セキュリティ教育
斯波 万恵
株式会社東芝
研究開発センター
シニアエキスパート
みなさんは、社内でどのようなセキュリティ教育を受けていますでしょうか?
昨今、ランサムウェアなど特定の企業を狙ったサイバー攻撃が増えていく中で、情報漏洩などの事故を防ぐためには、技術的な対策だけでは不十分であり、従業員一人ひとりが日々の情報を適切に取り扱うための知識を身につけ、標的型攻撃などのセキュリティ脅威や、テレワークを行う際のセキュリティ上の注意点などに対する意識を高く持つことが重要です。
また、お客さまに提供する製品・システム・サービスのセキュリティを確保するためには、製品にかかわる従業員全員が、セキュリティの脆弱性が発生した場合のリスクの重大性と、開発段階でのセキュリティ脆弱性混入の防止、および出荷済み製品のセキュリティ脆弱性への迅速な対応の重要性を理解し実践する必要があります。
東芝グループでは、海外現地法人やグループ会社を含むすべての役員・従業員を対象に、毎年、情報セキュリティ・個人情報保護教育、製品セキュリティ教育に関するコンプライアンス教育を多言語のe-ラーニングで実施しています。また、セキュリティ人材を、経営、管理、開発、運用の4つのタイプと4つのレベルに分けたセキュリティ人材像で定義し、「セキュリティ資格・認定制度」を運用、定義されたそれぞれの役割に基づく教育・トレーニングも提供しています(*)。
今回、東芝グループが従業員向けに実施している「サプライチェーンセキュリティ教育」、「製品セキュリティライフサイクル基礎」、「セキュアコーディング」の3つのe-ラーニングについて、Generalist/LWで販売を開始しました。この3つのe-ラーニングは、サイバー・フィジカル・システム(CPS)を推進し、エネルギー・社会インフラを担う東芝グループとして、製品・システム・サービスの安全と安心の提供に必要と考える要素を盛り込み、作成したものです。
「サプライチェーンセキュリティ教育」では、サプライチェーンにおける製品セキュリティリスクに備えるために、サプライチェーン上での立場に応じて実施すべきセキュリティ対策事項を学びます。「製品セキュリティライフサイクル基礎」では、製品のライフサイクル全体を通じて、各フェーズでのセキュリティ実施事項を理解します。「セキュアコーディング」では、出荷する製品に対する脆弱性混入を防ぐために、セキュアなコードを実装する手法の基礎を学びます。Generalist/LWでは、今後も東芝グループ向けに開発・実施しているe-ラーニングのラインナップを拡充していく予定です。
セキュリティは経営層から新入社員まで、営業・設計・製造現場、品質や総務などのスタッフ部門を含め企業全体で取り組むべき施策であり、継続した啓発が必要です。まずは、e-ラーニングから始めてみるのはいかがでしょうか?
(*)東芝サイバーセキュリティ報告書 2022
https://www.global.toshiba/jp/cybersecurity/corporate/report.html
斯波 万恵(しば ますえ)
株式会社東芝 研究開発センター シニアエキスパート
1986年東芝入社、汎用マイコンのロジック設計、暗号HW IP設計を経て、情報技術セキュリティ評価に関する研究開発及びコンサルテーションに従事。現在は、同社にてサイバーフィジカルシステムのセキュリティアーキテクチャ、ソリューション開発を推進する傍ら、IEC TC65 WG10国内委員、情報処理学会 セキュリティと心理学トラスト研究会運営委員/論文誌特集号編集委員などにも就任し、法政大学大学院兼任講師として教壇にも立っている。著書に、『IoTシステムとセキュリティ』がある。最近の講演としては、ハノーバメッセ、日独経済フォーラム、FireEye Cyber Defense Live Tokyo 2019、第9回慶應大学サイバーセキュリティ国際シンポジウム、電力ISAC 需給・系統WGセミナー(2020年)等多数。