「セキュリティ対策は情報漏洩対策」からの脱却を――ビジネスリスクと捉え、工場やサプライチェーンでの対策も推進するTOPPANグループ：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

グループ会社全体でベースラインを高め、委託先・調達先も含めた対策も推進

　2つ目のガバナンス面では、サプライチェーン対策が求められていることを踏まえ、海外拠点を含むグループ会社での対策徹底・強化と、取引先も含めた対策の2点に重点的に取り組んでいる。

　TOPPANグループには国内外に260社以上の子会社・関連会社があり、さまざまな国・地域の法令に準じてどのようにビジネスを展開するかが問われている。

　同社はまず「グループプライバシー方針」やグループ全体に適用するセキュリティの「ベースライン」を策定し、各社の対応状況を評価して改善につなげる仕組みを整えた。また、グループ各社のセキュリティ担当者が情報交換を行える場も用意している。

　こうした取り組みを進めると、中にはセキュリティ以前にIT体制自体が弱い会社も存在することが分かってきた。こうした会社も支援するため、サイバー攻撃を受けた際、TOPPAN本社のCSIRT体制を核にしてネイティブ言語を用いて対応が行える体制を、グローバルで確立しているという。

　一方、取引先も含めた対策は、「委託先」と「調達先」の2つに分けて推進している。

　TOPPANでは過去に、委託先がランサムウェア被害に遭った結果、自社の業務が影響を受けたケースがあった。だからといって、再発防止策として1万社を超える委託先全てに対し高度な対策を求めるのは非現実的だ。

　そこで、個人情報や、経済安保法で規定された重要情報を取り扱う業務委託先に重点的に対策を求めることとした。具体的には「委託先セキュリティ監査シート」による監査とセキュリティレーティングサービスによるチェックを実施し、この2つをクリアしていない企業以外には発注を禁止するルールを定め、運用している。

　その上で、調達先に対する取り組みも進めている。「まずはサプライヤーがサイバー攻撃を受け、調達に影響が出るリスクについて、社内でしっかりアセスメントすることをルールに盛り込もうと考えています」（池田氏）。すでに策定済みの「TOPPANグループサステナブル調達ガイドライン」も踏まえ、場合によってはセキュリティ面で必要な対策をサプライヤーに追加要件として求めていくことも視野に入れている。

　ただ「これらの取り組みは決して、われわれから一方的に要求するものではなく、あくまでサプライチェーン全体でよりセキュアな状態を目指す活動の一環です」（池田氏）とした。

複数の層に分けて教育を実施し、気がかりなことをすぐ相談・報告できる体制も整備

　技術的な対策もガバナンス面での取り組みも、それらを推進する「人」がしっかりしていなければならない。そこでTOPPANでは、「全社員」「職域・業務の担当」「専門セキュリティ人材」の各層に分け、いざという事態にすぐ気付き、適切に対処できるような教育や演習を実施してきた。

　例えば全社員向けの教育では、リテラシーの醸成を目的に、定期的なeラーニングと年に2回のメール訓練などを実施している。不審なメールを開いたか、開かなかったかだけで終わるのではなく、結果を踏まえて教育を実施するサイクルを回す部分に重点を置いているという。「TOPPANでは、被害の発生を防ぐには人が果たす役割も重要だと考え、社員一人一人がそれぞれの立場でセキュリティの最後の砦になる『ヒューマンファイアウォール』と定義しています」（池田氏）

ヒューマンファイアウォールの実現を目指して

　また担当レベルでは、開発者向けのセキュアコーディング教育をはじめとする「プラスセキュリティ教育」を実施している。さらに、専門セキュリティ人材については、グループ会社でサイバーセキュリティ人材育成サービスを提供しているArmoris（アルモリス）の力を生かして、手を動かしながらの実践的なトレーニングを実施し、自律的なサイバーセキュリティ組織の構築を目指している。

　もう1つのユニークな取り組みが、オリジナルの装置やVRコンテンツなどによってローラーへの巻き込みなど現場で起こりうる「ヒヤリハット」を体験できる「TOPPANグループ安全道場」の活用だ。この道場は2010年から安全研修の一環として用意したもので、外部企業にも提供しており、これまで600社が利用している。

　「この安全道場のメニューに、工場に対するサイバー攻撃を疑似体験できるメニューを2024年11月に追加し、もし、自分たちが管理している機器がサイバー攻撃を受けたらどうなるかを学んでもらい、対策につなげようとしています」（池田氏）

　このように技術とガバナンス、人にまたがる一連の取り組みを紹介した上で、池田氏は最後に改めて「サイバーセキュリティはビジネスリスクである」と強調した。

　「これまでセキュリティ対策というと、どうしても情報漏洩対策に注目しがちでした。しかし、ビジネスへ与える影響はそれだけではないことを踏まえると、この考え方からの脱却が必要です」（池田氏）。特にTOPPANのように、ITシステムだけでは完結しない製造業においては、「いかに早く問題を見つけ、業務を復旧できるか」という観点が必要となるため、BCPも活用しながら対策を進めるべきであるとした。

　ただ、ビジネスリスクの把握は、セキュリティ部門だけでは荷の重い作業だ。

　従って自社内はもちろん、グループ会社や他社と構築し、情報共有する体制をとり、気になることがあれば気負いなくエスカレーションしてもらえる仕組みと関係性、いわば共助の関係を作ることが重要だとした。

　もう1つのポイントは、関係者全員の意識と知識をアップデートし続けていくことだ。講演の中でたびたび言及した「個人情報漏洩だけを気にしているのは時代遅れ」という点に加え、「怪しいサイトにアクセスしなければ大丈夫、ウイルス対策ソフトが入っていれば大丈夫」といった既存の意識から脱却し、さらにAI時代への備えも必要だと呼び掛け、池田氏は講演を終えた。