プリンター屋でも苦労してます-ランサム被害からCRA対応まで-
1.1K Views
February 10, 26
スライド概要
【第14回】サイバーセキュリティ勉強会2026冬 in 塩尻 - connpass https://shiojiri-cyber.connpass.com/event/372811/
セイコーエプソン株式会社 高林信久 氏
🤔I'm a beginner.
関連スライド
各ページのテキスト
1/20 プリンター屋でも苦労してます -ランサム被害からCRA対応まで- (プリンタ作ってても、サイバーの大波は避けられません) 高林 信久 セイコーエプソン株式会社 2026年冬 塩尻サイバーセキュリティセミナー勉強会 LT preencoded.png 1 <1> 1/10
2/20 自己紹介 製造業40年の知見と、現場発のOSS改革 1 高林 信久 セイコーエプソン株式会社 2 製造業キャリア40年 プリンタ設計からキャリアをスタートしました 3 社内システムを200件くらいレビューしてきました システム全体をレビューし、品質・リスクを検証しています 4 OSPOの事務局をやってます OSSに関しては何から何まで、諸々の雑用をやっています LinkedIn https://www.linkedin.com/in/NOBUHISA-TAKABAYSHI preencoded.png 2 <2> 2/10
3/20 こんな商品をつくっています イノベーション オフィス・ホーム プリンティング イノベーション 商業・産業 プリンティング イノベーション オフィス・ホームプリンティング マニュファクチャリング イノベーション ビジュアル コミュニケーション プリンティングソリューションズ セグメント ビジュアル イノベーション 商業・産業プリンティング プロジェクター オフィス・ホームIJP 商業・産業IJP SOHO・ホーム 完成品ビジネス ライフスタイル イノベーション マニュファクチャリング関連・ウエアラブル マニュファクチャリング ソリューションズ ウエアラブル機器 ロボット Orient Star Orient マイクロ デバイス他 PC マイクロデバイス 高光束 フォト コーポレート 大容量インクタンクモデル インクカートリッジモデル スカラ オフィス共有 水晶デバイス 超短焦点 サイネージ エプソンダイレクト PC ラベルプリンター 事業 ・ 主要製品 ムーブメント テキスタイル プリントヘッド外販 高速 ラインインクジェット 複合機 (LIJ) 半導体 スタンダード 大容量インクパッ クモデル(RIPS) ラベル印刷機 6軸 Fiery オプション オフィス向け インクカートリッジモ デル セイコービジネス 微細合金粉末 ホーム・スマート 小型プリンター他 SIDM HMD スキャナー 表面処理加工 PaperLab レーザープリンター 小型プリンター 小型ラベルプリンター 3 <3> 3/10
4/20 1.社内システムの安全 2.OSS管理 OpenSourceSoftware preencoded.png 4 <4> 4/10
5/20 実はウチも例外ではありません 不正アクセス事案 2024年8月、当社サーバーへの不正アクセ スが発生しました 現実の脅威 製造業のインフラも常に標的となっています preencoded.png 5 <5> 5/10
6/20 当社サーバーへの不正アクセスについて(2024年8月8日) | ニュース | エプソン 6 <6> 6/10
7/20 現場の課題 1,000超のシステムと、10年超のレガシーが混在する巨大迷宮 ①1,000以上のシステム ②10年超のレガシー ③グローバル拠点の把握 :全社で動く膨大なソフトウェア資産 :長期間稼働し続ける製品や設備 :世界中に分散する拠点 preencoded.png 7 <7> 7/10
8/20 現場の課題 ゼロトラストは方向として正しい。ただ、巨大迷宮に一気に当て るのは現実的には難しい。段階的に“どこから攻めるか”の設計 がすべて。以降で、難しい理由を3点に分けて共有します。 1,000超のシステムと、10年超のレガシーが混在する巨大迷宮 ①1,000以上のシステム ②10年超のレガシー ③グローバル拠点の把握 :全社で動く膨大なソフトウェア資産 :長期間稼働し続ける製品や設備 :世界中に分散する拠点 ”ゼロトラスト”導入!! preencoded.png 8 <8> 8/10
9/20 現場の課題 1,000超のシステムと、10年超のレガシーが混在する巨大迷宮 ①1,000以上のシステム :全社で動く膨大なソフトウェア資産 preencoded.png 9 <9> 9/10
10/21 現場の課題 1,000超のシステムと、10年超のレガシーが混在する巨大迷宮 ①1,000以上のシステム ②10年超のレガシー :全社で動く膨大なソフトウェア資産 :長期間稼働し続ける製品や設備 preencoded.png 10 <10> 10/10
11/20 現場の課題 1,000超のシステムと、10年超のレガシーが混在する巨大迷宮 ①1,000以上のシステム ②10年超のレガシー ③グローバル拠点の把握 :全社で動く膨大なソフトウェア資産 :長期間稼働し続ける製品や設備 :世界中に分散する拠点 preencoded.png 11 <11> 11/10
12/20 1.社内システムの安全 2.OSS管理 OpenSourceSoftware preencoded.png 12 <12> 12/10
13/20 2.OSS管理 2002年 OSSのGPL違反事件 ・エプソンコーワが Linux用ドライバを公開 ・そのドライバでGPL違反 ・FSFから指摘を受ける ・エプソンコーワは速やかに対処、事なきを得た まずは「OSSのライセンスを守る」 GPL違反事件 2002年の発覚で方針転換 設計者主導開発 OSPO設立 リスク管理を設計に統合 2020年に組織横断 で対応強化 過去失敗 :2002年のGPL違反事件(エプソンコーワ) 現在 :2020年にOSPOを設立し、設計者主体の OSSの管理体制を築きました preencoded.png 13 <13> 13/10
14/20 実績 5年で積み上げた 1,300ファイル 13,000個 2,000人 SBOMを作成 OSSデータベース 設計者教育 製品ごとの構成を可視化しました 社内で使うOSSを完全にカタログ化 全社的なリテラシー向上を達成しました しました preencoded.png 14 <14> 14/10
15/20 「ライセンスを守る」はOK! 実績 5年で積み上げた 1,300ファイル 13,000個 2,000人 SBOMを作成 OSSデータベース 設計者教育 製品ごとの構成を可視化しました 社内で使うOSSを完全にカタログ化 全社的なリテラシー向上を達成しました しました preencoded.png 15 <15> 15/10
16/20 ライセンスを守るから 「脆弱性監視」-リスクを管理する- CRA(欧州サイバーレジリエンス法) ・欧州で販売される ネットワーク接続可能な製品を中心に広範なデジタル製品が対象 ・ソフトウェアに深刻な脆弱性がないことを担保すること(出荷時)、出荷後も継続的に対応すること EU CRA デジタル製品にセキュリティ対 策を義務付ける欧州の新法です 強烈な罰則 2027年12月 全面適用 ・最大1,500万ユーロ、または 年間売上の2.5%の罰金 ・販売停止 対応は「待ったなし」の状態 です preencoded.png 16 <16> 16/10
17/20 現状の脆弱性情報(暫定) CVE :9000個 CVSS :7~ 3390個 :9~ 570個 KEV :47個 実績 5年で積み上げた「1,300のSBOM」と「13,000のOSS」 1,300ファイル 13,000個 2,000人 SBOMを作成 OSSデータベース 設計者教育 製品ごとの構成を可視化しました 社内で使うOSSを完全にカタログ化 全社的の設計者にOSS教育を実施しました しました preencoded.png 17 <17> 17/10
18/20 今後の展望 最大の難所は「脆弱性監視(Vulnerability Management)」 • 作って終わりではありません。製品ライフサイクル全般での監視が必要です • 脆弱性の濁流。日々発見される新たな脆弱性に、どう優先順位をつけるかが 課題です • CRA対応の本丸。継続的な監視体制こそが、法対応の成否を分けます • みなさんのお知恵とお力もお借りしたい We are Hiring! この難題に共に挑む、セキュリティ人材を求めています リクルートしています preencoded.png 18 <18> 18/10
19/20 エプソン セキュリティ 求人 で検索すると出てきます 一緒に働きましょう ネットの求人画面でした preencoded.png 19 <19> 19/10
20/20 まとめ みなさんのWebの知見が、日本の製造業を救います 共に取り組む仲間を募集しています 気になった方、ぜひ懇親会で声をかけてください preencoded.png 20 <20> 20/10