富士フイルムビジネスイノベーション(富士フイルムBI)は、2024年7月、国内のデジタル複合機メーカーとしては“初めて”サプライチェーンにおけるセキュリティーの国際標準規格「ISO/IEC20243」の第三者認証を取得しました。
複合機のセキュリティー対策に携わり、今回の認証取得にも取り組んだ富士フイルムBI品質保証部とデバイステクノロジー事業本部(DT事本)の商品開発部門の皆さんに話を聞きました。
※ 認証取得は富士フイルムBI公式ホームページでも公表しています
▲左から、DT事本 システム商品開発部 大河内さん、品質保証部 北沢さん、品質保証部 土居さん、DT事本 エレクトロニクス開発部 谷畑さん
サプライチェーンにもセキュリティーリスクは潜んでいる
――セキュリティーと言えば「複合機」や「プリンター」といった商品自体に対して必要なものだとこれまで思っていましたが、サプライチェーンについてもセキュリティー対策を進めているのですね。
北沢:複合機やプリンターといった商品自体のセキュリティー対策は、旧富士ゼロックスの時代から長年にわたり取り組んできたこともあり、多くの方が認知されているのではないでしょうか。具体的には、不正アクセスや通信データの盗聴・改ざんを防ぐ機能を複合機に搭載するといった対策を行うことで、「NIST SP 800-171 / 172(JaSRO)評価」における最高評価「AAAis」や「ISO/IEC 15408認証」などを取得してきました。
それに対して、自社内のみならず、部品やソフトウェアなどのサプライヤーを含んだサプライチェーン全体のセキュリティー対策は、ここ数年で重要性が注目されるようになったという意味で新しい課題と言えます。
▲品質保証部で商品のセキュリティー対策を推進するグループを率いる北沢さん
土居:背景には、サプライチェーン上を流通する製品組み込み用ソフトウェアなどに対して不正なプログラムなどが混入し、最終製品を利用するお客様の情報システムが攻撃されるといった悪質な事例が拡大していることがあります。
今回、認証を取得した「ISO/IEC20243」は、製品サプライチェーンにおける不正な部品やプログラムの差し替え・混入、偽造品混入のリスク抑止をめざした国際規格です。認証の取得・維持を通じて、サプライチェーン全体に潜むセキュリティーリスクへの対策を維持・強化することができます。
▲複合機のサプライチェーンにおけるセキュリティーリスク
北沢:「ISO/IEC20243」の認証取得については、海外メーカーが先行していました。今後、富士フイルムBIとしてアジアパシフィックを越えて、全世界にビジネスを広げていく上で、国際標準のセキュリティー基準を担保できる体制にすることが重要だと考え、認証取得に動きました。
▲複合機「Apeos」シリーズとプリンター「ApeosPrint」シリーズを対象に取得した「ISO/IEC20243」の認証書
サプライチェーンに潜むリスクを洗い出す
――認証取得に向けて、どのように取り組みましたか?
大河内:認証取得に必要な要件は認証発行機関から明示されていますが、それぞれの要件をどう実現するのかについては具体的に定義されていないため、富士フイルムBIのプロセスに応じた施策を考える必要があり、簡単ではありませんでした。
そこで、まず一つひとつの要件に対する解釈を明確にし、その上で既存のサプライチェーンのプロセスと照らし合わせて、要件を満たしているか否か確認し、改善すべき点についてはプロセスの見直しや追加などを行いました。
そして、その内容を体系的に整理し、自社のセルフ審査に基づく「自己認証」を実施した上で、第三者認証にステップアップするという二段階方式で進めました。
▲複合機に搭載されるコントローラーのソフトウェアを開発する立場からセキュリティー対策に携わる大河内さん
――なるほど、認証取得に向けて相当入念に取り組んだのですね。
大河内:そもそも自社やサプライヤーのサプライチェーンにどんなセキュリティーリスクが想定されるのか、細かく脅威分析を行い、その情報を基にプロセスを点検し、必要な対策につなげていったことも、今回の取り組みの特徴と言えます。リスクの洗い出しが不十分だと、対策に抜け漏れが生じてしまうため、メンバー同士で何度も議論を行いましたね。
受容度の高いセキュリティー対策を追求
――いずれも社内外との連携が不可欠と思われますが、どのように進めましたか?
土居:社内については、特に調達部門や生産部門との協業が不可欠でした。これらの部門は、日々QCD(品質・コスト・納期)のレベルアップを最優先に取り組んでいるため、「セキュリティー認証の取得に向けてプロセスを変更・追加してください」と単に伝えるだけでは負担感が増してしまいます。
そのため、不正な部品や偽造品の混入を防ぐという目的に対して、過剰な施策を講じることなく、既存のプロセスの組み合わせ等で認証要件を満たせないかを互いに協議し、プロセスの変更・追加は最小限に抑える方針で取り組みました。
これは対サプライヤーに対しても同様であり、富士フイルムBIの要望や理屈だけを優先して相手方に過度な対応を強いることはできません。長年にわたるサステナブル調達※の取り組みにより富士フイルムBIの姿勢をサプライヤーが理解してくださっていたおかげで、今回の認証取得の活動にも協力いただくことができたものの、サプライヤーの対応負荷が極力増えないよう工夫を重ねました。
※ 環境、人権・労働、安全衛生、企業理念などの観点を重視しながら、サプライヤーから原材料や部品などの調達を行うこと
▲品質保証部でセキュリティー関連の法令対応や認証取得などを行うチームを率いる土居さん
――具体的にはどういう工夫をされたのでしょうか?
土居:例えば、サプライヤーから富士フイルムBIへの部品輸送の際に、第三者がその過程で梱包を開いて不正を加えるといったセキュリティーリスクが考えられます。そのため認証要件には、不正の発生がすぐに分かるように、剝がしたら痕跡が残るタイプの梱包用シールを用いることが推奨されていました。しかし、この内容をそのまま適用すると、サプライヤーに多大なコストや工数が生じてしまいます。
そこで、富士フイルムBIの生産拠点が部品の受け入れ時や、複合機の製造時および出荷前に行っている品質検査をもって、実質的に部品に潜む不正を検出する仕組みが備わっている、というロジックを提示するといったことをしました。
▲ISO/IEC20243の要件構成と領域
――ズバリ、セキュリティー対策の難しさを一言で表すと何ですか?
谷畑:私は「バランス」だと思っています。複合機単体、サプライチェーンのどちらにも当てはまりますが、万全なセキュリティー対策を追求しようとすればするほど、複合機をお使いになるお客様の利便性が低下したり、サプライヤーや調達・生産部門の対応負荷が上がったりといったジレンマが生じます。その中で理想的なバランスを見いだす難しさがあることを日々感じています。
――セキュリティー以外の観点も考慮して取り組む必要があるということですね。
谷畑:そうですね。ただし、セキュリティー強化を求める社会的なニーズが高まっていることは間違いなく、法規制も強化されています。個人的には、こうしたダイナミックな変化に対して最適な対策を考えることが、この仕事のやりがいになっています。
先進的なセキュリティー対策を行っているPCやサーバー業界の動向をにらみつつ、富士フイルムBIとして取り組みを一層進化させる必要があると考えています。
▲コントローラーのハードウェア部分などを開発する立場からセキュリティー対策に携わる谷畑さん
先進のセキュリティー対策をオール富士フイルムBIの武器に
――今後に向けた抱負をお聞かせください。
北沢:世界への市場拡大にセキュリティー面から貢献していきたいです。そのためにも、今回の認証取得を含めた富士フイルムBIのセキュリティー対策を、お客様に対して提供価値の一つとして効果的に伝えることが課題と捉えています。
土居:富士フイルムBIには、ソフトウェアやクラウドサービスなどハードウェア以外の商品も数多くあるため、さまざまなセキュリティー対策が求められています。こうしたセキュリティー対策をしっかりと行うとともに、セキュリティー対策が商品の価値向上につながるよう、高められるよう、お客様へのアピールを強化していきたいです。
大河内:富士フイルムBIは、複合機業界におけるセキュリティー対策のトップランナーだと思います。しかし、その地位を維持することは簡単ではありません。常にセキュリティーに関する新たな考え方や技術を商品やサプライチェーンに反映させることで、富士フイルムBIをより強い会社にしていきたいです。
谷畑:営業の皆さんがお客様に対して積極的に紹介したくなるような価値をセキュリティー分野からもお届けできるように、常に最新の技術や競合の動向を把握しながら商品開発を進めていきます。
※ 記事内容は2024年10月時点のものです