CPSのデジタルトラスト実現に向けた東芝のサイバーセキュリティ戦略（前編）

　東芝がCPS（サイバー・フィジカル・システム）テクノロジー企業を目指す上で重要となるのが、「デジタルトラスト」である。CPSの実現には、顧客に価値を提供するだけでなく、デジタル化によって生じ得るリスクを下げるための仕組みが不可欠だ。そこで必要となるのがセキュリティ対策である。東芝ではセキュリティを高めるためにどのような方策を講じているのか。東芝デジタルソリューションズのCISO（最高情報セキュリティ責任者）であり、東芝 サイバーセキュリティセンター長を務める天野隆が解説する。 　　　　　　　

デジタルトラストに向けた東芝のセキュリティポリシーの原点は「トラストワージネス」

　CPSテクノロジー企業を目指す東芝にとって欠かせないのが、セキュリティの視点です。東芝では「トラストワージネス（Trustworthiness：システムの品質の信頼性）」をセキュリティポリシーの原点と位置づけています。

　ここで少し「信頼」という言葉の意味を考えてみたいと思います。「信頼」と似た言葉に「信用」がありますが、この2つの言葉には違いがあります。「信用」とは、人や企業を、過去の行為や業績、成果物などを根拠にして信じることを指しており、その人や企業に対する片方向の思いを表します。一方の「信頼」は、人・企業の未来に対して期待することであり、期待される側にもそれに応えたいという気持ちが必要です。つまり「信頼」は私たち東芝とお客さま、両者がお互いに「期待する」思いがあってこそ成り立つものなのです。

　また、「信頼」は「リスク分の価値（組織やシステムに対する価値をリスクで割ったもの）」と言い換えることもできます。社会のデジタル化の進展により、ネットワークだけではなく生み出されるデータも含めて安全性、信頼性を確保してどう活用できるようにするかという「デジタルトラスト」が課題となりつつありますが、デジタル化により生じ得るリスクを勘案しながら、いかに価値を提供できるかということなのです。東芝はCPSによってお客さまに価値を提供するとともに、お客様のリスクを低減していくことで、世界有数のCPSテクノロジー企業を目指すというわけです。

「リスクベース」「ゼロトラスト」のセキュリティマネジメント

　CPSとは実世界（フィジカル）におけるデータを収集し、デジタル世界（サイバー）で分析し、活用しやすい情報や知識として、それをフィジカル側にフィードバックすることで付加価値を創造する仕組みです。フィジカルとサイバーが繋がるCPSでは、デジタルリスクも指数関数的に増大します。また、サイバー攻撃も多様化、高度化の一途をたどっており、既知の脅威よりも未知の脅威の割合が大幅に増えています。2017年に猛威を振るったワナクライなどはその一例です。未知の脅威をいかに防ぐかは、IT（情報システム）領域はもちろん、社会インフラや産業現場の機械や設備、システムを最適に動かすための制御システム（OT）の領域でも重要になりつつあります。そこで東芝グループでは、情報システムと制御システムを包括した持続的なセキュリティ確保の取り組みを推進しています。

　東芝が掲げるサイバーセキュリティマネジメントポリシーは大きく2つ。ひとつ目は「リスクベースのセキュリティマネジメント」です。従来、ITインフラのセキュリティを考える際には、防御ソリューションを一斉に導入するなど画一的な考え方をしていましたが、発生頻度や影響度合いに応じてセキュリティ投資をしていくというリスクベースの考え方に変更しました。もう一つが「ゼロトラスト」。これは、攻撃されることを前提に対策を講じるという考え方です。さらに、自社で実践し経験値を得た上でお客さまに提供するという「カスタマーゼロ」という考え方を東芝グループ全体に取り入れています。

サイバーセキュリティセンターを設置し、情報セキュリティと製品セキュリティを包括したガバナンス体制を整備

　情報セキュリティと製品セキュリティを包括したサイバーセキュリティリスクに対して迅速かつ一貫した対策を推進するため、2017年にサイバーセキュリティセンターを設置し、「ガバナンス」「防御」「監視・検知」「対応・復旧」「評価・検証」「人材育成」という6つの領域で目標を設定し、グループ全体のガバナンスを強化してきました。この組織を作ったことで、ガバナンス面で大きな進展がありました。

　第一の進展は、情報セキュリティと製品セキュリティを従来の情報システム部門、品質部門から分離し、セキュリティ観点で施策に優先度をつけ推進できるようになったことです。同時にサイバーセキュリティ基本規定を制定。情報セキュリティ、製品セキュリティ、個人情報保護に関する規定やガイドラインの見直し、新設を行いました。

　東芝には多くの分社会社、グループ会社があり、独自にセキュリティポリシーを制定している会社もあります。ガバナンスを維持しつつ、いかに各社のセキュリティポリシーとのバランスを取っていくかが重要になります。そこで分社会社、グループ会社に新たにCISO、サイバーセキュリティ委員会を設置し、有事の際のジャッジ、体制の維持、オペレーションの管理などを各社CISOのガバナンスで行う体制とし、各社の特性に合わせてガバナンスに一定の柔軟性をもたせる取り組みをしています。

また、制御セキュリティについては、自社の工場に対する情報セキュリティの延長線上での制御セキュリティと、お客さまに納めたOT製品のセキュリティ、つまり製品セキュリティの延長線上の制御セキュリティという2つに分類して運用しています。

　第二は、2019年に研究開発センター内にサイバーセキュリティ技術センターを設置し、サイバーセキュリティに関する技術・知識を持ったメンバーを1カ所に集めたことです。同センターでは、セキュリティ運用の効率化を目指し、サイバー・ディフェンス・マネジメント・プラットフォーム（Cyber Defense Management Platform：CDMP）の構築に取り組んでいます。これにより、東芝グループのサイバーセキュリティ態勢強化を効率的に推進することができ、また将来的にはお客様のサイバーセキュリティ運用も可能なプラットフォームになっていきます。

　第三は、サイバーセキュリティ報告書を東芝として初めて公開したことです。目的はお客さまに東芝のサイバーセキュリティの取り組みを紹介し、東芝製品を安心してお使いいただくためです。また「東芝サイバーセキュリティ」サイトでは、東芝のサイバーセキュリティへの取り組みが確認でき、またそれらについて気軽に問い合わせをしていただけるようにしています。

サイバー・ディフェンス・マネジメント・プラットフォーム(CDMP)による脅威の予知・予防

　CDMP運用のコンセプトとして欠かせないのが、2つのプロテクションメソッドと2つのオペレーションアプローチです。

　まずは「ライフタイムプロテクション」。これはお客さまにセキュアな製品を提供するだけではなく、提供後もSOC（Security Operation Center）でその製品を監視し、何かインシデントがあれば積極的に対応していくというメソッドです。ハッカー視点でソリューション、製品を評価し、その結果を開発・設計にフィードバックしていく。そしてそのOODAサイクル（ウーダサイクル：Observe（観察）、Orient（状況判断、方向づけ）、Decide（意思決定）、Act（行動））をぐるぐると回すことで、高度化するサイバー攻撃に対応していくという考え方です。

　もうひとつのメソッドが「バリューチェーンプロテクション」です。デジタルトランスフォーメーションの時代においては、サプライヤーやカスタマーなどが、フィジカルだけではなく、サイバーのレイヤーでも繋がるようになります。つまり、バリューチェーン全体をサイバー攻撃から守ることが必要になります。そのための取り組みが、バリューチェーンプロテクションです。

　セキュリティオペレーションのアプローチとして採用しているのが、「インテリジェンス・セントリック・アプローチ」と「フェーズド・ディフェンス・アプローチ」です。「インテリジェンス・セントリック・アプローチ」は、ダークウェブと呼ばれるハッカー集団の活動情報から攻撃予告や漏洩情報といったスレットインテリジェンス（脅威情報）や脆弱性情報をいち早く入手し、防御や抑止に活用するという考え方。「フェーズド・ディフェンス・アプローチ」は、ハッカーの攻撃プロセスに合わせて、時間軸上で多層に防御するという考えです。何かが起きてからでは少人数で対応するのは難しく、時間もかかってしまいます。そこで事前に脅威を検知予測して処理していくという考え方に変えました。

　CDMPにより、SOCが社内ITインフラ、生産設備、製品、システム、サービスなどから取得した情報と、スレットインテリジェンス（脅威情報）を提供するベンダーから取得した情報などを掛け合わせて、脅威を予知・予防することが可能になります。万一インシデントが発生した場合には、連携しているCSIRT（Computer Security Incident Response Team）やPSIRT(Product Security Incident Response Team)が対応し、インフラや生産設備、製品やサービスの迅速な復旧を支援します。これら一連の情報の流れを、効率化、自動化するためのソリューションとして、SOAR(Security Orchestration, Automation and Response）を導入しています。

　そのほか、社内ITインフラや製品、サービスの脆弱性を見つけるため、信頼のおけるパートナーのレッドチーム（敵対した役割や視点のもとで、対象企業・組織の効率性の評価、改善提案を行う独立したグループ）による定期的な攻撃シミュレーションを行っています。

　また、人材の育成にも積極的に取り組んでいます。セキュリティの範囲は社内ITインフラだけでなく、製品や工場、サプライチェーンにまで広がっており、技術者だけでなく経営層から営業、スタッフ部門全員がセキュリティに対する高い意識と役割を持つ必要があります。この課題に対応するため、人材育成の教育体系の刷新、インシデント訓練など新たな教育の導入を進めています。