大日本印刷(DNP)グループでは、印刷と情報の強みを掛け合わせることで、新たなビジネスモデルの創出を目指すDXを推進している。そのなかで重要な経営課題の1つとして取り組んでいるのが、サイバーセキュリティの強化だ。

6月26日~27日に開催された「TECH+セミナー セキュリティ 2025 Jun. 今を守り、未来を築く」にDNP情報システム 執行役員 サイバーフュージョンセンター センター長 兼 大日本印刷 ABセンター サイバーセキュリティ事業開発ユニットの谷建志氏が登壇。約3万7000名の従業員と4万5000台のデバイスを抱え、海外にも多くの拠点を持つ同社のサイバーセキュリティへの取り組みについて説明した。

サイバーセキュリティを経営課題として重視

DNPグループでは現在、社会や顧客企業に提供する価値の創出と、経営基盤の強化の2つを軸にDXを進めている。価値創出については、デジタルを活用して既存の製品やサービスに新たな価値を付加するとともに、新規事業や成長牽引事業に集中投資する。一方、サイバー攻撃や市場のグローバル化などの経営課題に対応するため、グループの経営基盤としての情報システムの強化も図っている。

「DXを進めていくうえで重要なのがサイバーセキュリティであり、経営課題として重視しています」(谷氏)

「サイバーセキュリティ経営ガイドライン」に基づいた対策

サイバーセキュリティについては、体制の整備や社員教育、資源の確保、サプライチェーン全体の状況把握など、IPAの公開する「サイバーセキュリティ経営ガイドラインVer.3.0」に記載される重要事項を網羅した基本方針を策定して対策を進めている。DNPグループではセキュリティを強化するため、保守運用などを担うセキュリティプラットフォームチームと、脅威ハンティングを行うセキュリティ運用チームを統合したサイバーフュージョンセンターを組成し、プラットフォームの実効性と対応のスピードを両立できる体制をつくった。

例えばリスク管理体制の構築は、本社情報セキュリティ本部のDNPシーサートを中心とするかたちで、社内機関のSOC(セキュリティオペレーションセンター)、対策要員の実践型育成サービスであるCKA(サイバーナレッジアカデミー)と連携してグループ会社を含めた全体のセキュリティ強化を図るとしている。保守運用などを担うチームと、セキュリティに関する運用を行うチーム、さらに脅威ハンティングなどの高度な分析知識を持つメンバーを統合した「サイバーフュージョンセンター」を組成し、プラットフォームの実効性と対応のスピードを両立できる体制をつくった。

  • DNPグループの情報セキュリティ管理体制

人材や予算などの資源の投資判断のためには、前述の重要事項の実施状況を可視化する「サイバーセキュリティ経営可視化ツール」を活用。レーダーチャートで対策状況を把握して、投資の優先順の検討に役立てている。人材育成はCKAが担う。CKAでは、実際に起きたサイバー攻撃を再現し、それを体験することで対応策を学ぶ。攻撃の再現にはイスラエルの「TAME Range」と呼ばれるサイバーレンジシステムを用い、現地でトレーニングを積んだ同社社員がトレーナーを務めているという。さらに、セキュリティ担当者向けにCSIRT要員育成訓練を実施するほか、経営層や一般社員向けのカリキュラムや、組織間連携の机上演習をメタバース上に構築したカリキュラムも用意されている。

保護対策については、予防に当たるサイバーハイジーン対策と、侵入後の迅速な復旧に当たるサイバーレジリエンスの両面から取り組んでいる。Palo Alto Networksの統合セキュリティプラットフォームを中核としたシステムで、統合化、自動化を進めているそうだ。

脆弱性管理は、EASM(External Attack Surface Management、外部攻撃面管理)によって攻撃者視点で外部からのスキャンを行っている。一方、顧客企業に提供するサービスについてはレーティング系ASMで点数化することで、より高いセキュリティレベルを確保している。また、全IT資産の調査やリアルタイムの脆弱性修正状況の把握、修正プログラムの配信のためにTaniumを導入。さらに内部情報漏えい対策としてグループ会社が開発した「CWAT」を導入し、重要な技術情報を社外に持ち出させないようにしている。

緊急対応体制については、AIを活用する「Cortex XSIAM」を用いて日々検知されるアラートの分析や誤検知のチューニングを行い、検知から初動対応までをカバーする。また、インシデント時に外部ベンダーと連携し、迅速にフォレンジック対応ができる体制も構築した。

サプライチェーンについては、従来からサプライヤーの自主点検を促してきたが、状況をより正確に把握するためチェックシートによる評価も開始。さらに重要製品に関わる数十社についてはレーティングサービスによる評価も行うなど、サプライチェーン全体のセキュリティレベルの維持に努めているという。

海外拠点のセキュリティ対策を統一

DNPグループは海外にも多くの拠点を持つが、従来はそれぞれの拠点に対策を委ねてきたため、本社がその実態を把握するのが難しかった。そこで海外拠点におけるセキュリティ対策方針を定め、全拠点が同一のICT基盤を利用することとした。そのために整備したICT基盤が「DNP Global ICT Platform」、通称「デジプラ」だ。基本的にはセキュリティやコミュニケーションのインフラ基盤だが、海外ERPとして会計や受発注、在庫、売上等の基幹システムも提供する。

「デジプラの導入は、セキュリティの強化や可視化はもちろん、拠点開設時のシステム整備の期間短縮、IT投資の重複回避など経営効率の向上にもつながっています。現在の導入率は75パーセントです」(谷氏)

  • DNP Global ICT Platformの概要

海外拠点のエンドポイント対策としては、国内と同じEDRを導入、サイバーフュージョンセンターが日本から24時間体制で監視・運用を実施、月次レポートをCISOや情報システム本部、CSIRTに報告している。グループ施策を徹底させ、日本と連携しながら対策を考える目的で、駐在員も配置している。監査スキームをさらに強化するため、今後は欧州のNIS2指令をベースとしたセキュリティチェックリストを整備する予定だ。

攻撃経路の理解と対策製品の統合で運用を強化

「セキュリティ対策の目的は、インシデント報告の義務化と迅速化への備え」だと谷氏は話す。そのために企業がとるべき対応は、復旧・報告の体制を構築することと、その体制を実行可能な状態にしておくことだ。

「重要なのは、導入した対策製品を最大限活用できるようシンプルな構成にしておくこと、そしてサイバー攻撃の経路を理解しておくことです」(谷氏)

運用している多種のセキュリティ対策製品が発するアラートを確実に処理するため、DNPでは前述のCortex XSIAMをベースに、サイバーフュージョンセンターで統合的に監視する体制を整え、迅速なインシデント判断と対処ができるようにしている。

攻撃経路の理解のために活用しているのは「MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)」だ。MITRE ATT&CKは脆弱性を悪用した攻撃の戦術や手法を分類したナレッジベースであるため、攻撃の経路を理解し、効果的な回避策を検討できる素養を身につけられる。そして攻撃経路を理解する人材を増やすため、これをプログラム化し、CKAでのトレーニングにも活用。さらに、開発保守チームと運用の監視分析チームを対象に、半年間「サイバー攻撃のシナリオのシャワーを浴びるプログラム」(谷氏)も実施している。

「セキュリティプラットフォームを構築・運用する人たちが攻撃経路を理解していれば、効果的な防御策を講じることができます。運用する対策製品のアラートを疑い、攻撃の予兆を見つけられるようになれば、今後攻撃や対策製品がAI化しても製品に使われるのではなく、攻撃を理解し製品を使い切ることができると考えています」(谷氏)

ここで重要なのは、会社の維持・発展に合わせてこうしたセキュリティ体制も維持・発展させていかなければならないということだ。つまり、持続的に体制を維持し成長させるサイクルをつくる必要がある。

「セキュリティに関わる人の数を増やすということではなく、組織体制として活動を成長させ続けることが必要です。人材は有限ですから、統合化、自動化と人材のバランスをとっていくことが必須になります」(谷氏)

最後に谷氏は、グループ全体で統一した施策を打つこと、構築した体制を実行可能な状態にしておくこと、そして体制を維持、成長し続けるために人材を育成し続ける仕組みをつくることが重要であると改めて強調した。

「これらを踏まえ、対策製品を統合化し、シンプルな構成で徹底的に使いこなす運用がとくに重要です」(谷氏)