セキュリティ対策

製品・サービスのセキュリティ対策

キヤノンの製品・サービスに関する脆弱性への対応

キヤノンの製品・サービスは、ネットワークを介してクラウドやスマートフォンとつながることによって、ますます利便性を高めています。その一方で、個人情報や機密情報の漏えいなど、サイバーセキュリティ上のリスクも高まっており、このリスクに対する対策は重要となっています。キヤノンは、サイバーセキュリティ上のリスク対策を開発段階から重視しており、セキュリティ問題が判明した場合でも、関係部門で状況を素早く共有し、お客さまへの影響を未然に防止する、あるいは影響を最小限にとどめるように注力しています。

さらに、各国政府機関や業界団体、ソフトウエアベンダーなどの技術動向を踏まえ、製品・サービスを開発する際に必要なセキュリティ機能の実装やレビューによるチェック、脆弱性テストの実施など、脆弱性のリスク低減対策を開発段階から取り入れ、これら諸条件を開発要件として位置づけた「セキュア開発プロセス」を運用しています。また、過去に対応した脆弱性問題の再発防止のため、品質確認の要件として「脆弱性評価判定書」を導入し、これにもとづく脆弱性の「再発防止確認プロセス」を全社展開しています。

また、製品・サービスの脆弱性対応は、専門性が高く、技術の進歩や巧妙化する手口に対する知識の習得や追従が不可欠です。キヤノンは、ソフトウエアエンジニアの新人から販売会社でお客さまと接するサービスエンジニアやセキュリティスペシャリストまで、キャリアレベルとスキルレベルを定義して、各レベルにあった知識の習得に必要な研修カリキュラムの整備を進めています。また、教育後のフォローアップとして、現場での脆弱性テストをサポートし、知識だけでなく、実践的なスキルの向上もめざしています。

2022年1月には、市場でのセキュリティ問題へ対応するため、社内に新しく「Canon PSIRT^※1」を立ち上げて、活動を始めました。
Canon PSIRTは、経済産業省の早期警戒パートナーシップの枠組みや外部団体（JPCERT/CCなど）と連携して、つねに脆弱性に関する市場動向に注意を払い、最新の情報を収集しています。また、キヤノンの製品・サービスに関する脆弱性情報を世界中の研究者から受け付ける窓口、およびキヤノンからお客さまへ情報を迅速に開示・掲載するための場所として、外部向けWebサイト^※2を公開して、世界標準レベルのサイバーセキュリティ対応に取り組んでいます。