～サイバーレジリエンスを実現し、サプライチェーン全体で持続的なセキュリティを提供～

　当社グループは、２０２２年度のサイバーセキュリティに対する取り組みをまとめた「東芝グループ サイバーセキュリティ報告書２０２３」を発行しました。
　
　近年、産業や社会の幅広い分野におけるデジタル化の進展に伴い、サイバー攻撃の脅威が社会インフラの制御システムや機器などにも広がり、制御システムへの攻撃者による乗っ取りや停止などの物理的な被害に遭うリスクが増大しています。そのような中、当社グループでは、サプライチェーンを含めた情報／製品／制御／データセキュリティをトータルで実現するために、「サイバーレジリエンス」の考え方を取り入れた戦略を実行しています。

　本報告書では、サイバーレジリエンスを実現するための施策の例として、昨年度強化した「サプライチェーンリスクへの対応」や、昨年度実施した、インシデントの発生を想定し整備した備えや装備が効率的・スムーズに機能するか実際の訓練で確認する「セキュリティインシデント対応訓練」の取り組みについて説明しています。

　「サプライチェーンリスクへの対応」については、セキュリティホール(*1)を防ぎ、漏れのないリスク管理を実現するために、出荷製品の脆弱性通知数や、製品ごとの対応状況、対応期限が近い脆弱性などを可視化した「製品の脆弱性管理」、客観的に取引先会社のセキュリティレベルを評価する「アタックサーフェース調査(*2)の活用」、サプライチェーンセキュリティの重要性を学ぶe-Learningやサイバーセキュリティ訓練などの「人材育成・啓発」の取り組みをまとめています。
　当社グループは、以前よりサプライチェーンリスクを重要課題に位置付けています。2019年には「お取先様のための東芝製品セキュリティ品質保証ガイドライン（ソフトウェア編）」を制定し、取引先に配布・周知したり、調達部門と連携し、委託先へのセキュリティ強化を求めるなどの取り組みを実施しています。近年、サプライチェーンの一つがサイバー攻撃を受け被害がサプライチェーン全体に及ぶケースが顕在化してきていること受け、当社グループは、昨年度、さらに一歩踏み込んだ施策を展開しました。
　
　「セキュリティインシデント対応訓練」については、セキュリティオペレーションの高度化に向け、監視・検知、対応・復旧の自動化や脅威インテリジェンス(*3)の活用を積極的に進め、セキュリティリスクが企業活動に及ぼす影響の最小化を目指した取り組みを実施しています。昨年度は、当社の国内主要グループ会社などを交え、実際にインシデントが発生した場合を想定した訓練を実施し、関係各所における情報共有、コミュニケーションパス、判断ポイント、事前準備などの体制・フローが適切に対応できるよう整っているかなどを確認しました。訓練で得られた気づきや課題を次回の訓練に生かすとともに、海外グループ会社を含めた訓練の実施やフォローアップ教育など、サイバーレジリエンスの実現に向け、取り組みを進めていきます。

　当社グループは、今後もサイバーセキュリティに関する説明責任を果たし、その取り組みをステークホルダーの方々に正しく理解していただくために、ウェブサイトやサイバーセキュリティ報告書を通じて、当社グループの考え方や戦略、セキュリティ確保の具体的な取り組みなどについて詳しく報告していきます。

*1　コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥

*2　外部からアクセス可能なネットワークやアプリケーションのセキュリティ対策の状況を自動調査し、脆弱性のあるサービスや潜在的な脆弱性を確認しセキュリティレベルを評価する調査

*3　世の中のセキュリティにかかわる脅威動向やハッカーの攻撃活動など、セキュリティに対する意思決定を支援する情報の総称


■「東芝グループ　サイバーセキュリティ報告書２０２３」
https://www.global.toshiba/jp/cybersecurity/corporate/report.html

■東芝サイバーセキュリティ ウェブサイト
https://www.global.toshiba/jp/cybersecurity/corporate.html