多様な疑似攻撃で複合機の安全性を評価し製品の改善やお客様の安心といった成果につながる
「人を愛し 国を愛し 勤めを愛す」の「三愛精神」を創業の精神と位置付けている。“はたらく”に寄り添い変革を起こしつづけることで、人ならではの創造力の発揮を支え、持続可能な未来の社会作りに貢献している。
業種: 製造
所在地: 東京都大田区
従業員数: 81,017名
ウェブサイト: jp.ricoh.com/
リコーは、従来の CC 認証等のセキュリティ認証取得に加え、セキュリティバイデザインの考えに基づくプロダクトセキュリティ推進(株式会社リコー Web サイト) の一環として、複合機のペンテスト(ペネトレーションテスト)に取り組みました。
「複合機には、様々なリスクがあります。わかりやすいものでは、印刷物を出しっぱなしにしたり、記憶メディアを置きっぱなしにしたりしてしまい、そこから情報漏えいしてしまうリスク。FAX を利用する場合は番号の押し間違いというミスも考えられます。うっかりミスはなくとも、悪意のある攻撃によって外部からの攻撃を受けてネットワークに流れる情報を盗聴されたり、社内ネットワーク侵入の踏み台にされたり、内部のストレージごとデータを盗まれたりすることも考えられます」と同社の寺尾 雄一氏は言います。
それらのリスクに対応するために自社の視点だけでなく、第三者の視点や知見を借りて対策を強化したい。そう考え、外部のペンテストサービスの利用を検討することにしました。
「自身もプロダクトを開発しているシスコの経験に期待しました」
セキュリティ統括センター 所長 手島 裕之氏
ペンテストの質は、ホワイトハッカーのハッキング技術や経験などに左右されます。どの企業にペンテストを依頼するべきか──。比較・検討を重ね、同社が最終的に選定したのがシスコです。
「シスコは、様々なセキュリティ製品やサービスを提供しているだけでなく、製造業やサービス事業者として私たち同様にプロダクトセキュリティに取り組んでいます。その経験を通じて様々なノウハウを蓄積しており、しかも、そのノウハウはペンテストの専門のチームとも共有しているとのこと。そのことに大いに期待しました。また、シスコといえば、多くの人が知るグローバル企業。私たちもグローバルに事業を展開していますから、シスコと共に安全性を検証することで、多くのお客様の信頼感にもつながると考えました」と手島 裕之氏は言います。
また、神保 潤哉氏も「シスコの米国本社を訪問したのですが、ペンテストを担当するホワイトハッカーたちは、シスコのセキュリティ製品やサービスを支えているサイバーセキュリティ インテリジェンス&リサーチ グループ『Cisco Talos』と連携して、最新のサイバー攻撃トレンドや被害状況を分析し、技術力に磨きをかけていました。その人材の豊富さや、ハードウェア、チップ、クラウド、アプリケーション、プログラムをカバーする技術力の高さを見てシスコにペンテストを依頼したいと考えました」と続けます。
ペンテストは、約2カ月をかけ、大きくヒアリング、攻撃、分析、報告の手順で進みました。
「おそらく機械を分解してハードウェアの機構の脆弱な点を探し、侵入を試みたのだろうな──。レポートを読むと、シスコのホワイトハッカーが、私たちが想定した以上にあの手この手で疑似攻撃を繰り返したことが見て取れました。シスコ以外の企業にペンテストを依頼したこともありますがここまで幅広く、深いところまで安全性を評価してくれた企業はありません」と寺尾氏は話します。
レポートには、より安全性を高めるための改善提案も含まれています。リコーは、それらを検討しながら、プロダクトセキュリティの強化に積極的に役立てています。また、同社はシスコと共にプロダクトセキュリティ向上に取り組んでいることをリーフレットなどに記載して積極的に発信し、お客様の安心につなげています。
シスコのペンテストが複合機の安全性向上に貢献したことは、社内でも大いに注目され、他の製品やサービスを扱っている事業部からシスコのペンテストを実施したいという声が上がっているそうです。
「セキュリティ面で安全・安心な製品やサービスを提供することは、私たちが長く大切にしてきた品質保証と同じくらい重要な取り組み。今後も様々な施策に取り組んでいきます。もちろんシスコの協力にも期待しています」と手島氏は述べました。
多くのお客様が、コネクト、セキュリティ、そして変革のためにシスコのソリューションを活用しています。