顧客満足向上と製品安全
製品・サービスのセキュリティ強化
クリックするとページ内の該当箇所へジャンプします。
コニカミノルタのアプローチ
背景と課題認識
コニカミノルタは経営ビジョン「Imaging to the People」を掲げ、IoT、人工知能(AI)といった最新のデジタル技術を活用した製品・サービスの開発・提供に取り組んでいます。一方で、個人や企業を狙ったサイバー攻撃が増加する中で、その手口はますます高度化・巧妙化している実態があります。コニカミノルタが提供する製品やサービスにおいても、データセキュリティの脅威にお客様を晒すリスクを持つ可能性があります。そのため、セキュリティを確保した製品・サービスを提供し、市場における製品セキュリティ事故を未然に防ぐとともに、万が一事故が発生した場合には、お客様の被害を最小限にとどめ、迅速に復旧・解決する取り組みが求められています。
目指す姿
コニカミノルタは、従業員⼀⼈ひとりがお客様視点の品質意識を⾼め、製品・サービスの⾼信頼品質を実現するとともに、セキュリティ⾯でも安全で安⼼してご利⽤いただける製品・サービスの提供を⽬指します。
重点施策とKPI
重大な情報セキュリティ事故の徹底排除
重点施策(KPI) | 実績 | 目標 | 目標年度 | |
---|---|---|---|---|
2020年度 | 2021年度 | |||
情報セキュリティの重大事故※発生件数 | 0件 | 0件 | 毎年度 0件維持 |
2022年度 |
情報セキュリティの重大事業損失額 | 0円 | 0円 | 毎年度 0円維持 |
2022年度 |
- ※1
- 重⼤セキュリティ事故︓製品セキュリティに関し、製品使⽤者のビジネスに深刻かつ重⼤な影響を及ぼした場合を対象とします
セキュア開発・運⽤プロセスの推進
セキュアな製品・サービスを開発・運⽤するためのさまざまな取り組みを推進しています。
コニカミノルタは、セキュアな製品・サービスを開発・提供し、セキュアに運用・保守するための取り組みをグローバルで推進することにより、重大セキュリティ事故の防止に取り組んでいます。
製品セキュリティガイドライン
コニカミノルタは、「製品セキュリティガイドライン」としてセキュア開発・運用を実現するための社内規定やガイドライン類を制定し、グループ全体で製品・サービスのセキュア開発・運用プロセスを推進しています。製品セキュリティガイドラインに準拠した開発・運用は、原則としてコニカミノルタグループの全ての製品およびサービスに適用され、製品・サービスの企画・提案から廃棄・サービス終了に至るまでのライフサイクル全体、ならびに開発・運用委託先や調達先などのサプライチェーンを含む活動として実施されます。
また、製品セキュリティの課題について討議する、社内横断による「製品セキュリティ推進会議」を定期的に開催し、社内外のベストプラクティス情報を共有するなど、継続的なレベル向上に取り組んでいます。
全社推進体制
コニカミノルタ(株)は、品質担当役員を責任者とする製品セキュリティの全社推進体制を確立し、 品質本部主管の下、事業部門を通じてすべての製品・サービスに展開しています。
脅威分析とセキュリティ対策
製品・サービスの開発を進めるにあたり、システム設計上の脆弱性を排除し、セキュリティ事故の発生を未然に防ぐため、開発の上流段階で「脅威分析」を実施します。保護すべき資産に対し、想定されるセキュリティ上の脅威を網羅的に抽出し、それらに対抗するセキュリティ対策を検討して、要件定義に反映させます。
また、社内のセキュリティ関連の有識者による「セキュア開発CoE」を立ち上げ、開発部門がセキュア開発・運用プロセスを実施・強化するための支援を行っています。
脆弱性診断
コニカミノルタが開発するソフトウェアや、それに組み込むOSS(Open Source Software)モジュールやアプリケーションには、脆弱性と呼ばれるセキュリティ上の⽋陥が存在する場合があります。脆弱性を放置すると、サイバー攻撃によるセキュリティ事故を引き起こすリスクがあるため、開発段階で脆弱性診断を⾏い、製品・サービスのローンチ前に問題を修正しておく必要があります。
コニカミノルタでは、OSS利⽤状況を全社で⼀元管理するとともに、全社共通の脆弱性診断ツールとして、静的解析ツール(SAST)、動的解析ツール(DAST)を複数⽤意し、ソフトウェアやシステムの脆弱性の検出と修正を⾏っています。また、セキュリティ上のリスクが特に懸念される製品・サービスについては、ペネトレーションテスト※2 を外部に委託して実施するなど、さらに強固なセキュリティ対策を進めています。
セキュアな運⽤・保守
製品・サービスが市場にローンチされた後、お客様に安⼼して使い続けていただくため、セキュアな運⽤・保守のためのガイドラインを策定し、社内に展開しています。それにより、市場サポートにおける過失・過誤によるセキュリティ事故の防⽌に努めています。
製品セキュリティ教育
製品・サービスのセキュリティに対する従業員の意識とスキルの向上を目指し、セキュア開発・運用プロセスの実施を徹底させるため、従業員向けの教育プログラムを複数用意しています。新入社員教育、製品セキュリティ一般教育、脅威分析ワークショップをそれぞれ複数回開催し、延べ1,400人以上の従業員が受講しました。今後も教育プログラムを拡充・強化し、さらなるレベル向上を目指します。
脆弱性情報の収集と対処
製品・サービスの出荷後・運⽤開始後も、継続的に脆弱性情報を収集・対処し、安⼼・安全な製品・サービスを提供し続けます。
公開された脆弱性情報の収集と対処
ソフトウェアについては毎⽇新たな脆弱性情報が発⾒・報告されており、⽶国NIST※2 NVD※3では年間20,000件以上(2021年度実績)の脆弱性情報が新たに公開されています。そのため、製品・サービスのローンチ後も脆弱性情報を収集し、該当する脆弱性に対処することが求められます。NVD以外の脆弱性情報公開データベースも含め、これらの情報を日常監視し、コニカミノルタの製品・サービスに影響する可能性がある情報を早期にキャッチアップして社内に情報展開するとともに、影響を受ける製品・サービスに対しては、必要に応じてリスクを低減するための対策や緩和策を実施していきます。
- ※2
- NIST(National Institute of Standards and Technology)︓⽶国標準技術研究所
- ※3
- NVD(National Vulnerability Database)︓NISTが公開している脆弱性情報データベース
KONICA MINOLTA PSIRT
製品・サービスの脆弱性に関する情報を全社で⼀元管理し必要な対応を推進するとともに、社外の公的機関などと連携するための全社共通組織として「KONICA MINOLTA PSIRT※4 」を2017年12⽉に⽴ち上げ、活動を開始しました。また、社内IT資産のセキュリティ・インシデントを取り扱うCSIRTチームとも連携し、必要な対応をグローバルに展開する体制を整えています。さらに2019年5⽉には、92か国約500のCSIRT・PSIRTチームが所属する国際フォーラムである“FIRST”※5 に加盟し、企業間での情報連携やセキュリティ貢献が可能な体制を整えました。
コニカミノルタの製品・サービスに影響がありそうな脆弱性情報を発⾒した場合は、脆弱性情報の取り扱い⼿順を定めた社内ルールにしたがって、脆弱性の検証、トリアージ、対処を進めるとともに、必要に応じて情報公開を検討します。その社内ルールは、NISTのCybersecurity Framework※6 や、FIRSTのPSIRT Services Framework※7 、その他の国内外のガイドラインなどに基づいて構成されています。
PSIRTの重要な役割として、社外のステークホルダーからの脆弱性情報の受付と対応があります。コニカミノルタの製品・サービスに関する脆弱性がセキュリティ研究者やセキュリティベンダーなどによって発⾒された場合、PSIRTは直接的または間接的に脆弱性情報の届け出を受ける窓⼝として機能します。脆弱性の届け出を受けた場合、国際的な脆弱性ハンドリングプロセス※8※9※10に準拠して適切な対応を⾏います。
- ※4
- PSIRT (Product Security Incident Response Team): 製品やサービスの脆弱性対応チーム
- ※5
- FIRST (Forum of Incident Response and Security Teams): https://www.first.org/
- ※6
- Cybersecurity Framework: https://www.nist.gov/cyberframework
- ※7
- PSIRT Services Framework:
https://www.first.org/standards/frameworks/psirts/psirt_services_framework_v1.1 - ※8
- ISO/IEC 29147:情報技術-セキュリティ技術-脆弱性の開⽰:
https://www.iso.org/standard/72311.html - ※9
- ISO/IEC 30111:情報技術-セキュリティ技術-脆弱性ハンドリングプロセス:
https://www.iso.org/standard/69725.html - ※10
- 情報セキュリティ早期警戒パートナーシップガイドライン:
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
製品セキュリティ事故発⽣時の対応
市場で製品・サービスのセキュリティ事故が発⽣した場合、迅速な対応に努めます。
製品セキュリティ事故発⽣時のエスカレーション体制
セキュア開発・運⽤プロセスによりセキュリティ事故を未然に防ぐ対策や、ローンチ後の脆弱性情報の収集・対処に取り組んでいますが、設計上のバグや運⽤上の過失・過誤による問題が発⽣する可能性はゼロではありません。また、サイバー攻撃の⼿法も⾼度化・巧妙化を続けており、セキュリティ事故を完全になくすことは困難です。
コニカミノルタグループでは、市場品質問題への対応として「グループ市場品質管理規程」に基づく対応を進めていますが、製品・サービスのセキュリティ事故が発⽣した場合にも、製品品質に関わる問題が発⽣した場合と同様にグループ統⼀の「市場品質速報データベース」に情報を登録し、品質担当役員を含む社内関係者に即座に情報伝達しています。さらに、IT担当役員およびCSIRTにも情報展開し、全社を挙げてセキュリティ事故の早期復旧と原因解析、再発防⽌に努めています。万が⼀、製品・サービスに起因する事故で機密情報やお客様の個⼈情報が漏洩した場合などには、お客様へのお詫びと説明、ならびに関係省庁・関係機関へ速やかに報告いたします。