リコー セキュリティ統括センター – NIST SP 800-171を経営・現場の両目線で導入

セキュリティ強化のきっかけは「事業変革」「社会的要請」「外部評価」

現在の情報セキュリティ体制に至るまでの経緯についてお聞かせください。

手島氏：
2020年5月に当時の社長（現会長の山下 良則氏）がデジタルサービスの会社への変革を打ち出し、2021年６月にはAIを活用したデータビジネスに参入すると宣言しました。これをきっかけに設立されたのが我々、セキュリティ統括センターです。

2022年10月には経営層10名で構成されるセキュリティ委員会が発足し、そこで下された決定をセキュリティ統括センターが推進する形になっています。センター内にコーポレートセキュリティ統括グループ、プロダクトセキュリティ統括グループを置き、その後、ファクトリーセキュリティ統括グループも加えたことで、トップダウンを効かせやすい体制になりました。

セキュリティ強化を目指すこととなった背景には、貴社の経営方針に加えて外的な要因などもあったのでしょうか。

手島氏：
昨今報じられているようなサイバー攻撃や、不正技術などへのリスク対応強化の流れがあげられます。また、工場業務についてもセキュリティ体制を整備する必要が出てきました。以前は、工場はITインフラから隔離された領域でしたが、DXが進むなかで、ネットワークに接続して工場のデータを収集したり、そのデータを用いて効率化したりすることが求められるようになり、新たなセキュリティ対策が必要になったのです。さらに地政学的リスク、たとえば各国で個人情報保護を目的とした規制が厳しくなったという環境の変化もあります。

もう1つ、大きく影響しているのは外部評価です。いくつかのサイバーセキュリティ評価事業者が、公開情報や外部から収集できるイベント情報などを収集・分析することにより、格付けを始めました。その格付け結果を金融やサイバー保険を扱う企業がチェックして、保険契約の引受け可否や補償金額を考慮するようになるといった動きもあり、低い格付けがなされてしまうと、取引先との関係に影響が出てきてしまうおそれがありました。そこで、事業部それぞれが製品単位、事業環境単位で実施していたセキュリティへの取組みを、全社規模で強化できるように体制を整えたという面もあります。

レーダーチャートを用いた現状把握と目標設定

現在の体制における具体的な活動内容を教えてください。

手島氏：
セキュリティについて「分かりにくい」「捉えにくい」という声が上がっていたので、まず自分たちの活動領域・機能を明確化するところから始めました。活動領域としてはガバナンスをベースに、先ほど申し上げたようなコーポレートセキュリティ、プロダクトセキュリティ、ファクトリーセキュリティの推進、社内やお客様のデータを守るデータプライバシーポリシー強化があげられます。さらに、これらの施策のレベルを国際水準に引き上げるために、NIST SP 800-171（※）への準拠にも取り組んでいます。

活動機能としては、大きく分けてインシデントの予防と発生時の対応があり、NIST Cyber Security FrameworkとNIST Privacy Frameworkを使って活動内容の整理・遂行をしています。活動領域・機能を分類したことで、セキュリティについてディスカッションする際に、いまの議題が「どの活動領域の、どの機能についてなのか」を説明したり、議論の焦点を絞ることが容易になりました。

セキュリティ活動の現状把握や目標設定には、レーダーチャートを利用しています。これは、経済産業省の「サイバーセキュリティ経営ガイドライン」をベースにつくったもので、ガイドラインにある重要10項目を自分たちがどのレベルで実現できているのかをレーダーチャート形式で表したものです。これによって、経営層にも強化が必要なポイントが可視化され、対応策の議論がしやすくなりました。現在はチャートの各項目について、2025年度中に大手IT企業レベルか、それ以上の水準に到達することを目指しています。このやり方は経営層からも分かりやすいと評価されており、我々としても投資を求める際の説明に役立っています。

先ほどお話しした外部評価に対しては、各事業者がスコアリングを行ううえでの評価対象や評価方法といった仕組みを分析して、対策を図りました。なかには、社内から見ると必要十分なセキュリティを施していても、外からは「弱い」ように見えてしまう部分もあるので、対外的なアピールの意味も含めて対応を進め、いまでは十分なスコアを維持できるようになりました。

各国の思惑まで視野に入れ、グローバルの法規制に迅速に対応

貴社はグローバルで事業を展開されていますが、各国で一定のセキュリティレベルを備えるためにはどのような手段を講じているのでしょうか。

手島氏：
そこはまさに取組みを強化しているところです。多くのセキュリティ対策は地域拠点ごとに行っており、現状は求めるセキュリティ水準が高い地域に、全体のレベルを合わせることができたところです。引き続き、各拠点のセキュリティ関係者と打ち合わせをしながら、セキュリティレベルを引き上げる活動を進めています。たとえば、地域ごとに実施しているセキュリティ教育・訓練の内容を調べたり、SOCやCSIRTでどのような監視ツールを導入しているか、その結果の相関分析ができるソリューションを導入しているかといったことを確認したりしています。

桑本氏：
国内では2023年度に、各ビジネスユニットのなかに「部門セキュリティ委員会」を立ち上げてもらいました。これまでビジネスユニット内では、事業ごと、製品ごとにセキュリティ対策を行っていましたが、今後は部門セキュリティ委員会が各ビジネスユニット全体での情報共有や課題解決にあたることとし、NIST SP 800-171で求められるような多要素認証やアクセスコントロールなど、プロダクトだけでなくコーポレートのシステムでも実装しなければならないことは、セキュリティ統括センターとともに考える体制へ進化させようと考えています。

手島氏：
各ビジネスユニットがつくった製品すべてを我々がチェックすることは現実的ではありません。世の中の標準や法規制については我々とディスカッションしながら対応してもらい、製品のセキュリティ自体は部門セキュリティ委員会で担保してもらうということです。

セキュリティ業務の一環として、法規制の調査や対応も含まれているのですね。

桑本氏：
セキュリティ統括センターの大きな責務の1つが、国ごとに異なる情報セキュリティに関する法令・規制・ガイドラインの要件を分析して、その中にある共通点を抽出することです。最低限、何が求められるのかがあらかじめ把握できていれば、新たな事業や取組みに着手するときに、調査・対応にかかる工数・時間を削減することができます。

また、単に既存の基準や規制を分析するだけでなく、なぜそれがつくられたのか、その裏にある各国の思惑を読み解くことも重要です。たとえば、欧州は個人情報保護を通して、米国はNISTをはじめとしたセキュリティ基準を通して、経済性優位を確保しようという意図があると推測できます。そうした潜在的な意図を見極めて、次にどの政府がどういう基準・規制をつくろうとしているのかをつかみ、早めに対応策を考えるというのも我々の仕事です。お客様から「この製品を新基準に対応できるようにして」と言われてから対策を考えていては間に合わないので、各国のコンサルティング企業、弁護士の方々とも連携して情報収集に努めています。

個別の事業に関わる認可や認証、たとえばクラウドサービスのセキュリティ評価における日本のISMAPや米国のFedRAMPといった制度については、準拠する必要性の有無がお客様ごとに異なるので、そこは事業部ごとの判断になります。ただし、そうした制度で求められる要件は共通性があるので、これを分析して共通項を探るということは、セキュリティ統括センターが行っています。

NIST SP 800-171の採用でビジネスのリスク減・チャンス増を目指す

リコーグループでは2007年に、ISO/IEC27001をベースにした情報セキュリティの共通基準を整備されていますが、新たにNIST SP 800-171を採用したのには、どのような理由があったのでしょうか。

桑本氏：
背景としては、世の中の法規制が変わってきたこと、そしてサイバー攻撃の質が変わってきたこと等の環境変化が大きく、その例の1つとして、欧州の大手のお客様から、80以上の質問からなるセキュリティ評価シートが送られてきたことがありました。質問は「セキュリティのために◯◯ができているか」という内容で、ほとんどがNIST SP 800-171で求められている事項だったのです。欧州にもサイバーセキュリティに関する規制がありますが、そのうえで、NISTのガイドラインを気にしていることが分かり、まずはNIST SP 800-171を各国のサイバーセキュリティ規制対応のベースとしていこうと考えたのです。

NIST SP 800-171への対応を進めるにあたり、苦労された点はありますか。

桑本氏：
対応にあたっては、まずその要件を理解する必要があるわけですが、解釈が難しく、具体的に求める内容が分からない部分もありました。そこで、多くの工数はかかりましたが、まずは解説書をつくるところから始めたのです。その後は社内で勉強会を実施したり、現場部門の担当者と連携してNIST SP 800-171の要件と現状の製品・サービスとのギャップを確認したりしながら、取組みを進めています。

事業部門に協力を仰ぐ際や、経営層にNIST SP 800-171導入が必要であることを説明する際に、何か工夫したことはありますか。

桑本氏：
現場と経営の目線で、目的とメリットを示して説明しました。

まず経営層に対しては、NIST SP 800-171導入の意義について、個々の製品のセキュリティ強化のためではなく、全社的なセキュリティの底上げをして、企業としてのレピュテーションを高めるために採用すべきものなのだと説明しました。NIST SP 800-171に準拠することで、セキュリティインシデントやそれによる訴訟等を未然に防ぎ、ビジネスリスクを回避するために必要だということです。

一方、現場に対しては、NIST SP 800-171に製品が対応することで、セキュリティ性能の高さを対外的に示すことができ、ビジネスチャンスにつながると説明しています。それに加えて、お客様からは製品に対してのセキュリティだけでなく、製品の企画・開発・製造・販売といったバリューチェーンの事業環境に対してのセキュリティが求められ始めていることも伝えています。いまはまず、全社的なビジネスリスク回避のための対策から進めており、道半ばではありますが、一部、すでに複合機などでは、NIST SP 800-171で求められた機能を搭載した機種を発売しています。

2007年にISMSベースのグループ共通基準をつくってから、インシデントの未然防止を念頭に置いたセキュリティ対策を展開してきましたが、サイバー攻撃のトレンドや法規制が変わり、現在は、インシデントは完全には防ぎきれないことを前提にセキュリティ機能を強化しなければならない状況になっています。ルール厳守は社員の努力で何とかなりますが、機能強化にはコストがかかるうえ、単年でできるものではありません。

「セキュリティ対策はコストではなく、投資だ」という話もありますが、現実的にはなるべくコストをかけずにセキュリティレベルを高めなければならないわけで、そのバランスをとるのには苦労しています。たとえば、DXにより自動化した社内システムについて、そのままNIST SP 800-171の要件を実装すると大きなコストがかかる場合でも、業務に支障のない範囲で、部分的に自動化を諦めて手作業にすれば、それほどコストをかけずにNIST SP 800-171の要件に準拠できる、といった提案をすることもあります。

手島氏：
費用対効果を数字では出せなくても、どうすれば経営層や事業部門にビジネス面での効果を訴えかけられるかについては、他社のセキュリティ担当者の方々ともしばしば話をします。この記事もきっかけの1つとして、様々な方と情報交換できるとありがたいですね。

組織改革やNIST SP 800-171の導入で社内的な変化はありましたか。

桑本氏：
データドリブンでの意思決定や、データの保護について、より意識されるようになってきました。当社がデジタルサービスの会社へ変革しているなか、社内で扱う情報が増えている実情と、NIST SP 800-171は親和性が高かったと思います。

気軽に相談してもらえ、頼られるセキュリティ組織を目指す

セキュリティ統括センターでは、人員はどのように確保しているのでしょうか。

手島氏：
スキルを持った人材をキャリア採用しているほか、社内からセキュリティ業務にチャレンジしたい人を募集しています。IT関連部門以外からも応募がありますね。

セキュリティ業務では、施策を理解してもらうためにいろいろな部署を回って説明することも多いため、論理的に話ができる人、調整作業に抵抗のない人が適していると考えています。一方で、当社の製品や工場についての専門知識がないとできない仕事もあるので、そのあたりの教育手法については、いま議論を重ねているところです。

今後の展望・目標についてお聞かせください。

手島氏：
大手IT企業と同等のセキュリティレベルに到達すること、これが2025年度までの中期経営戦略で掲げている大きな目標です。

また、個人的には頼られるセキュリティ組織になることを目指しています。検証・評価だけを行う組織のようになってしまうと、何か問題が生じたときに、当事者がそれを我々から隠そうという意識が生じかねません。だからこそ、気軽に相談してもらえるような組織になることが必要だと思っています。

桑本氏：
私は、社内で蓄積してきたセキュリティ分野の知見をビジネスチャンスにつなげること、そしてデータドリブンとデータプライバシーを融合させて、お客様や社員の個人情報をしっかりと守っていくことを目指しています。リスクヘッジだけでなく、ビジネスに貢献できる組織になりたいですね。

（取材・文：渡邊智則、写真：岩田伸久）

---