- サイバーレジリエンスの強化
東芝グループは、エネルギー、社会インフラ、電子デバイス、デジタルソリューションを中心とした事業に取り組み、皆様の暮らしを支えています。創業以来、「ものづくり」で得た知見と経験を活かし、現実世界だけでなく、あらゆる領域に広がっている「つながる社会」でも、サイバー空間でのセキュリティを強化し、社会を守り、安心を届けることが責務と考えています。
取り組むべきKPIと実績
サイバーセキュリティマネジメントに関する成熟度自己評価※1
| 2023年度実績 | 3.58 |
|---|---|
| 2024年度目標 | 前年度以上(4に達したら4以上を維持) |
| 2024年度実績 | 3.62 |
| 2025年度目標 | 前年度以上(4に達したら4以上を維持) |
| 2023年度実績 | 3.58 |
|---|---|
| 2024年度目標 | 前年度以上(4に達したら4以上を維持) |
| 2024年度実績 | 3.62 |
| 2025年度目標 | 前年度以上(4に達したら4以上を維持) |
AI人材数※2
| 2023年度実績 | 2,300人 |
|---|
| 2023年度実績 | 2,300人 |
|---|
AI活用人材比率※3
| 2024年度目標 | 30 % |
|---|---|
| 2024年度実績 | 32 % |
| 2025年度目標 | 40 % |
| 2024年度目標 | 30 % |
|---|---|
| 2024年度実績 | 32 % |
| 2025年度目標 | 40 % |
- 主要グループ会社、東芝エレベータ(株)、東芝ライテック(株)、東芝プラントシステム(株)、東芝デベロップメントエンジニアリング(株)(2025年4月1日より東芝ユニファイドテクノロジーズ(株)に改称)、(株)ニューフレアテクノロジーが対象
- 東芝、東芝エネルギーシステムズ(株)、東芝インフラシステムズ(株)、東芝デバイス&ストレージ(株)、東芝デジタルソリューションズ(株)、東芝テック(株)、東芝エレベータ(株)、東芝ライテック(株)が対象。
- 国内東芝グループ全体でPCを日常業務で使う従業員が対象。
サイバーレジリエンスの実現に向けて
東芝グループでは、情報/製品/制御/データセキュリティをトータルで実現するために、サイバー攻撃などのセキュリティインシデントに備え、その影響を最小化し、早期に回復する能力「サイバーレジリエンス」という考え方を取り入れています。この実現のため、インシデントへの備え「Prepare(P)」、インシデントによる損失の軽減「Mitigate(M)」、対応・復旧時間「Respond & Recover(R)」の3つのパラメータを定義し、「Pを手厚く」、「Mを十分に」、「Rを短く」することをめざしています。東芝グループでは、このサイバーレジリエンスの実現に向けて、ガバナンス、オペレーション、人材育成の3つの観点で網羅的にサイバーセキュリティ施策を推進しています。
サイバーレジリエンスとインシデント対応プロセスの流れ
情報セキュリティ管理
情報セキュリティ管理の方針
東芝グループは、「個人情報、お客様・取引先様の情報、経営情報、技術・生産情報など、事業遂行過程で取り扱うすべての情報」の財産価値を認識し、これらを秘密情報として管理するとともに、不適正な開示・漏洩・不当利用の防止及び保護に努めることを基本方針としています。この方針は、東芝グループ行動基準の「情報セキュリティ」の項に規定し、東芝グループの全役員・従業員に周知しています。
東芝グループは法令や社会環境の変化に対応し、また情報セキュリティをより確実に管理運用するため、関係する規程類を継続的に見直しています。
業務委託先に個人情報・秘密情報を提供する場合は、秘密保持及び関係法令の遵守を当社に準じて行うこと、及び情報を扱う従業員に対する教育を徹底することを業務委託先に求めています。
契約に定める秘密保持義務や個人情報保護の義務に違反した場合、契約の解除や損害賠償を請求する可能性があることを契約書面に盛り込んでいます。
情報セキュリティ管理の体制
東芝グループは、情報セキュリティを経営課題として取り組むために、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)を統括責任者とする情報セキュリティ管理体制を構築しています。
東芝グループの情報セキュリティを確実にするために必要な事項は、サイバーセキュリティ委員会で審議します。統括責任者は、情報セキュリティにかかる社内規程が円滑、効率的かつ確実に運用されるよう施策を立案し、実行します。
東芝社内の各部門及び主要グループ会社及び関係会社※1においては、当該組織長が管理責任者として自組織の情報セキュリティについて責任を負うとともに、所管する東芝グループ会社に対して、東芝と同等レベルの情報セキュリティ管理を実施させるため、指導・支援を行います。
東芝グループ 情報セキュリティ管理体制
- 主要グループ会社及び東芝エレベータ(株)、東芝ライテック(株)、東芝プラントシステム(株)
- CSIRT: Computer Security Incident Response Team
情報セキュリティ対策
東芝グループは、4つの視点で情報セキュリティ対策を実施しています(下表参照)。これらの施策は、技術企画部が規程やガイドラインに盛り込み、通知や説明会などによって東芝グループ全体に周知しています。また、リスク・コンプライアンス委員会においても、サイバーセキュリティを重要なリスクの1つとして扱っており、サイバーセキュリティリスクの影響度、統制の状況を評価し、重点施策を決定しています。
| 対策区分 | 内容 |
|---|---|
| (1)組織的対策: 体制をつくり、ルールをつくる |
|
| (2)人的、法的対策: ルールを従業員などに守らせる |
|
| (3)物理的対策: ルールの具体化を物理的側面で支援 |
|
| (4)技術的対策: ルールの具体化を技術的側面で支援 |
|
| 対策区分 | 内容 |
|---|---|
| (1)組織的対策: 体制をつくり、ルールをつくる |
|
| (2)人的、法的対策: ルールを従業員などに守らせる |
|
| (3)物理的対策: ルールの具体化を物理的側面で支援 |
|
| (4)技術的対策: ルールの具体化を技術的側面で支援 |
|
- EDR:Endpoint Detection and Response
なお、年々高度化するサイバー攻撃への対策として、不審メールを防御する仕組みの導入やIoTデバイスなどの情報機器のウイルス対策の徹底、全従業員に標的型攻撃メール訓練を実施しています。外部の脅威インテリジェンスを活用し、端末の脆弱性の把握や攻撃の未然防止、更に社内にウイルスなどが侵入した場合でも迅速に対処できるように、ネットワークや社内システムの監視を強化しています。また、監視手順やインシデント対応手順についてもセキュリティ・オペレーション・センター(SOC)及びCSIRTにて手順書を定めています。
また、クラウド利用やリモートワークの拡大により、サイバー攻撃で狙われるポイントが増加しています。インターネットに公開するサーバやネットワーク機器の情報を収集・分析し、脆弱性や設定ミスを把握する仕組みの導入と攻撃シミュレーションツールを活用し当社が導入するセキュリティ製品のリスク評価を行い、社内外の対策強化に取り組んでいます。
顧客データを管理しているシステムなどすべての社内システムに対して、アクセス権の設定や脆弱性対策などを行い、ルール通り運用実施しているかを情報セキュリティ管理体制の中で毎年確認しています。 特に真に守るべき情報が漏れなく守られるように、(極秘)情報、(秘)情報に該当するデータについては保管場所や管理状況をデータベース化しています。
情報セキュリティ管理に関する点検・監査及び教育
東芝グループは多様な事業分野を有することから、グループ全体の情報セキュリティを確保するためには、各社が自律的にPDCA※1サイクルを回すことが大切です。そこで、東芝グループでは、毎年社内ルールの遵守状況を各社自ら点検し、問題点の発見・改善に努めています。そのうち東芝各部門、主要グループ会社及び関係会社※2の点検結果や改善活動は技術企画部が評価し、是正が必要であれば指導・支援しています。2024年度は、①ID/パスワード管理、②会社情報の削減・整理、外部記憶媒体の管理、③グループ会社のセキュリティ管理、 ④製造システムのセキュリティを重点ポイントとして確認しました。特に、重点ポイント④では、ランサムウェア対策を念頭に、東芝ネットワークに接続している機器のEDR導入状況や、USB記憶媒体のウイルスチェック状況などを確認しました。全体として概ね良好にセキュリティを維持・管理できていることを確認し、その結果を東芝CISOに報告しました。引き続き基本的な取り組みの見直しなどを進めていきます。
更に、国内東芝グループ会社では事業内容に応じてISMS認証※3やプライバシーマーク※4を取得し、ISMS認証機関や一般財団法人日本情報経済社会推進協会(JIPDEC)による外部監査を受けています。ISMS認証は東芝を含む国内東芝グループ会社の14事業部、プライバシーマークは東芝含む国内東芝グループの14社が取得しています。
また、東芝グループでは社内ルールの徹底を図るため、毎年すべての役員、従業員、派遣社員を対象に教育を実施しています。このほか、情報セキュリティの基礎的な教育や新卒採用者への導入教育を実施しています。
- PDCA Plan : リスクの特定・評価、Do : ルールの作成・運用、Check : 振り返り・実態調査、Action : 改善計画の策定・実行
- 主要グループ会社及び関係会社 主要グループ会社及び東芝エレベータ(株)、東芝ライテック(株)、東芝プラントシステム(株)
- ISMS認証 ISO/IEC 27000シリーズに準拠した情報セキュリティマネジメントシステムの第三者認証制度
- プライバシーマーク 日本産業規格「JIS Q15001個人情報保護マネジメントシステム-要求事項」に適合して個人情報の取り扱いを適切に行う体制などを整備していることを第三者機関が評価し、付与するマーク
ISMS認証を取得している国内東芝グループ会社
| No. | 認証登録番号 | 組織名 | 認証機関 |
|---|---|---|---|
| 1 | IC09J0282 | 株式会社東芝 セキュリティ・自動化システム事業部 小向工場 | 株式会社日本環境認証機構 |
| 2 | BSKS0018 | 株式会社東芝 防衛・電波システム事業部 小向工場(2025年6月現在、東芝インフラシステムズ株式会社での登録より変更予定) | 公益財団法人 防衛基盤整備協会 システム審査センター |
| 3 | JQA-IM0111 | 東芝ITサービス株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 4 | JQA-IM0130 | 東芝情報システム株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 5 | JQA-IM1860 | 東芝デジタルエンジニアリング株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 6 | JQA-IM0308 | 東芝デジタルソリューションズ株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 7 | IC15J0407 | 東芝デジタルマーケティングイニシアティブ株式会社 | 株式会社日本環境認証機構 |
| 8 | JQA-IM0513 | 東芝テック株式会社(静岡事業所(三島)) | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 9 | JQA-IM1163 | 東芝テック株式会社(静岡事業所(大仁)) | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 10 | JVAC-IM0006 | 東芝テックソリューションサービス株式会社 | 株式会社 ジェイーヴァック |
| 11 | JQA-IM0653 | 東芝ユニファイドテクノロジーズ株式会社(2025年6月現在、東芝デベロップメントエンジニアリング株式会社での登録より変更予定) | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 12 | IC21J0538 | 東芝ビジネスエキスパート株式会社(業務サポート事業部) | 株式会社日本環境認証機構 |
| 13 | IC11J0335 | テックインフォメーションシステムズ株式会社 | 株式会社日本環境認証機構 |
| 14 | JQA-IM0418 | イー・ビー・ソリューションズ株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| No. | 認証登録番号 | 組織名 | 認証機関 |
|---|---|---|---|
| 1 | IC09J0282 | 株式会社東芝 セキュリティ・自動化システム事業部 小向工場 | 株式会社日本環境認証機構 |
| 2 | BSKS0018 | 株式会社東芝 防衛・電波システム事業部 小向工場(2025年6月現在、東芝インフラシステムズ株式会社での登録より変更予定) | 公益財団法人 防衛基盤整備協会 システム審査センター |
| 3 | JQA-IM0111 | 東芝ITサービス株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 4 | JQA-IM0130 | 東芝情報システム株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 5 | JQA-IM1860 | 東芝デジタルエンジニアリング株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 6 | JQA-IM0308 | 東芝デジタルソリューションズ株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 7 | IC15J0407 | 東芝デジタルマーケティングイニシアティブ株式会社 | 株式会社日本環境認証機構 |
| 8 | JQA-IM0513 | 東芝テック株式会社(静岡事業所(三島)) | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 9 | JQA-IM1163 | 東芝テック株式会社(静岡事業所(大仁)) | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 10 | JVAC-IM0006 | 東芝テックソリューションサービス株式会社 | 株式会社 ジェイーヴァック |
| 11 | JQA-IM0653 | 東芝ユニファイドテクノロジーズ株式会社(2025年6月現在、東芝デベロップメントエンジニアリング株式会社での登録より変更予定) | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
| 12 | IC21J0538 | 東芝ビジネスエキスパート株式会社(業務サポート事業部) | 株式会社日本環境認証機構 |
| 13 | IC11J0335 | テックインフォメーションシステムズ株式会社 | 株式会社日本環境認証機構 |
| 14 | JQA-IM0418 | イー・ビー・ソリューションズ株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
- 東芝インフラシステムズ(株)は2025年4月1日付で(株)東芝に統合されました。
プライバシーマークを取得している国内東芝グループ会社
| No. | 登録番号 | 事業者名 | 審査機関 |
|---|---|---|---|
| 1 | 10300060 | 株式会社東芝 | 一般財団法人日本情報経済社会推進協会 |
| 2 | IC09J0282 | 東芝アイエス・コンサルティング株式会社 | 一般社団法人情報サービス産業協会 |
| 3 | 11820188 | 東芝ITサービス株式会社 | 一般社団法人情報サービス産業協会 |
| 4 | 11820322 | 東芝インフォメーションシステムズ株式会社 | 一般社団法人情報サービス産業協会 |
| 5 | 22000458 | 東芝エネルギーシステムズ株式会社 | 一般社団法人ソフトウェア協会 |
| 6 | 14650015 | 東芝健康保険組合 | 一般財団法人医療情報システム開発センター |
| 7 | 10780014 | 東芝自動機器システムサービス株式会社 | 一般財団法人日本情報経済社会推進協会 |
| 8 | 11820014 | 東芝情報システム株式会社 | 一般財団法人日本情報経済社会推進協会 |
| 9 | 10824951 | 東芝データ株式会社 | 一般財団法人日本情報経済社会推進協会 |
| 10 | 11820144 | 東芝デジタルエンジニアリング株式会社 | 一般社団法人情報サービス産業協会 |
| 11 | 11820136 | 東芝デジタルソリューションズ株式会社 | 一般社団法人情報サービス産業協会 |
| 12 | 10861314 | 東芝デジタルマーケティングイニシアティブ株式会社 | 一般財団法人日本情報経済社会推進協会 |
| 13 | 10820088 | 東芝テックソリューションサービス株式会社 | 一般財団法人日本情報経済社会推進協会 |
| 14 | 10862070 | 東芝ビジネスエキスパート株式会社 | 一般財団法人日本情報経済社会推進協会 |
| No. | 登録番号 | 事業者名 | 審査機関 |
|---|---|---|---|
| 1 | 10300060 | 株式会社東芝 | 一般財団法人日本情報経済社会推進協会 |
| 2 | IC09J0282 | 東芝アイエス・コンサルティング株式会社 | 一般社団法人情報サービス産業協会 |
| 3 | 11820188 | 東芝ITサービス株式会社 | 一般社団法人情報サービス産業協会 |
| 4 | 11820322 | 東芝インフォメーションシステムズ株式会社 | 一般社団法人情報サービス産業協会 |
| 5 | 22000458 | 東芝エネルギーシステムズ株式会社 | 一般社団法人ソフトウェア協会 |
| 6 | 14650015 | 東芝健康保険組合 | 一般財団法人医療情報システム開発センター |
| 7 | 10780014 | 東芝自動機器システムサービス株式会社 | 一般財団法人日本情報経済社会推進協会 |
| 8 | 11820014 | 東芝情報システム株式会社 | 一般財団法人日本情報経済社会推進協会 |
| 9 | 10824951 | 東芝データ株式会社 | 一般財団法人日本情報経済社会推進協会 |
| 10 | 11820144 | 東芝デジタルエンジニアリング株式会社 | 一般社団法人情報サービス産業協会 |
| 11 | 11820136 | 東芝デジタルソリューションズ株式会社 | 一般社団法人情報サービス産業協会 |
| 12 | 10861314 | 東芝デジタルマーケティングイニシアティブ株式会社 | 一般財団法人日本情報経済社会推進協会 |
| 13 | 10820088 | 東芝テックソリューションサービス株式会社 | 一般財団法人日本情報経済社会推進協会 |
| 14 | 10862070 | 東芝ビジネスエキスパート株式会社 | 一般財団法人日本情報経済社会推進協会 |
情報の漏洩などインシデント発生時の対応
秘密情報の漏洩など、万が一情報セキュリティインシデントが発生した場合、情報セキュリティインシデント報告体制に則り、迅速な対応をとっています。
従業員は、会社情報の漏洩などのインシデント発生又はその可能性を認知した場合、直ちにCSIRTに連絡します。報告を受けたCSIRTリーダーは、原因の究明や再発防止策の検討など、必要な措置を講じます。また法令などに違反するおそれのある重大な秘密情報の漏洩又はその可能性が発生した場合は、該当する法令などに従い、関連部門において協議のうえ、公表などの対応を実施します。
情報セキュリティインシデント報告体制
- 主要グループ会社及び東芝エレベータ(株)、東芝ライテック(株)、東芝プラントシステム(株)
情報の漏洩などインシデント発生の状況
2024年度、東芝グループでは会社が保有する重要な情報の漏洩事故は発生していません。また、個人情報に関する外部当事者・規制当局などからの不服申し立てなどは発生していません。引き続き情報セキュリティに係る事故防止に向けて万全の態勢で取り組んでいきます。
情報セキュリティ管理の詳細は、サイバーセキュリティ報告書をご覧ください。
プライバシーガバナンスの強化
東芝グループは、信頼できるデータ社会の確立を推進するために、データサービス事業におけるプライバシー情報活用に関する取り組み姿勢を宣言する「東芝グループプライバシーステートメント」を策定しています。
東芝グループはデジタルトランスフォーメーション(DX)が世界的潮流となるなか、データの力を最大限に活かす、価値ある製品・サービスの開発に挑戦するとともに、プライバシーガバナンスの強化に取り組んでいます。
東芝グループは、プライバシー尊重を人権尊重の一環として位置づけています。
取引先とのセキュリティポリシーの共有
取引先の選定の際、データを適切に管理できる取引先か評価しています。契約の際、データの共有を伴う場合は具体的な情報セキュリティ管理施策を求めるとともに、必要に応じて遵守状況の監査を行っています。
さらに、取引先に向けてサイバーセキュリティセミナーを定期的に開催しています。東芝グループのサイバーセキュリティ方針やガイドライン記載事項をお伝えし、セキュリティ対応力の強化を呼び掛けています。また、セキュリティに関する相談のための窓口を設置し、東芝と取引先の双方でレベルアップをはかっています。
セキュリティ・プライバシーポリシーは東芝グループ行動基準及び個人情報保護方針として社外公開しており、変更があれば直ちにホームページで周知しています。東芝グループの規程・ガイドラインを変更した場合、東芝グループ内に説明及び通知を行い、各社の規程・ガイドラインを更新しています。
AIガバナンス
東芝グループは、信頼できるAIシステムの開発・提供・運用を推進するために、東芝グループの理念体系に基づき、AIに対する理念を7つの観点でまとめた「東芝グループAIガバナンスステートメント」を策定しています。7つの観点は「人間尊重」、「AIの発展と人材の育成」、「公平性の重視」などから構成されます。例えば「公平性の重視」では、「人権を尊重し、不当な差別が生じないよう、公平性に配慮したAIの研究開発・提供・運用に努めます。」としています。
東芝グループはDXを加速しており、社会に重要なインフラシステムなどに対してAIを適用しさまざまな社会課題の解決を推進しています。本ステートメントの考え方に基づき、AIを開発・提供・運用できる人材の幅を広げ、AIシステムの品質を保つ仕組みづくりを強化し、東芝グループのAIガバナンスの構築を進めていきます。
AI人材の育成
東芝グループでは、デジタル化を通じてカーボンニュートラル・サーキュラーエコノミーの実現をめざしており、デジタルトランスフォーメーション(DX)の推進に必要なAI技術者の増強に取り組んでいます。(2019年度~育成を進めています。は削除)例えば、東京大学大学院情報理工学系研究科と共同で「東芝AI技術者教育」を2019年度上期に立ちあげ、約50人ずつの教育を年に2回開催することで、約500人のハイレベルなAI人材の育成を行っています。また、ビジネスにかかわる全員がAIに関する理解を深めたうえで、ともに取り組むことが重要となるため、東芝グループのすべての国内従業員を対象としたAIリテラシーの育成やAI活用に向けた風土改革を推進しています。日常業務でAIを活用する人材は、2024年度の目標「30%」を超える32%に達し、更なるAI人材の強化・育成を進めています。更に従業員の知識レベル・要求レベルに合わせて、AIの知識を習得する基礎講座、AIツールを用いた実習を行う実践講座、深層学習に特化した講座などを立ちあげ、社内教育の充実を図っています。東芝グループのAI人材はさまざまな事業分野で活躍しており、製品・サービスの環境性能向上にも貢献しています。信頼できるAIシステムの開発・提供・運用に向けた東芝グループの取り組み、及びAI人材の育成の詳細については、「東芝のAI」サイトをご覧ください(東芝のAIガバナンス、AI人材の育成)。
サイバーレジリエンス、情報セキュリティに関する取り組みの詳細は以下をご覧ください。