株式会社クロスエフェクト 畑中克宣 Hatanaka Katsunori
-
- 畑中克宣(はたなか・かつのり)
-
株式会社クロスエフェクト 専務取締役
大学卒業後、特殊車両製造メーカーで3DCAD設計に従事。2001年にクロスエフェクト、2011年に医療系臓器シミュレーター開発のクロスメディカル、2022年にデジタルに特化したクロスデザインを設立し、各社の専務取締役に就任。2013年第5回ものづくり日本大賞内閣総理大臣賞を受賞。
「サイバーセキュリティお助け隊」の利用とUTMの導入で、経営陣の安心感が格段に向上
最初に事業概要をお聞かせいただけませんか。
畑中 当社の事業は大きく分けて3つあります。第一の事業は、2001年の創業当初から手がけている試作品の受託製作です。メーカーの開発段階の図面をお預かりして、樹脂製の試作品を製作するという事業です。もっとも、開発段階の情報は極めて機密性が高いため、当時はほとんどのメーカーは試作品製作の外部委託は行っていませんでした。しかし、創業者であり現社長である竹田は必ず試作品製作をアウトソースする日が来ると見込み、この事業を立ち上げました。世の中にほとんどなかった事業ですから、当初は苦労しましたが、竹田の先見の明により、その後順調に拡大することができました。試作品を内製しているメーカーにアピールできるメリットは「期待を超える速さ」です。そのために、切削加工などに比べて圧倒的に速い3Dプリンターをいち早く導入。そのほか真空注型や光造形などの技術を活用して、短時間で樹脂製品を高速試作し、産業機械や建設機械、自動車などさまざまなメーカーに提供しています。
第二の事業は、臓器モデルの製作です。この事業は、2009年に着手した心臓モデルの開発からスタートしました。高速試作の技術を使い、心臓疾患の患者さんのCTスキャンやMRI*1 のデータから、その患者さんの心臓の樹脂製モデルを再現し、手術前のシミュレーションに活用していただくものです。生身の心臓と同じようにメスを入れたり、縫合したりもできます。昨年2023年7月に「軟質実物大3D心臓モデル」として、医療機器承認(クラスⅡ)を取得しました。今後、保険点数の対象になれば、広く普及するものと期待しています。また、現在では、心臓以外の臓器の製作も手がけています。
第三の事業は、試作に至るまでのデジタルデータを作成する業務に特化した事業です。お客様の依頼に基づき、3Dによるプロダクトデザインの開発も受託しています。現在、現物を試作するのが難しい大型の産業機械などをVR*2 技術によってサイバー上に試作し、シミュレーションしていただけるデータを納入するサービスを開始しています。
3つの事業は、試作品の受託製作を株式会社クロスエフェクトで、心臓をはじめとするモデルは株式会社クロスメディカルで、デジタルデータ作成に特化した事業を株式会社クロスデザインで、それぞれ分社化して行っています。
開発データも医療データも、非常に機密性が高いと思いますので、取り扱いにはさまざまな条件や要望がつくのではないでしょうか?
畑中 おっしゃるとおりです。開発段階の図面は、まだ上市されていない製品の極秘情報ですので、絶対に外部に漏らすわけにはいきません。当社は創業以来ずっとそのようなデータを取り扱ってきたので、従業員もその重要性について十分承知しています。 産業用の製品は、信頼のあるクラウド上であればネットを使ったデータのやり取りをどのメーカーからも許可されています。一方で、患者さんのデータはさらに機密性が高く、ほとんどの医療機関はクラウド上でのデータのやり取りを認めていません。DVDのようなネットから切り離されたメディアで提供され、社内でも独立したサーバで扱っています。しかし、手術前のシミュレーションは時間のない中で行われることが多いので、医療データをネット上でスピーディに取り扱えるようにすることが今後の課題です。より信頼性の高いクラウドを探すか、医療機関から当社の社内サーバにデータを上げてもらう仕組みをつくるなど、医療データを取り扱う新たな方法を独立行政法人医薬品医療機器総合機構(PMDA)にも打診しようと考えています。
データの漏洩は絶対にあってはならないのですが、万が一発生すると、どのような被害が生じると想定されていますか?
畑中 開発段階のデータは外部に漏れることは絶対にあってはいけません。しかし、万が一漏れたとしてもそれによって必ず実害が生じるわけではありません。また、医療データは、必ず匿名化されていますので、万が一漏れても患者さんが特定される確率は非常に低いです。ですが、漏れたことによって、当社の信頼が失われ、他社からも当社に任せきれないと評価されてしまう。つまり、一つの漏洩事故が当社のすべての事業にわたって影響を及ぼしてしまう怖さがあります。だから、絶対にデータ漏洩はあってはならないのです。
データの漏洩や破損を防止するために、どのようなサイバーセキュリティ対策を取っておられますか?
畑中 特に効果を実感しているのは2年前に利用を始めた「サイバーセキュリティお助け隊サービス」とUTM*3 の導入です。「お助け隊」のことは、メールで届いた案内で知りました。ちょうどその頃、医療機関との取引が増加していたことと、個人情報保護法の改正もあり、セキュリティ対策を強化しなければならないと考えていたときなので、その案内が目に止まりました。公的機関が認証しているサービスなので信頼性も高く、他の会社のサービスと比較検討することなく、加入を決めました。実際、たいへん役に立っています。
一番の効果は、経営陣の安心感です。どこも一緒だと思いますが、会社には毎日毎日、スパムメールが山ほど届きます。UTMを導入する前から社内に注意喚起はしていましたが、結局、最後は従業員一人ひとりの心構えに任せるだけでした。ウイルスの付いているメールをいつ誰がうっかりクリックするかわからないので、常に不安を抱えていました。それがUTMの導入によって、ある程度ブロックしてくれるようになりました。また万が一社員がクリックしても、それを警報してくれて履歴も残りますので、社内のメールの操作状況が我々の手元で見えるようになり、非常に安心感を与えてもらっています。新たなウイルスにも対応できるよう、常に機能が更新されるので、その点も安心です。
ほかに「お助け隊」のサービスとして、流行りの脅威など、リアルタイムな「セキュリティ情報」を定期的に提供してもらっておりますので、ありがたいです。以前は自分で最新の情報を探す必要がありましたが、それもしなくてよくなりました。「お助け隊」からの配信情報をそのまま従業員に転送できるので、メール配信の頻度も上がりました。活発なセキュリティ啓発活動が実現できています。宅配便を装ったショートメッセージへの注意喚起は、身近で具体的な内容だったので、中でも特に社内に浸透したと思います。
データのバックアップについては、クラウド型のアプリケーションサービスを利用していますので、自動でクラウド上にバックアップが取れます。しかし、医療データだけは今のところクラウドを使えないので、社内のハードディスクに保管してRAID*4 を組んでバックアップを取っています。しかし、これでは機械的な故障には対応できますが、災害対策にはなっていません。現在、医療データのレベルも扱えるようなクラウドを探すなど、新たなバックアップ方法を研究しているところです。
セキュリティ対策にかける費用については、どのようにお考えですか? ご予算はどのように立てられていますか?
畑中 予算までは組んでいません。収益が上がる取り組みではなく、コストパフォーマンスを割り出せないため、適正な費用を判断するのは難しいです。今の考え方は、最低限世間並みの水準は確保したうえで、同業他社との差別化を図れるだけの、一歩抜け出たレベルを目指すというものです。セキュリティ対策で一歩先んじることができれば、大きな武器になりますので、非常に有効な投資だと考えています。
セキュリティ意識向上には、身近なトラブルや被害の実例を伝えることが重要
御社のサイバーセキュリティ対策の現在の課題は何でしょうか?
畑中 一番大きな課題は、リモートワークにおけるセキュリティ対策です。当社はモノづくり企業なので、出社しないとできない作業が多いのですが、それでも新型コロナウイルスの感染対策で始めたリモートワークは今も利用されることがあります。例えば、CAD*5を扱う作業などは在宅でもできますので、子育て中の従業員はリモートワークを便利に利用してくれています。
その際には、できるだけリモートデスクトップを使ってもらうようにしています。自宅から会社のパソコンに入ってもらって作業をする方法です。いったん会社のパソコンに入ってしまえば、UTM の利いたネットワーク環境下でデータやアプリケーションを扱えるため、たとえばその環境下であれば、メールを開いてもUTMが働きます。もっとも、外部から会社のパソコンに最初に接続する瞬間はUTMが利かないため、そこが残された課題です。 しかし、リモートデスクトップが使えない作業もあります。その場合は、自宅のパソコンからVPN*6 で会社のファイルサーバに入り、必要なデータを自宅のパソコンに落して作業することになります。この方法でのファイルサーバとやり取りにはUTMが利かないので、新たな方法を講じなければなりません。クラウド型のUTMもあるとお教えいただいたので、これから調べようと思っています。
従業員のセキュリティ意識向上には、どのようなことをなさっていますか?
畑中 冒頭の事業紹介で申し上げたとおり、当社は創業時からメーカーの開発データという機密性の高いデータを扱ってきましたので、長く勤めている従業員は高い危機管理意識を持っています。それが当社の信頼を築いてきました。医療分野に進出する際も、それまでの民生品とは違うデータを取り扱うということで、データの取り扱いや保存方法について社長を含めて社内および関係各位と詳細に話し合いをしました。こうした社風は守り続けなければなりません。一方で、最近入社した従業員は、目の前の作業には一所懸命取り組んでくれていますが、扱っているデータがどれほど重要なものであるかを俯瞰的にとらえる視点がまだ弱いように思います。
もちろん、それを放置できませんので、セキュリティに関する情報を全従業員に定期的に発信しています。それに加えて、毎週月曜日に朝礼で社長がお客様から預かるデータの重要性などを具体的な事例を挙げて話しています。サイバーセキュリティの話にとどまらず、これまでに築いてきたお客様からの信頼を守っていくため、当社の事業がいかに大切であるか、いかに大きな社会的意義があるかなどを伝えています。
外部からの脅威ではなく、社内からの故意や過失によるデータ漏洩については、どのような対策を立てられていますか
畑中 ファイルサーバへのアクセスログを取っているので、いつどのパソコンからアクセスしたかがわかるようになっています。しかし、不正しようとすればいくらでも方法はありますので、これでは十分な対策になっていません。コストがかかるのでできていませんが、誰がダウンロードしたかがわかる仕組みを構築する必要があると考えています。決して従業員を疑っているのではなく、社内からの漏洩を防止する仕組みをつくることは、とりもなおさず、責任を従業員が負うことにないように、会社の責任のもと、取り組むべき対策です。外へ持ち出すパソコンも、人間である以上、紛失する恐れがあります。これについても、遠隔操作でロックをかけたり、データを読めないように暗号化するなどの仕組みを導入し、さらに個人が責任を負わない方法を考えていかなければなりません。
セキュリティ意識向上の一環にもなると思いますが、セキュリティポリシーを社内へ浸透させるために、どのようなことをなさっていますか?
畑中 セキュリティポリシーを掲げるだけでは、すぐに形骸化していきます。文章を読むだけでは、「自分事」に落ちないので、具体的な行動につながりません。「自分事」にしてもらうためには、世の中で起こっているトラブルを知ることも大事ですが、マスコミで報道される大手企業での事故(例えば、何十万人もの個人情報が漏洩したなど)は、話が大きすぎてピンとこないと思います。それよりも、隣で起こっていそうな中小企業の身近な実例や、あるいは、当社でもしデータ漏洩があれば深刻な被害が生じることなどを、地道に発信していくことが重要だと考えます。従業員がそれを踏まえて、セキュリティポリシーを意識してくれれば、生きたポリシーになるのではないでしょうか。
セキュリティ対策やセキュリティ教育を主幹する部署やチームはありますか?
畑中 セキュリティだけでなく、IT全般を担当する部署やチームは必要だと思っていますが、今はまだありません。デジタルやネットワークに精通している従業員は数名いるのですが、現場の実務を抱えているため、専任させるわけにはいきません。私と、もう一人の外部スタッフが情報システムやネットワークの運用を担当しているのが現状です。近い将来、私の後継者育成も含めて、ITの専任チームが必要になると思うのですが、そこまで手が回らないのが中小企業としての悩みの種です。 当社は現在、グループ全体で従業員50名規模の会社ですが、この規模でどのようなIT推進体制が望ましいのか、その体制にもっていくためには、どんなタイミングで何をすべきなのか。セキュリティを含めたIT体制の築き方を、先輩企業の事例から学びたいと思っています。
-
- *1
- MRI: Magnetic Resonance Imaging磁気共鳴画像診断:強力な磁力と電波により臓器や血管等を画像化する検査
-
- *2
- VR: Virtual Reality 人間の感覚器官に働きかけ、実質的に現実のように感じられる環境を人工的に作り出す技術
-
- *3
- UTM: Unified Threat Management ネットワークにおけるセキュリティ監視装置
-
- *4
- VR: RAID: Redundant Arrays of Inexpensive Disks ハードディスクなどのストレージ(外部記憶装置)を複数台まとめて一台の装置として管理する技術
-
- *5
- CAD: Computer Aided Design コンピュータ上で設計や製図を行うツール
-
- *6
- VPN:Virtual Private Network 「仮想専用通信網」とも呼ばれる仮想的な専用線をインターネット上に作る技術
クロスエフェクトの取組み
