローチ」と題して取り組みの一端を紹介した。

もはや他人ごとではない、身近に迫ったサイバー脅威はビジネスリスク

　世界経済フォーラムの「グローバルリスク報告書」では、情報・サイバーに関するリスクがグローバルリスクの上位として挙げられており、将来的にはAIによる悪影響も懸念されている。

　もう1つ無視できないのが、世界各国の法規制の動向だ。脅威の高まりを受け、個人情報やプライバシーの保護はもちろん、インシデントが発生した際に当局への報告を義務付ける動きが、欧州やアメリカはもちろん、中国、インドなど世界各国で広がっている。従って「現地法人が存在する国だけでなく、ビジネスの展開先やWebサイトへのアクセス者の国籍についても把握し、考慮する必要があります」と池田氏は述べた。

　TOPPAN自身も日々、サイバー攻撃の脅威を身近に感じているという。

　TOPPANグループ内でも、海外のグループ会社でランサムウェア感染が発生したことがある。情報流出とそれに伴うブランド・信頼の毀損、業務の停止や株価の低下といった影響を直接受けたのはもちろんだが、「攻撃を受けたグループ会社だけでなく、他は大丈夫か」と顧客から懸念を寄せられたという。

　セキュリティというとどうしても個人情報の漏洩に目が行きがちだが、場合によってはビジネス、さらに環境、財産、安全保障などに大きな影響を与えることもあり、いかにビジネスへの影響を最小化するかが問われていく。

情報漏洩だけでなく安全性、可用性に直結する課題として捉え、工場での対策を推進

　そんな中TOPPANでは、自社や顧客の安心・安全はもちろん、サプライチェーン全体でビジネスを加速させ、ひいては社会のイノベーションを牽引していくために、セキュリティ対策に取り組んでいる。具体的には、「技術的対策」「ガバナンスによる対策」「人的対策」の3つに整理して取り組んできた。

TOPPANのセキュリティへの取り組み

　技術的対策において今注力しているのが、「攻撃者視点でのリスクモニタリング」と「工場のサイバーセキュリティ対策強化」だ。

　セキュリティ対策の定石としては、社内の資産とそのリスクを洗い出し、リスクアセスメントを実施して優先順位を付けた上で手を打つことが挙げられる。池田氏は、この方法は極めて重要であるとしながらも、「システムの数が少ないうちは可能だが、クラウドを活用したシステム構築が増える中、全てを洗い出すのは困難になってきました」と、なかなか理想通りにはいかない実情があるとした。

　現在、TOPPANグループ全体で徐々にモニタリング範囲を拡大し、6000台以上を定期的にモニタリングしており、意図せず公開状態となっていたリモートデスクトップや、証明書の期限切れなどの問題を発見できた。「特に、海外のグループ会社で目の届きにくいところを監視し、問題を発見できるようになった点が大きな効果です」と池田氏は評価している。

　また、TOPPANではさらに運用できる人材の育成や、判断のベースとなる脆弱性情報の収集やクラウド設定監視の自動化にも取り組んでいる。

　もう1つ、製造業としてのTOPPANが力を入れているのが工場のセキュリティ強化だ。

　工場は、まだまだ現在のセキュリティ環境に追従できていないのが実情だが、それでも否応なしに製造DXは進んでいる。工場の設備はITとは全く異なる専用プロトコルが使われており、外につながないことで守られてきた世界が、インターネットにつながり、クラウドなどからの指示で装置が動くようになってきている。

　こうした背景から、工場におけるセキュリティ対策の必要性はこれまでになく高まっている。問題は、「何かしなくてはいけないことは分かるが、何をやればいいかがよく分からない」という点だ。

　池田氏は、これまでの情報セキュリティ対策が情報漏洩対策や個人情報保護に重きを置き過ぎており、適切な説明ができてこなかったがゆえに、安全や稼働率、品質を重視する工場の現場に「響かなかった」ことが大きな問題ではないかと指摘した。

　「個人情報を取り扱わない工場に対し、個人情報が流出するリスクをいくら語ってもあまり意味がありません。生産が停止する、不良が発生する、さらには安全上問題があるというように、工場における生産の継続や品質、安全といった現場が重視する事柄が毀損することを説明し、教育が必要です」（池田氏）

　TOPPANではこうした考え方に基づいて、経済産業省のガイドラインも参考にしながら、社内の「工場セキュリティガイドライン」を作成している。

　「あえて機密性や情報流出という言葉を避け、安全性、可用性を前面に出しました。かなりの反発もありましたが、これを乗り越えることが工場セキュリティ強化の取り組みにおいては重要だと考えています」（池田氏）

　実際、工場長や装置導入担当者にガイドラインの説明を行ったところ、「自分たちの生産活動が影響を受ける可能性がある」と実感できて「ようやく、現場との目線が合った情報の伝え方ができたと考えています」（池田氏）。さらに英語版を作成し、海外への展開も始めている。

工場セキュリティ強化への取り組み