ICカード専門工場に見る「高セキュリティ工場」の具体例

DNPセキュリティ連載コラム【工場ゼロトラスト】全5回シリーズ。
第5回は、『ICカード専門工場に見る「高セキュリティ工場」の具体例』をお届けします。

DNPセキュリティコラム　工場ゼロトラスト　第5回

【工場ゼロトラスト】全5回シリーズ
第5回： ICカード専門工場に見る「高セキュリティ工場」の具体例

本連載コラムでは、工場がさまざまなサイバー脅威にさらされていることを紹介した上で、工場を守り、操業を継続するためのヒントとして、グローバルなセキュリティガイドラインを拠り所に、ゼロトラストという新しい考え方にもとづくセキュリティ対策を実施することの重要性を説明しました。そしてさらに一歩踏み込み、「ヒト」「モノ」「情報」の認証にもとづく包括的な対策を進めていくことで、世界的に見ても高水準のセキュリティ工場をめざせることをご紹介しました。

しかし、漠然と「高セキュリティ工場」と言っても、いったいどんなものなのかイメージしにくいかもしれません。そこで最終回では、DNPのICカード製造工場を例に取り、工場向けのセキュリティ対策について詳しく説明します。工場におけるセキュリティ実装の参考にしていただければと思います。

建物自体の設計から人、設備、運用に至るまで、あらゆる観点でセキュリティを考慮した工場

DNPは、紙への印刷だけでなく、ありとあらゆる媒体向けに情報を加工し、出力する業務を行っています。なかでも、個人情報など最も機微な情報を取り扱うが故に非常に高度なセキュリティレベルを要求されるのが、クレジットカードをはじめとするICカードの製造・発行業務です。DNPでは茨城県牛久市のほか、埼玉県蕨市と奈良県磯城郡にICカード製造拠点があります。

高いセキュリティ性を追求した、国際カードブランド認定工場

クレジットカード情報はサイバー犯罪者にとって最も魅力的なターゲットのひとつです。クレジットカード情報を入手できれば、大きな金銭的利益が得られるのは言うまでもありません。そのため、カード製造工場では武装集団が直接工場を襲ってくるリスクや、従業員の過失や内部犯行による情報漏洩のリスクも考慮する必要があります。

DNPのICカード専用工場は、そのようなさまざまなリスクに備えて、物理的対策、技術的対策、人的・組織的対策といったさまざまな観点から包括的な対策を取っており、ISMS認証^＊やプライバシーマークを取得しているほか、クレジットカード国際ブランドの厳しい監査を経て各種クレジットカードの製造認定を受けています。

＜脚注＞
ISMS認証：日本情報処理開発協会（JIPDEC）が定めた評価制度。企業や組織がISMS（ISO/IEC 27001：情報セキュリティマネジメントシステムに関する国際規格）を適切に導入・実施しているかを認証する。

では、具体的にどんな対策が実施されているのか、いくつか紹介しましょう。

まずは建物の構造です。最近ではサイバーセキュリティの世界でも「セキュリティ・バイ・デザイン」という言葉が認識されるようになりました。DNPのICカード専用工場である牛久工場では、「セキュリティ・バイ・デザイン」が注目されるずっと以前から、敷地に建物を設計する段階において、建物の構造そのものや、入退ゲート、監視カメラの導入など物理セキュリティが考慮されています。

そして大事なのがヒトの認証と行動の追跡です。工場棟の内部はいくつかにゾーン分けされており、DNPの従業員であっても、担当でなければICカードの製造・発行現場には入れません。場所や業務によっては2人の従業員が目視や金属探知機などで相互に不正持ち込み・持ち出しがないかを検査したり、社員証のICカードに加え生体認証による多要素認証を行ったりするなど厳重なチェックを行っています。

もちろん、その後のヒトの行動履歴も記録しています。ゲートの入退室のログや監視カメラ、システムへのログイン情報などを突き合わせ、不正アクセスなどが発生していないかどうかを確認しています。

これだけ対策を講じていても十分というわけではありません。クレジットカード国際ブランドが認定した監査会社は、厳しいセキュリティ基準にもとづいて、毎年厳格に監査を行います。それも、物理的な対策はもちろん、世界中で起きたさまざまな事件・攻撃の経験をふまえた知見にもとづいて、あらゆる角度から物理的、論理的なセキュリティ体制が厳しくチェックされます。一昔前には、「万一、武装集団に押し入られたときに備え、火器を用意すべきだ」といった指摘があり、日本の法律に反するからそれはできないと海外監査官に理解してもらうのに苦労したこともあったそうです。

さらに、従業員にはDNP全体としてのセキュリティ教育に加え、月に1回を上回るペースで工場独自のさまざまな教育を実施しています。これらを通じて、さまざまな側面から従業員のリテラシー向上に努めています。

さまざまな対策の実施とノウハウの蓄積によるレベルアップを少しずつ繰り返し実現した高セキュリティ工場

このように、DNP自身の努力とクレジットカード国際ブランドの監査人の厳しいチェックを通じて、少しずつレベルアップしながら、いまでは「ここまでやるのか」と驚かれるほどの厳しいセキュリティ対策を実施しています。おそらく、日本国内はもちろん国際的に見ても、ここまでの水準で対策を実施している施設は、セキュリティ対策のしっかりした国際空港施設や金融系のデータセンターくらいではないでしょうか。

例え従業員や関係者であろうと、チェックを経た人だけに設備の利用を許可し、利用中の挙動はカメラなどでモニタリングする。さらに第三者の目で頻繁に繰り返し監査を行い、足りない部分があれば補っていくサイクルを繰り返していく——こうした高セキュリティ工場のあり方は、いまIT、OTの世界で求められているゼロトラストの考えに非常に似通った部分があると言えます。しかもそれを、ヒトや組織、物理的設備の面で徹底しているという意味で、参考にしていただける部分が多いと考えています。

ちなみに、これらDNPの高セキュリティ工場では、ITネットワークとOTネットワークを分離した上で、業務プロセスや運用体制をふまえてクローズドな環境で端末のOSやセキュリティ対策ソフトのアップデートを実現できており、そのためのノウハウも蓄積しています。

この連載コラムを通じて、いま、工場のセキュリティがどのようなリスクにさらされており、それらに立ち向かうために、「NIST SP800-207」などの標準で示されるゼロトラストの考え方に加えて、DNPがゼロトラスト以前から工場の構築・運用を通じて獲得したノウハウにもとづき「ヒト」「モノ」「情報」の認証をプラスした包括的なセキュリティ対策が必要であることを紹介してきました。

そしてDNPでは世界的なこうした潮流に先駆けて、物理・人・組織、そしてITやネットワークなど、あらゆる観点から世界標準に沿ったセキュリティ対策を施した高セキュリティ工場を構築し、運用し続けています。この取組みを通して蓄積してきたノウハウは「認証・セキュリティ　製品・サービス一覧」で紹介している各種のソリューションを通して皆さまに提供していきます。
（了）