Brother banner

ケーススタディ

ブラザー工業株式会社

ブラザー工業株式会社

ブラザー工業株式会社

欧州のサイバーセキュリティ新規制(RED Cybersecurity)対策を通じて達成した
ノウハウ蓄積と人材の育成

-今、そして未来のお客様の安心のために-

<概要>

サービス利用企業:ブラザー工業株式会社

サービス利用目的:REDサイバーセキュリティへの対応

テュフズードジャパンの提供サービス:
無料ウェビナー、ETSI EN 303 645トレーニングとギャップ分析、REDサイバーセキュリティトレーニングとギャップ分析

サービス提供期間: 約3年 (現在も別プロジェクト進行中)

IoT機器の普及に伴い、機器自体がサイバー攻撃の対象となるリスクが世界的に高まっている。欧州連合(EU)では2022年、無線機器指令1(Radio Equipment Directive、以下RED)にサイバーセキュリティ要件が追加され、製造業に具体的な対応が求められるようになった。米国・英国・オーストラリアなどでもセキュリティ規制が広がっており、“製品の安全性=企業の信頼性”という構図が国際的に定着しつつある。

日本を代表するグローバル企業の一つであるブラザー工業株式会社(以下、ブラザー)でも、2010年代後半から海外顧客を中心にセキュリティ対応に関する問い合わせが急増し、社内での課題意識が高まるとともにさまざまな取組みを開始した。そのひとつとして各国規制強化への追従がある。動向調査の中でEUの新規制(RED Cybersecurity)を知り2021年頃より準備を始めた。当時、整合規格はまだ存在せず、IoTセキュリティの代表的な規格であるETSI EN 303 6452をもとに要件の具体化を試みた。しかし、規格書には定性的な要件が示され、何をどこまでやれば適合と言えるのかを明確にできないことに課題を感じていた。

ブラザーは今後、REDに限らず同様の規制が世界に広がると見据え、将来に向けて自社で適切に対応できる知見やノウハウを構築することが重要と判断。テュフズードジャパンにコンタクトを取り、一連のサポートを受けることとなった。

取り組みから3年。REDサイバーセキュリティ対応の中核を担ったプリンティング・アンド・ソリューションズ事業の柳氏、藤原氏、京谷氏に取り組みの背景と、対応過程での経験、対応の成果を聞いた。

 

BrotherBrotherBrother

写真左から柳氏、藤原氏、京谷氏

 

市場で求められるセキュリティに追従できる会社となるために

 ブラザーでは2010年代後半からセキュリティに関するお客様からの問い合わせが増える中、市場の意識や関心が明らかに変化していることを実感していた。

そんな中、具体的な動きとして2021年ごろよりREDサイバーセキュリティに関する情報をキャッチし、情報収集や関連規格ETSI EN 303 645の調査を開始した。規制について調べ、対応を検討する中で壁に直面する。

「規格に記載される内容が定性的であり、どこが合格ラインなのかの見極めに非常に苦労しました。」(柳氏)   

今後、RED以外にも同様のセキュリティ関連の規制が広がっていくことが予想される中で、認証機関にサポートを依頼する決断をした。

ブラザーが重視したのは、単なる規制対応ではなく、自社で判断・対応できる土台づくりである。

「将来に向けて、自社で適切に判断できる知見やノウハウを構築することが重要だと考え、この分野に精通する認証機関のサービスを受けることにしました。」(柳氏)

この先を見据えて本質に取り組む動きにはブラザーの独自の社風があったという。

「外部サービスに任せるのではなく、自分たちでできるようになろうという社風があり、現場でのモチベーションも高かった。」(京谷氏)

「そうした土台があったため、手取り足取り教えてもらう“ティーチング型”ではなく、ギャップを提示され自ら考える“コーチング型”のやり取りとなる認証機関のサポートを選びました。」(柳氏)

yanagi-shi
プロジェクトコーディネーターの柳氏

対象製品と選定理由

ブラザーがギャップ分析の対象として選んだ製品はビジネス用フラッグシップモデル「MFC-EX670」。 
 Brother  Brother
 MFC-EX670    プロジェクトメンバーで対象モデルを囲んで

「昨今のビジネスニーズを踏まえてセキュリティ仕様を一から見直した製品であり、ここで実現した技術が以後の各製品に反映されています。ブラザーの全モデル(150機種以上)への展開を見据えた上で、最適な分析対象と判断しました。」(柳氏)

こちらの規制対応が実現することで、ブラザーが保有する全機種で規制対応出来る体制が整うことになる。全製品への対応を目指しての戦略的な製品選定からも、同社のセキュリティ対策への本気度がうかがえる。

 

理想的なプロジェクトチーム

 ブラザーにおいて、セキュリティ規制対応プロジェクトに主に取り組んだのは、前述の藤原氏、京谷氏、柳氏の3名だ。藤原氏、京谷氏はレーザープリンター・複合機のソフト開発部門に属しこれまでに多くの製品に携わった経験を持ち、柳氏はブラザー全社事業の視点で製品セキュリティの技術向上に長く携わっている。柳氏が本プロジェクトをコーディネートし、レーザー製品以外で対象となるインクジェット製品、ラベリング製品も含めて藤原氏が全体のマネジメントを、京谷氏がリーディングを行う形で体制が組まれた。

この3名に加え、各製品カテゴリでアサインされたキーメンバー10名程度を中心に、最終的には商品企画、品質、CS、法務、海外販社とも連携して規制への適合を完遂した。

Brother
プロジェクトマネージャーを勤めた藤原氏

 「ブラザーさんの今回の体制はテュフズードとしてもモデルケースとさせてもらっています。規制対応を進めて頂く上では一つの成功例であったと考えております。特に中心メンバーの皆様のガバナンスがプロジェクトチーム全体に効いており、実際の作業を効率的に進めて頂いていた印象です。」(テュフズード担当者、丸山)


もともとブラザーでは縦割りの社風はあまりなく、課題が見つかると部署関係なく人が出てきて議論をする、という風潮があったという。

「今回もプロジェクトチームを作るにあたって労力を大きくかけたという感触はなく、自然にこのようになりました。ある意味ブラザーらしさともいえるのかもしれません。」(藤原さん)

このような体制もあり、本プロジェクトは非常にスムーズに進行し、今回テュフズードがサポートしている企業の中では一番にギャップ分析への対応を完了した。

認証機関選定はベンダーに寄り添った対応が決め手

 ブラザーは今回のパートナーを探すにあたり、他認証機関とも比較検討を行ったが、ベンダー側の事情を理解し、寄り添った対応を提案していることを感じ取れたことがテュフズードを最終的に選んだ理由という。

「膨大な数のラインナップが規制対象であり、限られた期間でQCD必達が求められる中で、同じ課題感を持って伴走してもらえる感覚をテュフズードから感じることができた。我々の話にしっかり耳を傾け状況を理解した上で、寄り添った提案を出していただいた。そこが一番の決め手になった。我々と一番伴走して動いてくれるのはテュフズードだろう、と。」(柳氏)

今回のインタビューでも、

「終わってみて、やはり一緒に作り上げてきた、我々が当初期待していた通り、しっかり伴走してやって下さったかな、と思っています。」(藤原氏)

と、テュフズードジャパンとしては、嬉しいコメントもあった。

また、前述の通り、ブラザーは必要なものが何かを教えてくれる“ティーチング型”コンサルではなく自社の担当者に知識とノウハウが蓄積できる伴走型の“コーチング型”認証機関を求めており、その点もテュフズード選定の決め手となった。

「(認証機関はあくまで合否判断の役割、合格手段は提示できない、という関係性の中で)答えは自身で出さなくては、という環境でした。」

「テュフズードに指摘されたギャップに対しどうすれば解決できるか、という議論をメンバーと数多く積み重ねることができた。その結果、適切なセキュリティを考えるため力や知見が個々に身につき、組織全体のスキル向上に繋がりました。」(柳氏)

未来を見据え、目の前の課題に取り組みつつも、人材を丁寧に育成しようとするブラザーの姿勢が垣間見える。
多くの不確定要素がある初めての法規制対応の中で育った人材と培ったノウハウ
 

今回プロジェクトの主要メンバーの一人であったソフトウェア開発部門の京谷氏にとって、法規制対応は初の取り組みであったという。

「規格適合に初めて取り組む中で、整合規格の内容確定が遅延し、官報未発行など不確定要素が多い中でシナリオを作る必要があったのは大きな挑戦でした。」(京谷氏)

そうした状況に対応するため、京谷氏が音頭を取り、毎朝30分の定例会で、チームに進捗とToDoを共有。参加者は当初6名程度だったが必要に応じて各部署からの参加者を拡大していった。

このスピード感と勤勉さ、そしてインタビューや写真撮影中も垣間見えた社員同士の良い関係性こそが、ブラザーが日々細かな変更が起こる規格への適合に迅速に対応できた理由であり、社内でノウハウが共有され、人材育成が進んだ要因のように見えた。

また、テュフズードとは隔週で定例会を行い、規格制定の状況と技術文書に関するすり合わせを行った。

「欧州当局の動きや規格策定状況など、最新かつ中々リーチできない情報を共有してもらえたのは助かりました」

「トレーニングとギャップ分析を受ける中で、整合規格を満たすための考え方について理解が深まり、知見を得られました。とくにリスクアセスメントの部分でもっとも成長できたように感じました。」(京谷氏)

Brother
プロジェクトリーダの京谷氏

適合が見えた中、ブラザーは現在、得た知識を社内共有し広めていく段階にある。

「REDサイバーセキュリティ対応が一段落したところなので、現状得たナレッジをまとめているところです。」(京谷氏)

「今後、かかわったメンバーには、この経験を活かし、セキュリティ人材としてさらにさまざまな方面で活躍してくれることを期待しています。」(柳氏)

今回のテュフズードとのREDサイバーセキュリティへの対応をきっかけに、ブラザーの人材育成と対応体制はますます広がり、強化されていく。

誠実な対応が生んだ自信とそこから繋がるお客様の安心感

 

セキュリティへの対応を着実に進めるブラザーだが、現状の社外からの反応について尋ねてみた。

「EUのお客様からの問い合わせも増えてきています。EN 180314規格に準拠しているかどうか、改訂版CEマーク関連書類の公開予定などを尋ねられます。時には、NB (Notified Body)5が適合性評価プロセスに関与しているかを問われるケースもあります。」(藤原氏)

ブラザーは売り上げの約30%を欧州市場が占めるため、顧客の関心度も高い。

「こういった質問に自信を持ってスムーズに回答出来ることが、社内・販売会社を含むステークホルダーの安心感につながっていると実感しています。」(藤原氏)

認証機関であるテュフズードとともに進めたセキュリティへの取り組みを通じて、ブラザーはより一層自信を持って、お客様に安心して利用してもらえるセキュアな製品を届けられるようになったと感じている。

「今回のことを通じて、製品のリスクの考え方や適切な対策の仕方を学び、社内で適合判断を行うためのスキームを構築・運用できたことは大きな成果です。その結果、幅広い製品ラインナップすべてでRED サイバーセキュリティへの適合を無事に完了することができました。また、今後予定されている欧州CRA3(サイバーレジリエンス法)等、より厳しい規制への対応に向けた基盤も整えることができました。」(柳氏)

 

テュフズードとしても、サービスを提供することでブラザーの社内におけるノウハウ構築、人材育成に寄与出来たこと、更にはそれがお客様を始めとするステークホルダーの安心につながっていった本件は、認証機関として役割を最大限果たしつつ、目的を達成できたモデルケースと考えている。

 

Brother

プロジェクトチームとテュフズードジャパンの担当者

<注>

  1. 無線機器指令(RED): EU市場で販売されるすべての無線機器が、安全性・電磁両立性・電波の有効利用などの技術要件を満たすことを義務づける規則
    (参考:RE指令とは?欧州に製品を輸出するためにクリアすべき課題
  2. ETSI EN 303 645:民生用IoT機器に対するIoTサイバーセキュリティの基本要件を定めた初のグローバル規格の一つ
    (参考:ETSI EN 303 645規格:コンシューマーIoT機器セキュリティとは?
  3. 欧州サイバーレジリエンス法(CRA):EU市場に流通するすべてのデジタル要素を含む製品に対して、ライフサイクル全体にわたるサイバーセキュリティ要件の遵守を義務づける包括的な法制度であり、製品の安全性と信頼性を高めることで企業と消費者を保護することを目的とする
    (参考:欧州サイバーレジリエンス法(CRA)とは?企業への影響と対応方法 を解説
  4. EN 18031:EUの無線機器指令(RED)第3.3条(d)~(f)に定められたサイバーセキュリティ要件への適合を技術的に証明するために制定された規格であり、インターネット接続可能な無線機器のネットワーク保護・データ保護・不正アクセス防止を目的とした共通セキュリティ基準を提供
    (参考:EN 18031: インターネット接続可能な無線機器の共通セキュリティ要件
  5. Notified Body:EUの規制(指令や規則)に基づき、製品が該当する法的要求事項に適合しているかを第三者として評価・認証する、公的に指定された独立機関のこと。テュフズードはREDのNotified Bodyの一つである。

関連リンク

 

 

会社概要とおといあわせ

// お問い合わせ
// メールマガジンのご登録
// アクセス
Facebook Youtube LinkedIn

Site Selector

Global

Americas

Asia

Europe

Middle East and Africa