「東芝グループ サイバーセキュリティ報告書2022」の発行について
~サイバーレジリエンスを推進し、サプライチェーンを含めた情報/製品/制御/データセキュリティをトータルで実現~
2022年06月23日
当社グループは、2021年度のサイバーセキュリティに対する取り組みをまとめた「東芝グループ サイバーセキュリティ報告書2022」を発行しました。
近年、産業や社会の幅広い分野におけるデジタル化の進展に伴い、サイバー攻撃の脅威が社会インフラの制御システムや機器などにも広がり、制御システムが攻撃者に乗っ取られたり停止させられるなどの物理的な被害に遭うリスクが増大しています。こうした中、当社グループの使命は、これまで以上にお客さまの事業と社会を支え、デジタル化を通したカーボンニュートラル・サーキュラーエコノミーの実現に貢献することだと考えています。実現に向けて、当社グループは、自社内の情報システムや工場・設備などの生産システムだけでなく、お客さまに提供する製品・システム・サービスにおいても、デジタル化に伴うセキュリティ確保に向けた取り組みを進めています。
当社グループでは、サプライチェーンを含めた情報/製品/制御/データセキュリティをトータルで実現するために、「サイバーレジリエンス」の考え方を取り入れた戦略を実行しています。サイバーレジリエンスとは、サイバー攻撃などのセキュリティインシデントに備え、その影響を最小化し、早期に回復する能力を意味します。具体的には、「インシデントへの備え(P)を手厚く」「インシデントによる損失の軽減(M)を十分に」「対応・復旧時間(R)を短く」することが求められます。
本報告書では、サイバーレジリエンスを実現するための施策として、意思決定・指揮系統を明確化する「ガバナンス」、監視・検知/対応・復旧/防御を行う「セキュリティオペレーション」、そして、これらを運用し発展させていく「人材育成」について詳しく説明しています。
「ガバナンス」では、当社グループ全体で一貫したセキュリティ対策を推進することで、インシデントの早期検知と早期対応を可能にしています。また、パートナー企業と、共通システムやネットワーク構成を構築する際は、規程に定めたセキュリティ対策の実施の有無を定期的にアセスメントしています。さらに、パートナー企業と協業する際は、企業選定にあたり、対象企業のサイバーセキュリティを定量的に評価・可視化する取り組みを一部のグループ会社において開始しています。
「セキュリティオペレーション」では、監視・検知、対応・復旧の自動化や脅威インテリジェンス(*1)の活用を積極的に進め、セキュリティリスクが企業活動に及ぼす影響の最小化を目指した取り組みを実施しています。
「人材育成」では、セキュリティ人材層に定義されたそれぞれの役割に基づき、サプライチェーンセキュリティの重要性を学ぶe-Learningや、脆弱性やインシデントに対応できる専門人材・高度人材の育成トレーニングに加えて、製品開発時のセキュリティ品質向上を担う管理職向けの製品セキュリティ教育などを強化しています。さらに、身につけた知識やスキルを常態化させるための訓練プログラムや、セキュリティ技術の啓発・浸透・強化を目的とする当社グループ従業員向けのセキュリティコンテストなどの取り組みも実施しています。
また、当社グループは、データサービス事業を展開しており、プライバシーガバナンスの取り組みも強化しています。近年、社会的にパーソナルデータを利活用する事例が増えるとともに、プライバシー保護への要請が高まっています。当社グループでは、パーソナルデータを事業に活用する前にプライバシーリスクを特定・評価する仕組みとルールを策定し、リスクを低減した上で事業に活用していきます。また、従業員に対してプライバシー保護の意識づけを図るための教育も実施しています。
当社グループは、今後もサイバーセキュリティに関する説明責任を果たし、その取り組みをステークホルダーの方々に正しく理解していただくために、ウェブサイトやサイバーセキュリティ報告書を通じて、当社グループの考え方や戦略、セキュリティ確保の具体的な取り組みなどについて詳しく報告していきます。
*1 世の中のセキュリティにかかわる脅威動向やハッカーの攻撃活動など、セキュリティに対する意思決定を支援する情報の総称
■「東芝グループ サイバーセキュリティ報告書2022」
https://www.global.toshiba/jp/cybersecurity/corporate/report.html
■東芝サイバーセキュリティ ウェブサイト
https://www.global.toshiba/jp/cybersecurity/corporate.html