コニカミノルタ

コニカミノルタについて

顧客満足向上と製品安全

製品・サービスのセキュリティ強化

コニカミノルタのアプローチ

背景と課題認識

コニカミノルタは「課題提起型デジタルカンパニー」として、IoT、⼈⼯知能(AI)といった最新のデジタル技術を活⽤した製品・サービスの開発・提供に取り組んでいます。⼀⽅で、個⼈や企業を狙ったサイバー攻撃が増加する中で、その⼿⼝はますます⾼度化・巧妙化している実態があります。コニカミノルタが提供する製品やサービスにおいても、データセキュリティの脅威にお客様を晒すリスクを持つ可能性があります。そのため、セキュリティを確保した製品・サービスを提供し、市場における製品セキュリティ事故を未然に防ぐとともに、万が⼀事故が発⽣した場合には、お客様の被害を最⼩限にとどめ、迅速に復旧・解決する取り組みが求められています。

目指す姿

コニカミノルタは、従業員⼀⼈ひとりがお客様視点の品質意識を⾼め、製品・サービスの⾼信頼品質を実現するとともに、セキュリティ⾯でも安全で安⼼してご利⽤いただける製品・サービスの提供を⽬指します。

重点施策とKPI

  • セキュア開発・運⽤プロセスの推進(製品セキュリティガイドラインの展開)
  • 脆弱性情報の収集と対処(KONICA MINOLTA PSIRT)
  • 製品セキュリティ事故発⽣時の対応
  • 製品・サービスにおける重⼤なセキュリティ事故※1 発⽣件数 0件
※1
重⼤セキュリティ事故︓製品セキュリティに関し、製品使⽤者のビジネスに深刻かつ重⼤な影響を及ぼした場合を対象とします

セキュア開発・運⽤プロセスの推進

セキュアな製品・サービスを開発・運⽤するためのさまざまな取り組みを推進しています。

コニカミノルタは、セキュアな製品・サービスを開発・提供し、セキュアに運⽤・保守するための取り組みを推進することにより、重⼤セキュリティ事故の防⽌に取り組んでいます。

製品セキュリティガイドライン

コニカミノルタは、「製品セキュリティガイドライン」としてセキュア開発・運⽤を実現するための社内規定やガイドライン類を制定し、グループ全体で製品・サービスのセキュア開発・運⽤プロセスを推進しています。製品セキュリティガイドラインに準拠した開発・運⽤は、原則としてコニカミノルタグループのすべての製品およびサービスに適⽤され、製品・サービスの企画・提案から廃棄・サービス終了に⾄るまでのライフサイクル全体、ならびに開発・運⽤委託先や調達先などのサプライチェーンを含む活動として実施されます。
また、製品セキュリティの課題について討議する、社内横断による「製品セキュリティ推進会議」を定期的に開催し、社内外のベストプラクティス情報を共有するなど、継続的なレベル向上に取り組んでいます。

脅威分析とセキュリティ対策

製品・サービスの開発を進めるにあたり、システム設計上の脆弱性を排除し、セキュリティ事故の発⽣を未然に防ぐため、開発の上流段階で「脅威分析」を実施します。保護すべき資産に対し、想定されるセキュリティ上の脅威を網羅的に抽出し、それらに対抗するセキュリティ対策を検討して、要件定義に反映させます。

脆弱性診断

コニカミノルタが開発するソフトウェアや、それに組み込むOSS(Open Source Software)モジュールやアプリケーションには、脆弱性と呼ばれるセキュリティ上の⽋陥が存在する場合があります。脆弱性を放置すると、サイバー攻撃によるセキュリティ事故を引き起こすリスクがあるため、開発段階で脆弱性診断を⾏い、製品・サービスのローンチ前に問題を修正しておく必要があります。
コニカミノルタでは、OSS利⽤状況を全社で⼀元管理するとともに、全社共通の脆弱性診断ツールとして、静的解析ツール(SAST)、動的解析ツール(DAST)を複数⽤意し、ソフトウェアやシステムの脆弱性の検出と修正を⾏っています。また、セキュリティ上のリスクが特に懸念される製品・サービスについては、ペネトレーションテスト※2 を外部に委託して実施するなど、さらに強固なセキュリティ対策を進めています。

※2
ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法のこと。侵入実験または侵入テストとも言われる。

セキュアな運⽤・保守

製品・サービスが市場にローンチされた後、お客様に安⼼して使い続けていただくため、セキュアな運⽤・保守のためのガイドラインを策定し、社内に展開しています。それにより、市場サポートにおける過失・過誤によるセキュリティ事故の防⽌に努めています。

製品セキュリティ教育

製品・サービスのセキュリティに対する従業員の意識とスキルの向上を⽬指し、セキュア開発・運⽤プロセスの実施を徹底させるため、従業員向けの教育プログラムを複数⽤意しています。2019年度は、新⼊社員教育、製品セキュリティ⼀般教育、脅威分析ワークショップをそれぞれ複数回開催し、のべ約500⼈の従業員が受講しました。今後も教育プログラムを拡充・強化し、さらなるレベル向上を⽬指します。

製品の重大セキュリティ事故発生件数の5年間推移

2015年度 2016年度 2017年度 2018年度 2019年度
発生件数 0件 0件 0件 0件 0件

重⼤セキュリティ事故:製品セキュリティに関し、製品使⽤者のビジネスに深刻かつ重⼤な影響を及ぼした場合を対象とします。
集計対象:すべてのコニカミノルタ製品

脆弱性情報の収集と対処

製品・サービスの出荷後・運⽤開始後も、継続的に脆弱性情報を収集・対処し、安⼼・安全な製品・サービスを提供し続けます。

公開された脆弱性情報の収集と対処

ソフトウェアについては毎⽇新たな脆弱性情報が発⾒・報告されており、⽶国NIST※3 NVD※4では2019年の1年間だけで17,000件以上の脆弱性情報が新たに公開されています。そのため、製品・サービスのローンチ後も脆弱性情報を収集し、該当する脆弱性に対処することが求められます。NVD以外の脆弱性情報公開データベースも含め、これらの情報を⽇常監視し、コニカミノルタの製品・サービスに影響する可能性がある情報を早期にキャッチアップして社内に情報展開するとともに、影響を受ける製品・サービスに対しては、必要に応じてリスクを低減するための対策や緩和策を実施していきます。

※3
NIST(National Institute of Standards and Technology)︓⽶国標準技術研究所
※4
NVD(National Vulnerability Database)︓NISTが公開している脆弱性情報データベース

KONICA MINOLTA PSIRT

製品・サービスの脆弱性に関する情報を全社で⼀元管理し必要な対応を推進するとともに、社外の公的機関などと連携するための全社共通組織として「KONICA MINOLTA PSIRT※5 」を2017年12⽉に⽴ち上げ、活動を開始しました。また、社内IT資産のセキュリティ・インシデントを取り扱うCSIRTチームとも連携し、必要な対応をグローバルに展開する体制を整えています。さらに2019年5⽉には、92か国約500のCSIRT・PSIRTチームが所属する国際フォーラムである“FIRST”※6 に加盟し、企業間での情報連携やセキュリティ貢献が可能な体制を整えました。
コニカミノルタの製品・サービスに影響がありそうな脆弱性情報を発⾒した場合は、脆弱性情報の取り扱い⼿順を定めた社内ルールにしたがって、脆弱性の検証、トリアージ、対処を進めるとともに、必要に応じて情報公開を検討します。その社内ルールは、NISTのCyber Security Framework※7 や、FIRSTのPSIRT Services Framework※8 、その他の国内外のガイドラインなどに基づいて構成されています。
PSIRTの重要な役割として、社外のステークホルダーからの脆弱性情報の受付と対応があります。コニカミノルタの製品・サービスに関する脆弱性がセキュリティ研究者やセキュリティベンダーなどによって発⾒された場合、PSIRTは直接的または間接的に脆弱性情報の届け出を受ける窓⼝として機能します。脆弱性の届け出を受けた場合、国際的な脆弱性ハンドリングプロセス※9※10※11に準拠して適切な対応を⾏います。

※5
PSIRT (Product Security Incident Response Team): 製品やサービスの脆弱性対応チーム
※6
FIRST (Forum of Incident Response and Security Teams): https://www.first.org/
※7
Cyber Security Framework: https://www.nist.gov/cyberframework
※8
PSIRT Services Framework:
https://www.first.org/standards/frameworks/psirts/psirt_services_framework_v1.0
※9
ISO/IEC 29147:情報技術-セキュリティ技術-脆弱性の開⽰:
https://www.iso.org/standard/72311.html
※10
ISO/IEC 30111:情報技術-セキュリティ技術-脆弱性ハンドリングプロセス:
https://www.iso.org/standard/69725.html
※11
情報セキュリティ早期警戒パートナーシップガイドライン:
https://www.ipa.go.jp/security/ciadr/partnership_guide.html

製品セキュリティ事故発⽣時の対応

市場で製品・サービスのセキュリティ事故が発⽣した場合、迅速な対応に努めます。

製品セキュリティ事故発⽣時のエスカレーション体制

セキュア開発・運⽤プロセスによりセキュリティ事故を未然に防ぐ対策や、ローンチ後の脆弱性情報の収集・対処に取り組んでいますが、設計上のバグや運⽤上の過失・過誤による問題が発⽣する可能性はゼロではありません。また、サイバー攻撃の⼿法も⾼度化・巧妙化を続けており、セキュリティ事故を完全になくすことは困難です。
コニカミノルタグループでは、市場品質問題への対応として「市場品質管理規程」に基づく対応を進めていますが、製品・サービスのセキュリティ事故が発⽣した場合にも、製品品質に関わる問題が発⽣した場合と同様にグループ統⼀の「市場品質速報データベース」に情報を登録し、品質担当執⾏役を含む社内関係者に即座に情報伝達しています。さらに、IT担当執⾏役およびCSIRTにも情報展開し、全社を挙げてセキュリティ事故の早期復旧と原因解析、再発防⽌に努めています。万が⼀、製品・サービスに起因する事故で機密情報やお客様の個⼈情報が漏洩した場合などには、お客様へのお詫びと説明、ならびに関係省庁・関係機関へ速やかに報告いたします。

ページトップへ戻る