セキュリティ強化へ具体的な取り組み
セキュリティ統括センター所長 メッセージ
デジタルサービスの会社への変革を目指すリコーにおいては、デジタルサービスにおける地政学リスクの軽減のみならず、既存事業における収益性をより盤石なものとするため、「セキュリティ」を企業価値の一つとしてとらえています。その一例として、2021年に独自の自然言語処理AI (人工知能)などを活用して業務支援を図る新サービス「仕事のAI」シリーズを発売し、データビジネスに本格参入しました。
また、全社情報セキュリティに対する素早い経営判断と各国法規制への対応戦略を明確にし、セキュリティを企業価値向上につなげることを目的として「情報セキュリティ統括センター」を新たに創設しました(2023年6月 に「セキュリティ統括センター」に変更)。 官民挙げてのセキュリティ水準強化などの外部環境の変化を常に注視しながら、デジタルサービスの会社として柔軟に対応できるよう、継続的にセキュリティの取り組みを強化・改善し、それを実現するための情報セキュリティ体制を強化していきます。
株式会社リコー
セキュリティ統括センター 所長
手島 裕之
情報セキュリティ委員会の新設
「情報セキュリティ委員会」は、リコーグループのセキュリティに関する審議および意思決定を行うために当社の社長執行役員のもとに設置される機関として、2022年度下期に新設しました。当委員会は、一定の資格要件を満たす執行役員で構成されており、2023年度から原則四半期ごとに開催します。
当委員会では、主に、リコーグループのセキュリティ戦略、セキュリティガバナンス、セキュリティオペレーションについて審議を行います。
昨今、情報セキュリティに対するリスクは急速に高まっています。サイバー攻撃の頻発、不正技術の多様化・高度化(ランサムウェアなど)、各国法規制の強化・多様化、地政学リスクの顕在化など、企業の対応範囲も拡大しています。
また、デジタルサービスの会社への変革を目指す上で、既存事業における収益性をより盤石なものとするため、デジタルサービスにおけるセキュリティリスクの軽減のみならず、事業成長に向けた投資としてとらえ、取り組む必要があります。
近年、企業がDX化による企業競争力の向上を狙う一方で、解決すべきセキュリティの課題も生じています。このため、2022年度からセキュリティ統括担当であるCEOの直轄に、リコーグループ全体のセキュリティ戦略およびプライバシー保護戦略の立案・推進を担うセキュリティ推進部門を設置しました。当該部門は、セキュリティに対する素早い経営判断や、各国法規制への対応戦略の明確化など、当委員会の運営を支えています。
セキュリティ強化へ具体的な取り組み
プロダクトセキュリティ
セキュリティ・バイ・デザイン:商品・サービスのセキュリティを企画・設計段階から確保するセキュリティ・バイ・デザインの実践に取り組んでいます。セキュア開発の国際標準ISO/IEC27034-1に基く社内規定を制定し、順次適用を進めています。
セキュリティリスクへの取り組み:脆弱性対策については国際基準ISO/IEC 29147/30111に基づき脆弱性への早期対応を図っています。高いサイバー攻撃リスクに対する対応状況・注意喚起、セキュリティ研究者からの脆弱性報告の受付窓口の設置、脆弱性対策情報を提供しています。
コーポレートセキュリティ
ランサムウェアなど企業を標的としたサイバー攻撃が高度化、複雑化する中、リコーグループはサイバーセキュリティ対策をグローバルで推進しています。
CSIRTの設置と運用:2013年度よりRICOH-CSIRT(Computer Security Incident Response Team)を組織し、SOC (Security Operation Center)からのインシデント報告、社外CSIRT組織からの情報、セキュリティ情報サイトからの情報をもとに脅威を分析し、特定された脅威に対して迅速かつ最適な対応(証拠保全、攻撃解析、原因究明、拡散防止、事態収束)を主導しています。
SOCの設置と運用:リコーグループの保有するITシステムを常時監視することで、外部からの不正侵入、内部からの不正利用をいち早く検知し、CSIRTと連携することによりインシデントの早期対応を実現しています。
ファクトリーセキュリティ
工場ネットワークOT(Operational Technology)を対象とするセキュリティ強化を推進しています。一般的に攻撃者は強度の低い箇所から侵入を試みるため、オフィスのITと比較して強度の低い工場のセキュリティ強化は喫緊の課題です。
リコーグループでは、各工場が活動の主体となり、セルフアセスメントや第三者アセスメントによる状況把握、課題に対する対策強化活動を実施するとともに、組織によるガバナンスを強化する取り組みを継続的に実施しています。
データプライバシーポリシー
デジタル化の進展やビッグデータの利活用の広がりを背景に、データプライバシーや個人情報を含むパーソナルデータの保護への関心が高まっています。一方、パーソナルデータの利活用におけるルールはまだ明確ではなく、その活用がどの程度であれば適正かの線引きはされていません。さらにお客様の視点では、自分のパーソナルデータが適正に取り扱われているかやプライバシーが保護されているかが不明確であることは、懸念材料となっています。
リコーグループは、個人情報保護法等の法令に則り、お客様のパーソナルデータ全般に対してデータプライバシーポリシーを定義して情報管理に取り組んでいます。さらに、データビジネス事業を本格始動させ、AI 活用による新たな価値を創出し、お客様の成長と課題の解決に貢献していきます。
国際的なセキュリティ基準準拠に向けて
サイバー攻撃の増加と高度化に伴い、その標的は業種を問わず、無差別かつあらゆる産業に拡大しています。リコーグループでは、お客様の情報資産を守ることを第一に配慮したセキュリティ活動を行い、国際的な基準・ガイドラインである、NIST SP 800-171への準拠を目指します。この活動は「コーポレート」「プロダクト」「ファクトリー」「データプライバシー」を包括したセキュリティ強化の一環です。
リコーグループの「製品・サービス」は、セキュアな「事業環境」を目指しているお客様、またNIST SP 800-171に準拠した「事業環境」を目指しているお客様を想定し、NIST SP 800-171に必要な機能を搭載した製品を提供していきます。
また、リコーグループの「事業環境」においても、お客様の守るべき情報資産を厳格に管理し、保護するため、NIST SP 800-171に準拠した施策を継続的に行っていきます。
これらセキュリティ強化への取り組みは、リコーグループの「製品・サービス」の導入を検討されるお客様のセキュリティニーズに対応、情報資産を守ることに貢献し、お客様のビジネスリスクを低減します。
