漠然とした不安を解消してネットワークを構築
納品した機器の故障検知及び遠隔保守をネットワークシステムで行いたいという製造業A社様。対応時間を短縮して顧客満足度を向上させたいという想いがありました。インターネットを利用するにあたり、富士通総研は情報セキュリティの確保を支援。A社様は、第三者からの不正攻撃など漠然とした不安から解消され、納得のいくネットワーク構築を実現しました。

どこまで対策をとるか、対策の実現の検証はどうするか
A社様におけるネットワークシステム構築は、「納品した機器の故障を速やかに検出し、対応時間を短縮させ、顧客満足度を向上させる」ことにありました。一方で、今まで人手で行っていた通常保守作業を遠隔操作することにより「効率化・コスト削減をする」という目的も。ただし、過剰な情報セキュリティ対策を行って、必要以上のコストをかけたくない、という側面もありました。
A社様のプロジェクトメンバーは、情報セキュリティ対策の必要性は理解していましたが、「何をどこまで」実施すればよいのか、といった点で漠然とした不安を抱いていました。通信費削減のために、インターネットを利用することが前提の本プロジェクト。インターネットは、第三者からの不正攻撃といった部分に高いリスクがあることも理解していたため、漠然とした不安に拍車がかかっていたのです。
そこで、「どのレベルまで情報セキュリティ対策をとるべきか」「対策が確実に実現されていることをいかに担保をとるべきか」の2点を主な課題としました。

情報セキュリティマネージャーがチーム間の連携を強化
富士通総研ではまず、他社プロジェクト事例をA社様に紹介しました。情報セキュリティ確保の必要性を理解いただいたうえで、当社のメンバーがプロジェクトマネージャー直轄の「情報セキュリティマネージャー」として参画。プロジェクトの大前提となるネットワークシステムの情報セキュリティポリシーを策定しました。続いて、プロジェクトメンバーに情報セキュリティポリシーの説明会などを実施し、啓発を行いました。
このようなプロジェクトでは、アプリケーション担当、基盤担当、運用担当、品質担当といったチームに分かれて推進するのが一般的です。しかし、これまでの支援経験では、情報セキュリティの観点でチーム間の連携が不十分になる傾向に。そこで、情報セキュリティマネージャーが中心となり、チーム間の連携を強化しました。

各工程の最初と最後にチェックポイントを作成
情報セキュリティマネージャーは、プロジェクト内におけるチェックポイントも作成。チェックポイントは、プロジェクトの各工程（設計工程、開発工程、テスト工程など）の「最初」と「最後」に設けました。
「最初」のチェックポイントでは、情報セキュリティに関する要件確認会を実施。要件確認会は、現在想定している要件、情報セキュリティポリシーの準拠状況を確認し、不足している要件を、抽出しました。
「最後」のチェックポイントでは、監査を実施し、要件の確実な実装と残留するリスクの洗い出しを実施。ただし、テスト工程の「最後」では、インターネットに接続している機器の脆弱性診断を実施し、外部不正アクセスからのリスクに対抗できているかを診断しました。問題が検出された場合は、その問題点を解決し、工程を終了しました。

1. 情報セキュリティマネージャーを設けたことでプロジェクト全体の最適化が図れた
2. バランスのとれたネットワークシステムを構築できた
   情報セキュリティポリシー策定時に、情報セキュリティに関するリスクと対応するレベルを設定し、プロジェクト内で承認を得ていたため、その必要性、負荷・コスト負担に十分納得していただけた
3. インターネット利用による漠然として不安を解消