情報セキュリティの知見を広める伝道師

オフィスのパソコンが、インターネットにつながっているというイメージの画像を背景にした佐藤俊介の写真

多様な業界の多くの企業がIoTの機器を導入し、インターネットにつながることで、こうした機器がサイバー攻撃の標的になる危険性も高まっている。加速度的に重要性が増す情報セキュリティだが、それに対する認識には、世界と日本で温度差がある。「製造業の立場」でのセキュリティコンサルタントとして、その差を埋めようとしているのが、大日本印刷株式会社(DNP)・情報イノベーション事業部の佐藤俊介だ。

  • 国際ブランドのクレジットカード会社からの信頼を獲得
  • 人間の性善説と性悪説の狭間で
  • 金融業界に続き他業界にもその知見を広めていく
  • 情報セキュリティの日本と世界とのギャップ
  • サイバー攻撃の増加や巧妙化でますます高まる需要

国際ブランドのクレジットカード会社からの信頼を獲得

クレジットカードのイメージ画像

情報コミュニケーション部門の企画開発担当としてセキュリティコンサルティングチームのリーダーを務める佐藤。DNPグループがクレジットカードの国際ブランドの厳しい工場監査に継続的に対応する体制を構築したことが、「カード工場」としてのセキュリティ体制を世界レベルに押し上げたと、彼は実感している。

DNPは1980年代にICカードの開発に着手し、個人情報を扱う高度なセキュリティが求められるICカードの製造・発行などで国内トップのシェアを獲得している。その事業を進めるなかで、毎年、国際ブランドのクレジットカード会社による認定監査を受けなければならない。そこでは、セキュリティカメラの設置や入室制限など、「フィジカル」と呼ばれる工場内の体制だけではなく、サイバー攻撃対策など「ロジカル」と呼ばれる対応も厳しく求められる。

佐藤は、国際ブランドのカード会社が策定したセキュリティ関連の仕様書を日本語に翻訳したり、監査の際の通訳を務めたりするなど、厳しい要求を工場のメンバーに伝える橋渡し役を担ってきた。クレジットカードを製造するDNPの複数の工場には、厳重な警備体制のもと、ごく限られた社員だけが入れる高セキュリティエリアがあり、佐藤はそのエリア内でのカード会社による監査対応をはじめとした業務経験も豊富だ。こうした貴重な経験を活かし、日本人として初めて、ペイメント カード インダストリー(PCI)セキュリティ スタンダード カウンシル(PCI SSC)の内部セキュリティ評価人(ISA)の資格を取得。現在では金融業界に加え、自動車など多様な業界のセキュリティコンサルタントとしても活躍する。

インタビューにこたえる佐藤

「様々な業界でIoT機器が導入されてインターネットにつながることで、こうした機器を標的としたサイバー攻撃も日々進化し、増加していますが、それに対して日本企業の多くは後手に回っているのが現状です。」佐藤は、情報セキュリティに対する国内の認識が不十分であると語り、自らの活躍の場を広げている。

人間の性善説と性悪説の狭間で

2008年、国際ブランドのクレジットカード各社は、カードを製造・発行する工場のサイバー攻撃対策に関する「ロジカル」の要求仕様を大幅に強化した。欧米のセキュリティ対策は、全てが信頼できない「ゼロ・トラスト」という、言わば性悪説の考え方に基づいている。DNPでも、以前から高度なセキュリティ体制を敷いていたものの、それ以上の基準を求められた。

侵入テストや脆弱性診断の定期実施など、現在多くの企業が実施している基準に加え、「USBメモリの使用後は複数回ランダムに上書きして削除」「Windows端末上の業務に不要なソフト等を削除」などの条件もあった。また、「従業員に付与された権限を退職日以前に無効化または削除」「無線機器を使用していなくても、無線LANチエックを定期的に実施」といった、性悪説を前提とした基準の内容も多く、基本的に性善説で動く日本企業としては、「そこまでやらなければならないのか?」と、現場からの反発もあったという。

工場内で、情報セキュリティの対応をしている部署のイメージ画像

写真はイメージです。

しかし、DNPの現場対応力は高い。仕様書にある基準についてカード会社の監査官が理由を説明すると、現場は、その目的をかなえる、より低コストのセキュリティ対策を考案し、監査官を唸らせることもあった。「工場で働く社員の大きな意識改革にも成功し、DNPのセキュリティ対策は、世界水準にたどりつきました」と佐藤は言う。

コストをかけない対策として、例えば茨城県にあるDNP牛久工場では、社外の来訪者に対して、社員が「こんにちは」と意図的に声を掛け、社外の人が工場内のどこにいるのかを多くの社員に周知させている。「有効なセキュリティ対策ですし、いらしていただいた方にも不快な思いをさせません。」

「セキュリティに関する海外の先進的な考え方をいち早く取り入れたことで、DNPはセキュリティ体制を一段と強化することができました」と言う佐藤だが、この知見がコンサルティングにも使えると確信したのは、2014年になってからだ。

金融業界に続き他業界にもその知見を広めていく

2014年4月、佐藤は、米国の大手流通企業で2013年末に発生した情報漏洩事件についての分析レポートをまとめた。すでに同種のレポートが作成されていると思っていたが、あるカード会社の役員に自らの分析結果を説明したところ、「タイムリーで斬新な分析」であると評価され、DNPがその会社のセキュリティ脆弱性診断を実施するきっかけとなった。

金融以外の業界の案件を手がけ始めたのは、その翌年の2015年。大手自動車部品メーカーのプロジェクトにオブザーバーとして参加することになった。自動車業界では当時、IoT時代の到来を受け、セキュリティ体制の強化、特に車載コンピュータの電子鍵(デジタルキー)の管理が課題となっていた。DNPは、長年にわたるクレジットカード製造・発行で培った鍵管理のノウハウを持つ。「大手グローバル企業の案件を開拓できたのは、プロジェクトチームとして強みを掛け合わせたことももちろんですが、DNPが同じ製造業という立場で、工場を運営する上での制約や、従業員の業務への取り組み方をはじめ、製造現場の事情を深く理解していたからだと思います。」

情報セキュリティの日本と世界とのギャップ

ビジネスパーソンがスマートフォンを使ってインターネットにアクセスしている様子

「日本の製造業では、今まで、情報セキュリティへの意識があまり高くなかったと思います。しかし、IoTやCASE*1の進展、工場へのロボティクスの導入など、製造業でもインターネットに機器等をつながざるを得なくなり、サイバーセキュリティ対策の強化が求められるようになりました。」しかし、本業として極めて高いセキュリティが求められる金融業とは異なり、製造業が同様のセキュリティ体制を即座に敷くことには無理がある、と佐藤は言う。「最高峰レベルの対策の即時導入について金融以外の業界に提案すると、息苦しくなって活動がストップしてしまう『高山病』になってしまいます。最適な運用方法やコストをにらみながら、段階的で無理のないセキュリティ対策の導入について提案しなければなりません」

世界のセキュリティ対策の先進事例を伝えることも、コンサルタントしての大事な役割だ。セミナーで講師を務める際も、世界のサイバー攻撃についての質問が多い。それに答えるには、常に世界の最新情報を入手することが大切だ。佐藤は、世界各地の数十ものセキュリティ情報サイトを自分のスマートフォンでブックマークし、通勤などのすき間時間を利用して情報収集に専念する。

サイバー攻撃の増加や巧妙化でますます高まる需要

今後の展望を話す、佐藤

サイバー攻撃がより巧妙になり、件数も増加するなかで、佐藤等が提供するセキュリティコンサルティングの需要は、今後ますます増えると予想される。「ゼロ・トラストの考え方をいち早く取り入れたDNPの確かな知見は、日本企業にとって大きな武器になると考えています。」

今後の日本では、金融や自動車分野だけでなく、特に医療分野でのセキュリティ強化が必要になると佐藤は考えている。日本では顕在化していないものの、海外では頻繁に医療分野のセキュリティが破られているからだ。佐藤は社内の後進の育成に注力しながら、成長分野である医療分野にも対応していく予定だ。

仕事漬けの日々が続くなか、息抜きは家族と休日に楽しむ「ポケモンGO」だ。自宅の周りを歩きながらポケモンを探し出してバトルに挑む。運動になるので健康管理にも役立っている。

*1 CASE:自動車業界の技術革新分野として、Connected (コネクテッド)、Autonomous/Automated(自動化)、Shared (シェアリング)、Electric (電動化)の頭文字を取った言葉。

※公開日:2020年6月10日
※部署名や製品の仕様などの掲載内容は取材時のものです。予告なしに変更されることがありますので、あらかじめご了承ください。