「東芝グループ サイバーセキュリティ報告書2021」の発行について

~サイバーレジリエンス戦略を推進し、情報/製品/制御/データセキュリティをトータルで実現~

2021年6月7日

 当社グループは、2020年度のサイバーセキュリティに対する取り組みをまとめた「東芝グループ サイバーセキュリティ報告書2021」を発行しました。

 当社グループは、エネルギー、社会インフラ、電子デバイス、デジタルソリューションを中心とした事業に取り組み、皆さまの暮らしを支える「インフラサービスカンパニー」へと変革を進めています。新型コロナウイルス感染症によりテレワーク主体のビジネスなどが当たり前となり、「リモートでつながる世界」があらゆる領域に広がっています。このような状況は、インターネットなどを悪用する犯罪者にとっても好都合です。サイバー空間のセキュリティをさらに強化し、サイバー犯罪から社会を守らなければなりません。

 当社グループの事業の中心となるインフラサービスにおいては、従来の情報/製品セキュリティに加えて、産業インフラの現場やサイバー空間へと必要とされるセキュリティの範囲が拡大しています。当社グループでは、情報/製品/制御/データセキュリティをトータルで実現するために、「サイバーレジリエンス」の考え方を取り入れた戦略を実行しています。サイバーレジリエンスとは、サイバー攻撃などのセキュリティインシデントに備え、その影響を最小化し、早期に回復する能力を意味します。具体的には、「システムの稼働時間(P)を長く」「インシデントによる損失(M)を小さく」「対応・復旧時間(R)を短く」することが求められます。

図:サイバーレジリエンスの考え方

 

 本報告書では、サイバーレジリエンスを実現するための施策として、意思決定・指揮系統を明確化する「ガバナンス」、監視・検知/対応・復旧/防御を行う「セキュリティオペレーション」、そして、これらを運用し発展させていく「人材育成」について詳しく説明しています。

 「ガバナンス」では、東芝グループCISO会議(*1)において、当社の主要グループ会社が組織を超えた横の連携を図り、グループ全体のセキュリティガバナンスを強化しています。また、プライバシーガバナンスの取り組みとして、当社グループでは、パーソナルデータを事業に活用する前にプライバシーリスクを特定、評価する仕組みとルールを作り、リスクを低減した上で、事業に活用しています。

 「セキュリティオペレーション」では、監視・検知、対応・復旧の自動化や脅威インテリジェンスの活用を積極的に進め、セキュリティリスクが企業活動に及ぼす影響の最小化を目指しています。

 「人材育成」では、人材タイプと役割レベルの組み合わせごとに、セキュリティに関する知識、技術を有していることを認定する、セキュリティ資格・認定制度を当社グループ内で展開しています。これらのセキュリティの成熟度を評価するために、主要グループ会社などを対象に成熟度自己評価を実施しています。各社の成熟度を見える化し、目標とのギャップを把握して具体的な施策を講じることで、各社のサイバーセキュリティ管理の確実なレベルアップを図っています。

 当社グループは、今後もサイバーセキュリティに関する説明責任を果たし、その取り組みをステークホルダーの方々に正しく理解していただくために、ウェブサイトやサイバーセキュリティ報告書を通じて、当社グループの考え方や戦略、セキュリティ確保の具体的な取り組みなどについて詳しく報告していきます。

 

■「東芝グループ サイバーセキュリティ報告書2021」
https://www.global.toshiba/jp/cybersecurity/corporate/report.html

■東芝サイバーセキュリティ ウェブサイト
https://www.global.toshiba/jp/cybersecurity/corporate.html

  • 主要グループ会社のCISO(最高情報セキュリティ責任者)が参画し、東芝グループ全体のサイバーセキュリティリスク管理の体制構築、推進、評価、改善等 に関する施策の立案および評価をする会議