リコーのプロダクトセキュリティ
ペンテストの成果

米国本社を訪問して感じた技術力の高さ

ペンテストの質は、ホワイトハッカーのハッキング技術や経験などに左右されます。どの企業にペンテストを依頼するべきか──。比較・検討を重ね、同社が最終的に選定したのがシスコです。

「シスコは、様々なセキュリティ製品やサービスを提供しているだけでなく、製造業やサービス事業者として私たち同様にプロダクトセキュリティに取り組んでいます。その経験を通じて様々なノウハウを蓄積しており、しかも、そのノウハウはペンテストの専門のチームとも共有しているとのこと。そのことに大いに期待しました。また、シスコといえば、多くの人が知るグローバル企業。私たちもグローバルに事業を展開していますから、シスコと共に安全性を検証することで、多くのお客様の信頼感にもつながると考えました」と手島 裕之氏は言います。

また、神保 潤哉氏も「シスコの米国本社を訪問したのですが、ペンテストを担当するホワイトハッカーたちは、シスコのセキュリティ製品やサービスを支えているサイバーセキュリティ インテリジェンス＆リサーチ グループ『Cisco Talos』と連携して、最新のサイバー攻撃トレンドや被害状況を分析し、技術力に磨きをかけていました。その人材の豊富さや、ハードウェア、チップ、クラウド、アプリケーション、プログラムをカバーする技術力の高さを見てシスコにペンテストを依頼したいと考えました」と続けます。

高度な技術力を活かし様々な側面からリスクを検証

ペンテストは、約2カ月をかけ、大きくヒアリング、攻撃、分析、報告の手順で進みました。

「おそらく機械を分解してハードウェアの機構の脆弱な点を探し、侵入を試みたのだろうな──。レポートを読むと、シスコのホワイトハッカーが、私たちが想定した以上にあの手この手で疑似攻撃を繰り返したことが見て取れました。シスコ以外の企業にペンテストを依頼したこともありますがここまで幅広く、深いところまで安全性を評価してくれた企業はありません」と寺尾氏は話します。

レポートには、より安全性を高めるための改善提案も含まれています。リコーは、それらを検討しながら、プロダクトセキュリティの強化に積極的に役立てています。また、同社はシスコと共にプロダクトセキュリティ向上に取り組んでいることをリーフレットなどに記載して積極的に発信し、お客様の安心につなげています。

シスコのペンテストが複合機の安全性向上に貢献したことは、社内でも大いに注目され、他の製品やサービスを扱っている事業部からシスコのペンテストを実施したいという声が上がっているそうです。

「セキュリティ面で安全・安心な製品やサービスを提供することは、私たちが長く大切にしてきた品質保証と同じくらい重要な取り組み。今後も様々な施策に取り組んでいきます。もちろんシスコの協力にも期待しています」と手島氏は述べました。