事例

組み込みセキュリティソリューション導入事例
古野電気株式会社様

欧州のセキュリティ規格準拠に向けたトータルサポートを提供
研修から脅威分析、設計支援まで古野電気様を支援

舶用電子機器などの開発製造を行う古野電気様では、欧州セキュリティ認証規格(RED)取得に向けた対策が課題でした。オージス総研のサイバーセキュリティに関する知見と実績を評価し、組み込みセキュリティ脅威分析コンサルティングを依頼しました。オージス総研は、ハンズオン形式の研修、TVRAによる脅威分析、セキュリティ対策設計支援を行い、規格に早期対応できるよう準備を整えました。脅威分析の期間圧縮に加え、古野電気様のセキュリティナレッジの社内蓄積を実現しました。

欧州での舶用機器の販売にあたり、セキュリティ認証規格(RED)の取得が課題

1948年に世界で初めて魚群探知機の実用化に成功した古野電気様。その中核となるセンサー技術を応用し、船舶用レーダー、GPS通信、車載用ETC、医療機器など多彩な製品を世の中に送り出してきました。こうした技術力は国内外から高く評価されています。

7875_wall1.png 7875_wall2.png
<古野電気様の製品が支える統合航海システム>

7875_nakagawa.jpg

品質統括監理室 製品サイバーセキュリティ担当課長 中川氏は、最近のトピックスを挙げました。
「魚群探知機が水産業の近代化に貢献したとして、世界最大の電気・電子分野の国際学会IEEEから2024年に『IEEE Milestone』に認定いただきました。また、NMEA(米国海洋電子機器協会)から、54年連続で表彰いただいております」

古野電気様は世界150カ国以上の国・地域と取引をしています。主力事業である舶用事業のうち、主に商船向け事業の取扱製品に関して、欧州におけるセキュリティ関連の法規制への対応が喫緊の課題でした。主な例として、「RED(Radio Equipment Directive)」と呼ばれる無線機器指令があります。REDは、無線機能をもつ製品をEU市場で販売するために遵守が必須となる規制の1つで、技術基準、安全性確保など満たすべき必須要件があります。2022年の欧州委員会委任規則によって新たにサイバーセキュリティ要件(EU RED CS要件)が追加適用されました。また、英国では、スマートフォンなど消費者向けIoT機器をサイバー攻撃から保護するための「UK PSTI(製品セキュリティおよび通信インフラストラクチャ)」法が2022年制定、2024年施行され、準拠が義務化されたため、取扱製品のセキュリティ対策は避けられない状況でした。

7875_adachi.jpg当時の状況について、開発部 通信機器開発課 課長の安達氏は、次のように語ります。
「当社では、セキュリティ対策に関してこれまでにも自発的に取り組んでおり、ある程度の知見はありました。しかし、規格化となると、その規格要件の真意を掴んで対応することが求められます。どこまで対応すべきかは難しい問題で、過剰に対応しすぎると開発コスト上昇に影響し、対策が弱いと攻撃リスクが高まる要因となるため、うまくバランスを取ることが重要でした」

中川氏は、外部に委託した経緯を振り返りました。
「当初は、既に準拠済みの欧州セキュリティ規格をベースに社内で対応しようと試行しましたが難航しました。と言うのも、準拠すべき製品がほぼ全機種にわたり、要求事項も多く認証取得の期限が迫っている中、規格の背景・文脈を理解する知見が必要で、自力で対応するには負荷が大きく難しいと感じました。そこで、専門的な知識や経験をもつ委託先を探すことになりました」

オージス総研への依頼のきっかけは、オージス総研が登壇したセミナーを古野電気様が受講されたことでした。
「欧州規格への対応に関するセミナーを数多く受講する中で、オージス総研の講演が群を抜いてレベルが高かったのです。講師の話ぶりから、セキュリティに対する確かな経験と知識があり、背景や技術詳細も把握しているだろうことが伺えました。ここしかないと確信しましたね」(中川氏)

実践型研修、TVRAによる脅威分析、設計支援のトータルサポートを提供

セキュリティに関する深い知見と他社実績の豊富さに加え、設計支援まで行う包括的なサポート体制も、オージス総研を採用した理由でした。

「オージス総研は、大阪ガスという社会インフラを支える大規模システムの開発・運用を通して得られたナレッジ・知見があると思わせてくれました。また、EU RED CS要件対応に向けた分析を行うベンダーは複数社ありましたが、リスクアセスメントの研修をはじめとして、リスクアセスメント結果に基づいて設計・実装の支援までワンストップで提供しているのはオージス総研のみでした」(中川氏)

プロジェクトは、「研修」「脅威分析」「設計支援」の大きく3つのフェーズに分けて進められました。


1. 「研修」フェーズ

まずは、「研修」フェーズです。具体的には、認証取得対象の製品開発に関わる技術者を対象に、TVRA(欧州電気通信標準化機構(ETSI)が標準化したリスク分析手法)による脅威分析について学ぶ研修をハンズオン形式で実施。20人ずつ半日の研修を2回にわたって開催し、計40名が受講しました。内容は、講義中心ではなく、簡単な題材をテーマにした演習を通して、脅威分析作業の全体像から手順・知識について習得していきます。 

中川氏は、オージス総研の業務品質の高さ、人材の豊富さに驚いたと語ります。
「オージス総研から、今後開発の中心となる担当者に受講してほしいと要望があり、メンバーを集めました。研修は少人数制のハンズオン形式で行われました。解説するメイン講師に加え、参加者をフォローする担当講師もおり、悩んでいる受講者へのフォローなど、きめ細かに対応してもらいました。オージス総研の人材の層の厚さを実感し、本当にすごいなと思いましたね」

7875_inoue.jpg

開発部 通信機器開発課 商船機器グループ 主任 井上氏は、学ぶ過程で苦労したが、得るものも大きかったと評価します。
「研修を通じて作業の全体像を理解できました。座学と異なり実際に手を動かすことで理解がぐんと深まることを体感しました。簡単な題材を通じて、脅威分析の手法や対策の一連の流れを掴んだことで、次のフェーズで何をやるかのイメージが明確になりました」


2. 「脅威分析」フェーズ

次に「脅威分析」フェーズです。脅威分析とは、機械の脆弱性や脅威レベルなどを特定し、どこにどれくらいのセキュリティリスクがあるのかを特定し、その影響度合いを算出、その分析結果をもとに必要となるセキュリティ対策を検討する手法です。対象製品を3機種に設定し、TVRAによる脅威分析を1製品ずつ実施していきました。

安達氏は、セキュリティレーティング(セキュリティ対策状況をリスク値という数値やランクで表すことで、定量的にリスクを評価する仕組み)の考え方について、社内で喧々諤々議論したと言います。
「自社製品が使われる環境において、どういう基準でレーティングしていくべきか、その定義付けしていく作業を通じて、脅威分析のやり方について腑に落ちたと感じます。リスク値を算出するための切り口、攻撃の手法やレーティングの考え方などをしっかり身につけられました」


3. 「設計支援」フェーズ

続く「設計支援」フェーズでは、脅威分析で提示されたセキュリティ対策を実装するための概要設計を行います。
「セキュリティ対策の対応要否や優先順などを検討し、仕様書という形で設計仕様を明確化していきました」(中川氏)

設計には2段階あり、まずは、脅威分析結果から導き出したセキュリティ対策を標準的な視点から仕様書におこします。次に、その仕様を、実際の製品のハードウェア側の制約や要求、最終ユーザーである機器利用者の視点から運用可能なものかどうかを現場の方々に確認していただきます。その結果、代替案が返ってくることもあります。そのまま採用するケースもあれば、セキュリティの視点からは良くないと判断した場合は、オージス総研がさらなる改善策を検討するなど、セキュリティレベルは落とさず実現性のある方法に落とし込むところまで工夫しながら、設計作業を繰り返し進めていきました。

セキュリティリスクを特定し、RED規格準拠の対応期間を圧縮

プロジェクトの成果は、まず研修を通して基礎知識が早期習得できたことです。脅威分析やセキュリティ対策のスキルアップにつながりました。
「独学だったら数ヶ月単位の勉強期間が必要だったはずです。その期間も圧縮できたので良かったです」(中川氏)

脅威分析ではリスクを特定でき、規格準拠に向けての準備が短期間で整いました。
「自社だけで対策を実施していたら今頃どうなっただろうと考えますね。準備期間を数ヶ月程度は短縮できたのではないでしょうか。今回採用したTVRAでの脅威分析は実施したことがなく不安もありましたが、オージス総研がもつ他社での経験という客観的な知見をもとに提案してくれたことで、自分たちの分析結果・対策への決断・結論に納得感がもてました。さらに、脅威分析マニュアル作成も支援してくれて、今後自力で分析できる素地もできました。コンサルタントと一緒に考えたセキュリティ対策という点は、海外企業を含む開発委託先と交渉する上でも強力な説得材料になっていくと思いますね」(安達氏)

7875_1_members.png

「定量的な効果は今後の第三者認証機関から返ってくる指摘事項の数で、ある程度把握できると思います。指摘事項が多ければ開発負担の増加につながりますが、オージス総研の支援により対応を進めたことで、自社で実施したよりも指摘事項が少なく抑えられると確信しています」(井上氏)

オージス総研のサポートにも大変満足しています。特に、ヨーロッパで開発が進められている試験規格の公開が遅れに遅れるという状況に対して、オージス総研は週単位のスピード感と、臨機応変な対応を行い、効果的なプロジェクト管理を実現しました。
「レスポンスが速いです。定例会の前日までには仕様書案が提出され、それを当社で目を通して指摘事項を入れて戻すと次の日には修正版が送られてきました。規格が草稿状態でも、類似の規格書やこれまでの知見をもとに試験に向けた準備を進めてくれて、時間を無駄にすることがなかったです」(安達氏)

7875_4_all member.png

「我々が知らないセキュリティに関する解決策や判断基準に関する知見が豊富で、かつ製品理解のスピードも非常に速かったですね。当社の製品は船舶向けであり普段触れる機会の少ない機器や機能ばかりなのですが、説明書と我々の説明だけで理解されていました。当社製品のセキュリティに関しては社内の誰よりも知っているのではと感じるほどです」(中川氏)


終わりのないセキュリティ対策に向けて、脅威分析ナレッジを社内で蓄積する

7875_2_members.png

安達氏は「セキュリティ対策に終わりはない」と強調します。
「セキュリティ対策は1回限りではなく、継続的な対策が必要です。社内で専門人材を育成するのか、それとも知見が豊富な外部に委託するのか、方針を決めていく必要があります」
「弊社がもつ製品は数多くあるので、今回得られた知見を社内に展開し、他の製品群やソリューションに適用していくことが必要だと思います」と井上氏。

7875_3_members.png

中川氏はオージス総研への期待を語りました。
「脅威分析について弊社の社内規程に取り込む作業をオージス総研に快く協力いただいたことにも感謝しています。セキュリティ対応の自走化を目指しつつも、セキュリティ全般に関する業界標準の動向をキャッチするためには、継続的なサポートの必要性も認識しています。2027年に適用される欧州サイバーレジリエンス法(CRA)への対応も視野に入れており、オージス総研にはセキュリティの最新トレンドや手法について、今後も教えてほしいですね」

<プロジェクトを支援したオージス総研担当者の声>


古野電気様が、ご自身で脅威分析をできるようになっていただくことは、私たちにとっても非常にうれしいことです。これからも「お客様が自力で分析できる」ことを目指しご支援していきたいと思っています。同時に、本業である製品開発により集中していただけるよう、セキュリティに関する最新動向や知見の提供で貢献していきたいです。さらに、設計レビュー支援、専門人材育成など、セキュリティ以外の分野でもお客様のお役に立てるよう取り組んでまいります。

お客様プロフィール

古野電気株式会社

7875_group photo.png

1948年に世界で初めて魚群探知機の実用化に成功した船舶用総合電子機器メーカー。センシング技術、情報処理技術をコアに、世界でトップシェアを誇る舶用電子機器をはじめ、通信、防災、ヘルスケア分野など幅広く事業を展開している。

※この記事に記載されている社名および製品名は、各社の商標または登録商標です。
※この記事に掲載されている内容、および製品仕様、所属情報(会社名・部署名)は取材当時のものです(2024年12月)。また、予告なく変更される場合がありますので、ご了承ください。

関連サービス