「東芝グループ サイバーセキュリティ報告書2024」の発行について
~サイバー攻撃の対象となりうるIT機器・経路の管理・脆弱性対応およびセキュリティ・アウェアネスの向上を通して、
サイバーレジリエンスの強化を促進~
2024年06月18日
当社グループは、2023年度のサイバーセキュリティに対する取り組みをまとめた「東芝グループ サイバーセキュリティ報告書2024」を発行しました。
近年、社会の幅広い分野におけるデジタル化の進展に伴い、事業のIT依存度が高まり、IT事故が事業の存続すら脅かすリスクとなりつつあります。さらに、サイバー攻撃の脅威が社会インフラの制御システムや産業機器などにも広がり、制御システムへの攻撃者による乗っ取りや機能停止などの物理的な被害に遭うリスクが増大しています。そのような中、当社グループでは、グループ内のセキュリティ管理に加え、サプライチェーンを含めた情報/製品/制御/データセキュリティをトータルで実現するために、「サイバーレジリエンス」の考え方を取り入れた戦略を強化しています。
本報告書では、サイバーレジリエンスを強化するための施策の例として、「アタックサーフェスの管理と脆弱性対応」や、経営幹部のセキュリティ・アウェアネスの向上を目的として昨年度実施した「経営層向けメール訓練」の取り組みについて説明しています。
「アタックサーフェス」は、サイバー攻撃の対象となりうるIT資産や攻撃経路を指します。近年、テレワークの浸透など働き方の変化によりIT環境が拡大しており、アタックサーフェスは拡大を続けています。それに伴い、リモートアクセス機器の管理不備によるサイバー攻撃など、アタックサーフェス経由の攻撃も増加しており、「アタックサーフェスの管理と脆弱性対応」の重要性が増しています。
当社グループでは、サイバー攻撃のリスクを3段階に分類し、脆弱性の詳細調査・及び対策実施内容を分かりやすく現場の担当者に提示することで、リスクベースでの脆弱性対応を行っています。日々高度化するサイバー攻撃から自組織を守るため、アタックサーフェス情報を脆弱性対応・リスク低減に活用しています。
「経営層向けメール訓練」は、特定の人物になりすまし、返信してきた相手と連絡を繰り返すことで信用させ、金銭や情報の窃取に誘導することを目的とするビジネスメール詐欺(BEC)が近年増加していることを踏まえ、実施しています。当社グループでも、文面の巧妙化によりメールフィルタをすり抜けるなりすましメールが散見されています。幹部がこのようなビジネルメール詐欺にあうと大きな被害が生じるリスクがあるため、当社グループでは、2023年度に、国内外の経営幹部215名を対象にCEOになりすましたメール訓練を実施しました。当社グループでは、経営層はもちろんのこと、従業員、サプライチェーンの3層に対して訓練や啓蒙、セミナーを網羅的に実践し、グループ全体でセキュリティ・アウェアネスの向上に取り組んでいます。
当社グループは、今後もサイバーセキュリティに関する説明責任を果たし、その取り組みをステークホルダーの方々に正しく理解していただくために、ウェブサイトやサイバーセキュリティ報告書を通じて、当社グループの考え方や戦略、セキュリティ確保の具体的な取り組みなどについて詳しく報告していきます。
■「当社グループ サイバーセキュリティ報告書2024」
https://www.global.toshiba/jp/cybersecurity/corporate/report.html
■当社サイバーセキュリティ ウェブサイト