サプライチェーン・
サイバーセキュリティ・コンソーシアム

岡田電機工業株式会社 岡田英城 / 岡田祐作 Okada Hideki / Okada Yusaku

  • 写真:岡田社長、岡田生産本部長
    岡田英城(おかだ・ひでき)
    岡田電機工業株式会社 代表取締役
    横須賀市に本社・工場を置く、プラスチック製品を中心に様々な製品を開発・生産する企業の代表取締役。大学卒業後、大手通信機メーカーで設計を学び、1988年岡田電機工業㈱へ入社。先代の企業から大きく業態変換をさせ現在に至る。
    岡田祐作 (おかだ・ゆうさく)
    岡田電機工業株式会社 生産本部長 、株式会社FACTORIZE 代表取締役
    大学卒業後、大手金融機関にて営業職やデータ関連職として3年間従事し、2017年岡田電機工業株式会社に入社。生産本部長を務める傍ら、岡田電機工業株式会社から新設分割により、株式会社FACTORIZEを設立。人手不足かつ高齢化している日本の中小製造業に「デジタル化による負担軽減」をコンセプトに、自社開発プロダクト「軽減くん」を拡販中。

独自システム「軽減くん」の販売に向けてセキュリティを強化

御社の事業概要と、現在なさっているサイバーセキュリティ対策をお聞かせください。

岡田英城社長 当社では、主に各種プラスチック部品の射出成型、加工、組立を行っています。売上の過半は自動車部品で、そのほか事務用什器の部品や建設の部品などです。従業員は約60名。工場はシフトを組み、日曜日を除いて24時間稼働しています。成型用の金型は、以前は中国に外注していたこともありましたが、新型コロナの感染が拡大して以降はすべて日本国内に戻しています。また、2年ほど前に「軽減くん」という自動日報作成・原価管理ツールを独自開発し、分社化した株式会社FACTORIZE(ファクトライズ)で昨年から販売しています。さらに新規事業として、廃棄物の再利用化にも取り組み始めました。

岡田祐作本部長 いま行っている主なサイバーセキュリティ対策は、ウイルス対策ソフトとUTM*1を導入していることです。UTMは以前から必要だと思ってはいましたが、実際に導入したのは、岡田社長がいま申し上げた「軽減くん」の開発に着手した2年前です。「軽減くん」を外販するには、サイバーセキュリティ対策を強化しなければならないと考えたからです。ご購入を検討されるお客様からも、「軽減くん」に取り込んだデータの安全性や、開発元である当社自体のデータセキュリティ体制についても聞かれます。また、情報保全を確実にするために、クラウドのバックアップサービスの利用も始めました。「軽減くん」を取り扱うことで当社のビジネスモデルが変わり、それがセキュリティ対策強化の一つのきっかけになったともいえます。

写真:岡田祐作氏がお話ししている様子 1枚目

独自に開発された「軽減くん」とは、どのようなシステムでしょうか?

岡田社長 当社では以前、手書きした日報をExcelに入力・集計していたため、手間がかかるうえに、結果が出るのが3日か4日後となり、生きたデータとして十分に活用できていませんでした。それに対して、「軽減くん」を使えば、作業の開始時と終了時にスマートフォンでQRコードを読むだけで、作業日報が自動作成されます。作業終了の5分後には集計結果が出て、たとえば、その日の生産性ワースト50などがリストアップできます。想定以上に作業時間がかかっている案件が見つかれば、手順に無駄がなかったか、指導方法が間違っていなかったかなど、すぐに原因の調査にかかれます。こうして現場の状況が“見える化”できるようになったおかげで、生産性は大幅に向上しました。この実績を踏まえて外販をスタートさせました。

「軽減くん」の開発やセキュリティ対策を担当する専門部署はどちらですか?

岡田生産本部長 当社は小規模なメーカーですので、IT系の専任部署は置いていません。私ともう一名の社員、2名で担当しています。私は当社に入社する前、生命保険会社に勤めていました。主に営業職だったのですが、1年間だけスタッフ部門で営業データを収集する仕事をさせてもらったので、アナログな営業現場とデジタルの両方が経験できました。“見える化”の重要性も学びました。この経験が「軽減くん」の開発に役立ったと思っています。当社に入社した私は、作業日報を手書きしているのを見て、手間をかけている割には十分に“見える化”ができていないことに気づきました。まずここを改善しようと、「軽減くん」の開発に取り組むことになったわけです。2021年の事業再構築補助金を活用させていただき、開発作業自体はアウトソースいたしました。

写真:岡田社長がお話ししている様子1枚目

セキュリティツールの導入や運用はどのようにされていますか? コストは、売上高の何%ぐらいかけられていますか?

岡田生産本部長 私も担当の社員もITの専門家ではないので、セキュリティツールを自分たちだけで調べるのは難しく、プリンター、FAXの導入時からお世話になっているOA機器ベンダにいろいろとアドバイスをいただいています。どこに問題があり、何をしたいかをそのベンダに相談すれば、他社の事例や適切なツールを提案していただけるので、頼りにしています。小規模企業はITの専任者を雇うのは難しいと思いますので、信頼できるベンダを持つことが重要ではないでしょうか。

コストに関していえば、先ほども申し上げたとおり、ウイルス対策ソフトとUTM、それにクラウドのバックアップサービスが当社の主なセキュリティ対策ですので、さほど大きなコストはかかっていません。全部合わせて、年間に数百万円以下でしょう。売上高に対するパーセンテージにすれば、微々たる数値だと思います。セキュリティ対策を講じたからといって、新たな売上や利益を直接生み出すものではありませんので、一般的な中小企業では売上高の何%もかけられないのではないでしょうか。

冒頭に売上の過半は自動車部品だとおっしゃいました。自動車業界では、発注元からセキュリティ対策を厳しく求められてはいないですか?

岡田社長 サイバーセキュリティ体制が確立できているかどうかの監査までは、まだ行われていません。今はむしろ環境対策に対する監査に重点が置かれていて、セキュリティに関しては調査が回ってきている段階です。ヒアリングシートなどで実態がどうなのかを聞かれています。自動車業界以外の業界では、まだ動きはありませんね。

ただ、自動車業界のヒアリングシートではけっこう細かな内容まで聞かれるので、調査段階だとはいえ、セキュリティを意識する機会にはなっています。いずれは監査も始まるでしょうし、そもそもサプライチェーンを構成するどこかの1社がサイバー攻撃で被害を受けると、サプライチェーン全体が止まってしまう時代ですから、ヒアリング項目を見ながら、今後、何をしなければならないかを考えています。

写真:岡田生産本部長がお話ししている様子 2枚目

UTMを主体的に100%活用しきることが今後の課題

サイバーセキュリティに関して、どのような課題や悩みをお持ちでしょうか?

岡田生産本部長 2年前にUTMを導入したことで、間違いなく当社のサイバーセキュリティは強化されました。また、このUTMは5年間の自動更新が保証されていますので、その間は新たな脅威への対応も期待できます。しかし、自分たちで主体的にUTMを100%活用するところまでは至っていません。導入直後にセキュリティレベルを高く設定しすぎて、必要なサイトにアクセスできなくなるなど日常業務に支障が生じたときも、自分たちだけではどうにもならなくて、ベンダの手を借りて適切なレベルに設定し直しました。 また、UTMを使った監視もまだできていないので、どのくらい効果があるのかは見えていません。いわば、セキュリティ対策の“見える化”はまだできていない状況です。いつどのような攻撃を受け、それがUTMによって防御できたという事実が見えるようになり、費用対効果も把握できるようになると、さらにありがたいですね。

実は、2022年の冬にEmotet (エモテット)*2に似たような攻撃を経験しました。幸い被害は生じなかったのですが、この攻撃もUTMによる監視で発覚したわけではありません。発端は、当社の社員を装ったメールが、別の社員に届いたことです。社員同士だったことから怪しいと気づきました。ZIPファイルが添付されていたのですが、もちろん開いていません。念のために、Emotetに感染したかどうかをチェックするツールで、社内のパソコン全部をチェックしたのですが、1台も感染は確認されませんでした。同時にネットでも調べてみると、同じような事例が紹介されていました。ですので、Emotetの攻撃を受けたのは、ほぼ間違いないとは思いますが、状況証拠に基づく推測の域を出ません。監視機能も含めて、UTMをもっと有効活用する余地があると思いますので、その点が今後の課題だと感じています。

写真:岡田社長がお話ししている様子 2枚目

社員のセキュリティ意識の向上も大きな課題ではないではないでしょうか?

岡田生産本部長 おっしゃるとおりですね。紙の図面などは、これまでもきちんとファイリングし、施錠して管理してきたので、社員誰もが重要な情報資産だという認識はあります。しかし、メールで届くようなデジタルデータは形がないだけに、セキュリティ意識が一朝一夕に高まらないですね。危機感をリアルに感じられないというか……。

そこで、私が入社して担当の社員と一緒に最初に取り組んだのは、ハード的な環境を整備することでした。何度も申し上げているように、ウイルス対策ソフトやUTMの導入ですね。そのうえで、社内の啓発活動はこれからの課題です。今もときどきメールや朝礼の場でセキュリティに関する情報を発信したり、Emotetに感染したときには添付ファイルを開く前に必ず発信元を確認するように注意喚起もしましたが、体系的な教育はまだできていません。それでも情報発信や注意喚起を地道に重ねることは重要なことですので、それによってセキュリティ意識の向上を図っていきたいと考えています。

また、先ほど申し上げたセキュリティ対策の“見える化”が実現し、実際に攻撃を受けたことを社員が共有できるようになれば、マスコミが報道するインシデント例を見聞きするのと比べて、より危機感を持つことができるようになると思います。

サイバーセキュリティ関連の規程は作成されていますか?

岡田生産本部長 自動車工業会の調査に、セキュリティ規程があるかどうか、運用管理者は明記されているかどうかの質問があったので、一応は作成しています。しかし、私のパソコンの中にあるだけで、正直言って実際には活用できていません。ご指摘されて気づきましたが、これも課題ですね。

品質規格であるISO9001に顧客満足項目がありますが、セキュリティ対策の強化は顧客である発注元の要求事項であるととらえて、作成した規定をISO9001のなかで運用するという方法も考えられます。情報セキュリティの規格であるISO27001は、ISO9001やISO14001とは審査機関も異なるので、認証取得するにはコストもかかるし、ハードルも高そうです。ですので、ISO9001のなかで回していくのが、中小企業にとって現実的な方法のように思います。

サイバーセキュリティ強化に関して、外注先には何か働きかけていらっしゃいますか?

岡田社長 当社は内製のウエイトが高く、内製していない部品もほとんど標準品を購入していますので、外注しているのは金型の製作ぐらいです。金型の外注先各社とはメールのやり取りはしていますので、そこのセキュリティ対策が不十分であったことが原因で、当社の重要なデータが漏れることもあり得ることです。ですので、サプライチェーン全体のセキュリティ対策も非常に重要ではあります。しかしいまのところ、外注先にサイバーセキュリティ対策の強化を推奨したり、依頼したりはしていません。金型メーカーは小さな工場が多いので、費用面の負担が大きくなってしまいますし、なかなかこちらからセキュリティ機器を導入してください、などとは言えません。もっとも、金型は成型部品製造のコア技術になりますので、どの金型メーカーも従前より金型図が外部に漏れないように慎重に扱っています。その延長線上で今後、サイバーセキュリティの重要性も啓発し、関連する情報提供を積極的に行っていくことは重要ですね。いずれは発注元から外注管理の一環で、外注先のセキュリティ管理も求められるようになるはずです。

   社員や外注先の啓発活動もさることながら、私たち経営者自身の意識づけというか、意識改革も重要だと思います。やはり実際に被害にあうまでは、対策をしていなくても、なんとなく“大丈夫“だと思ってしまいがちですので。その点で、商工会議所が主催するサイバーセキュリティをテーマにしたイベントは、有意義な機会になっています。当社の外注先に対しても、商工会議所などから働きかけがあると、たいへんありがたいですね。

写真:工場バックに岡田社長、岡田生産本部長二人の写真

  • *1
    UTM: Unified Threat Management ネットワークにおけるセキュリティ監視装置
  • *2
    Emotet(エモテット):主にメールを感染ルートとして広まっているマルウェアの1種

岡田電機工業の取組み

図表:岡田電機工業の取組みの図
岡田電機工業の取組みのポイント
  • 「軽減くん」を販売したことでビジネスモデルが変わり、それがセキュリティ強化の一つのきっかけに
  • 社員のセキュリティ意識は一朝一夕に高まらないので、まずはハード的な環境整備に着手
  • ハード的な環境整備を踏まえ、次はソフト面を充実(UTIの運用強化や意識向上のための教育)

サプライチェーン・
サイバーセキュリティ・コンソーシアム

Copyright © Information-technology Promotion Agency, Japan(IPA)
ページトップへ戻る