リスク管理Navi
リスク管理Naviは、リスクマネジメント(Risk Management)に関しての情報サイトです。
住友精密工業 様
お客様 |
情報システム部 次長 芝崎 哲一郎 様 情報システム部 システム基盤グループ長 山東 俊喜 様 情報システム部 システム基盤グループ マネージャー 大井 英嗣 様 |
---|---|
ニュートン・コンサルティング |
執行役員 兼 プリンシパルコンサルタント 内海 良 アソシエイトシニアコンサルタント 石野 勝也 コンサルタント 大津 卓人 |
1961年創業の住友精密工業様は、航空宇宙機器から小型センサまでを幅広く手掛ける精密機械メーカーです。前身となる住友金属工業の航空機器事業部門から培われてきた確かな技術により、国内航空機の開発プログラムの大半に参画し、近年では海外民間機の開発にも携わっています。さらに産業機器では低温工業用大型熱交換器、LNG気化装置が世界トップクラスのシェアを誇る他、ICT分野ではMEMSや半導体の製造装置を開発、製造するなど多岐にわたる事業を展開されています。
この度、サイバー攻撃に対する組織の防御力を高める英国政府の調達基準、Cyber Essentials(以下CE)、Cyber Essentials Plus(以下CEP)の認証取得をご支援させていただいた経緯と成果について、情報システム部 次長 芝崎 哲一郎 様、システム基盤グループ長 山東 俊喜 様、マネージャー 大井 英嗣 様にお話を伺いました。
芝崎:当社は住友グループの一員として「信用を重んじ、確実を旨とする」という事業精神のもと、長年にわたって磨き上げてきた精密加工技術を生かし、「航空宇宙」「産業機器」「ICT」の3つの分野への事業を展開しています。
航空宇宙でいえば住友金属工業時代から手掛けている降着装置(脚)では、独自に設計から開発・製造ができる世界屈指のメーカーとして評価をいただいています。産業機器については航空機器の技術を転用した高効率な熱交換器や油圧機器をエネルギーや輸送などさまざまな分野に提供しています。さらにICTではMEMSや半導体の製造装置を開発・製造したり、半導体向けオゾン発生装置を手掛けています。
芝崎:情報セキュリティについては、従来、ISMS基準への適合をKPIとして自社内でモニタリングし、不足感のある部分はセキュリティの向上対策を図ってきています。また当社は防衛省向け装備品を供給していますので、昨今では防衛省のサイバーセキュリティ基準のベースとされているNIST SP800-171に沿った自己評価も実施しています。認証機関による具体的な基準としては、サイバーセキュリティに関し、2023年7月にCEを取得しております。
芝崎:当社の主要取引先の一つである英国のお客様からCEPへの準拠を求められたのが本プロジェクトを立ち上げた直接の理由です。同社からは今までも同社基準に基づいたサイバーセキュリティ対応が要求されてきていましたが、今般、具体的な認証取得が要件になりました。
昨年取得したCEはガイドラインに基づく自己評価形式で、我々だけでも対応できたのですが、CEPは認証機関による客観的なアセスメントやそれに伴うテスト、ヒアリング等があるため、専門家の知見をお借りしようということになりました。
芝崎:特に欧米の規格取得にあたっては、審査における対面の審査官の裁量が大きいという印象があります。適切な認証機関を選定の上、審査官と問題なくコミュニケーションが取れることが必要と認識しています。従い、規格に精通し認証機関とのやりとりもサポートいただけるコンサルティング会社の支援が必要と考えました。一方、米国系のNISTやCMMCの支援サービスを提供しているコンサルティング会社さんは多いのですが、英国のCE制度については情報が少ない。ニュートンさんに声をかけたのは、ネットで検索をかけた結果、プリンシパルコンサルタントの内海さんの記事が検索上位だったからです(笑)。
そこでご相談をさせてもらい、英国にあるニュートンさんのパートナー企業のニュートンUKと連携を取った支援スキームのご提案を受けたことからニュートンさんにお世話になることを決めました。CE制度にはスコープというNISTなどとは異なる独特の概念がありますが、我々のような多事業を展開する企業にとってITインフラストラクチャ全体で準拠を目指すのは現実的ではなく、対象範囲を明確に定義して進めていくには認証機関との適切なコミュニケーションと連携が不可欠だったため、この支援体制を高く評価したものです。
芝崎:今回のプロジェクトは、英国企業との取引にあたり必要な要件になったCEおよび上位のCEPの二つの認証を取得するというものです。CEはセルフアセスメントでしたから全体を2つに分け、Phase1にてニュートンさんによる第三者視点での適合評価、Phase2ではそこで抽出された課題に対する改善対応と認証取得に分けて実施しました。CEPはCE取得後3ヶ月以内に申請しなくてはならないルールがあるため、計画的なスケジューリングと認証機関との連携も必要でした。
Phase1の評価にあたっては認証対象とする具体的なスコープを決めるところからはじめました。そのスコープ内の運用について情報システム部として管理・把握している部分だけでなく、スコープ内のシステムユーザーのメンバーにもヒアリングを行う等、CE、CEPで求められている内容に準拠できているかどうか、現場の運用状況も洗い出していく手法をとりました。
改善対応のPhase2においては、Phase1の評価で明らかになった改善事項に対する対応ロードマップを作成し、それに基づいて対応しました。要改善事項は多岐にわたり、現場の協力も必要でしたので、スケジュールを見据えつつ対策を実施していきました。
認証機関とはPhase1の終盤からコンタクトを開始し、ガイドラインの各条文の解釈の確認や必要な対策について細かいコミュニケーションを重ね、認識合わせを行いながら慎重に進めていきました。条文は汎用的なものですから、どこまで詳細にアジャストしていく必要があるのかわかりづらいところもありましたので、認証機関とのコミュニケーションを通じて逐次、要求の確認を行いましたが、そこまで細かく見るのか、と驚くこともありました。
CEP取得の目途が立った時点でCEを取得し、その後CEPも無事に取得することができました。
大井:先述の通り、当社は今までもISMSへの適合を基準としたセキュリティを運用してきていました。サイバーセキュリティ対策における脆弱性対応のポイントについて全般的なOSや主要なアプリについての対策は一通りしていましたが、限られたメンバーしか使用しないシステムツール類や個々の端末の環境については万全とはいえない状況でした。事前調査の段階で認証機関から指摘があり、新たな脆弱性診断ツールも導入し、どのようにしたら安全性を高めることができるのか、ということを学ぶことができました。
芝崎:サイバーセキュリティ対策については、アクセス権の制限など、システムに対する利便性に制限がかかる側面がありますし、ユーザーに対する具体的な対応を要求するケースもあります。従い、プロジェクト開始当初は情報システム部として理解を得るのも大変で、ユーザビリティとセキュリティの双方を維持するために現場も苦労したと思います。
山東:それはやはりCE、CEPともに無事、認証取得ができたことですね(笑)。サイバーセキュリティ系の認証取得はCE制度が初めてでしたので、改善対策の実施は正直、大変ではありました。認証機関とのコミュニケーションも多いですし、審査においては内部脆弱性スキャンの実地審査があるなど、大変特徴的でした。ただ、認証を受けることで当社のセキュリティ水準は確実にあがったと思いますし、今後の課題も見えてきたので新たな目標もできました。
今回は特定の事業をスコープとしてCE、CEPを取得しましたが、当社は多事業展開していますし、サイバー犯罪の脅威は継続していますので、また別の分野においてもCE制度以外の同種規格への適合が求められる可能性もあります。全社的に全ての規格に同時に対応することは困難なため、部門や分野別にシステムやネットワークの分離など、システム全体の見直しも今後必要になってくる可能性があると考えています。
山東:手厚いサポートをいただき、感謝しています。かなり多くの対応事項がありましたが、根気強くお付き合いいただきました。また、英語での評価やヒアリング、審査対応など、言語的な壁にも不安がありましたので、ご支援に感謝しています。
大井:そうですね。私たちが直接やり取りすることはありませんでしたが、ニュートンUKから認証機関の候補も複数挙げてもらい、もっとも良い認証機関をご提案いただけたのは良かったです。
芝崎:いわずもがなですが、サイバー犯罪に対する脅威は今日の企業経営にとって大きなリスクになっています。また高度化するサイバー攻撃に対するため、政府関係機関による法的・行政的な整備なども今後ますます、進んでいくとも考えています。そうした当社を取り巻く環境や今回のようなお客様からのご要望にお応えするため、セキュリティ水準の維持・向上をしっかりと進めていくつもりです。CEP自体への対応としては毎年の維持審査が必要ですし、CE制度はガイドラインのアップデートもありますので、更新のタイミングではまたニュートンさんのご支援が必要になるかなとも考えています。
名称 | 住友精密工業株式会社 |
---|---|
所在地 | 兵庫県尼崎市扶桑町1番10号 |
設立 | 1961年1月 |
事業内容 | 航空宇宙機器、熱交換器、油圧制御機器、オゾン発生装置、MEMS・半導体製造装置、MEMSデバイスの設計・製造 |
利用サービス | Cyber Essentials認証取得支援サービス |
アソシエイトシニアコンサルタント
石野 勝也
重いプレッシャーを撥ね除けながらの認証取得
サプライチェーンセキュリティ強化の時代に
セキュリティリスクが増大している昨今、その重要なポイントの一つであるサプライチェーンにおいては、セキュリティに関する対応を求めるケースは非常に多くなっています。その証左として、今回のCE、CEPのような認証の取得を調達要件に含めるケースも珍しくなくなってきました。なかでも防衛産業関連においては、世界的に各種認証の取得を求める流れになっています。
そういった要望へ迅速に対応するために重要なのが、スコープの限定とレベル感の妥当性の証明です。今回のプロジェクトにおいても、CE、CEPを取得する対象範囲をまず定め、そこに対し認証の定める項目の対応を確認していく手順で進めていきました。
今回のような認証取得支援の際、私が胸に刻んでいるのが、世の中のサイバーセキュリティへの意識向上とともに担当者のプレッシャーはどんどん増しているということです。特に今回のプロジェクトにおいてはスケジュール感も決められており、その重要性も非常に高いものだったと感じています。プロジェクトを通して皆様にさまざまな対応をお願いしてまいりましたが、真摯に一つ一つ、丁寧に対応を進めてくださり、無事に取得へとつなげていただきました。
認証機関からの監査終了の合図と、恐らく問題なく取得できるであろうことを告げられた際、皆様の安堵した顔を拝見し、私も我が事のように嬉しく、達成感を味わわせていただきました。住友精密工業の皆様、ご支援の機会をくださり、ありがとうございました。