- サイバーレジリエンスの強化
東芝グループは、エネルギー、社会インフラ、電子デバイス、デジタルソリューションを中心とした事業に取り組み、皆様の暮らしを支えています。創業以来、「ものづくり」で得た知見と経験を活かし、現実世界だけでなく、あらゆる領域に広がっている「つながる社会」でも、サイバー空間でのセキュリティを強化し、社会を守り、安心を届けることが責務と考えています。
取り組むべきKPIと実績
サイバーセキュリティマネジメントに関する成熟度自己評価※
2022年度実績 | 3.4 |
---|---|
2023年度目標 | 前年度以上 (4に達したら4以上を維持) |
2023年度実績 | 3.58 |
2024年度目標 | 前年度以上 (4に達したら4以上を維持) |
2022年度実績 | 3.4 |
---|---|
2023年度目標 | 前年度以上 (4に達したら4以上を維持) |
2023年度実績 | 3.58 |
2024年度目標 | 前年度以上 (4に達したら4以上を維持) |
- 主要グループ会社、東芝エレベータ(株)、東芝ライテック(株)、東芝プラントシステム(株)、東芝デベロップメントエンジニアリング(株)が対象
サイバーレジリエンスの実現に向けて
東芝グループでは、情報/製品/制御/データセキュリティをトータルで実現するために、サイバー攻撃などのセキュリティインシデントに備え、その影響を最小化し、早期に回復する能力「サイバーレジリエンス」という考え方を取り入れています。この実現のため、インシデントへの備え「Prepare(P)」、インシデントによる損失の軽減「Mitigate(M)」、対応・復旧時間「Response & Recover(R)」の3つのパラメータを定義し、「Pを手厚く」、「Mを十分に」、「Rを短く」することをめざしています。東芝グループでは、このサイバーレジリエンスの実現に向けて、ガバナンス、オペレーション、人材育成の3つの観点で網羅的にサイバーセキュリティ施策を推進しています。
サイバーレジリエンスとインシデント対応プロセスの流れ
情報セキュリティ管理
情報セキュリティ管理の方針
東芝グループは、「個人情報、お客様・取引先様の情報、経営情報、技術・生産情報など、事業遂行過程で取り扱うすべての情報」の財産価値を認識し、これらを秘密情報として管理するとともに、不適正な開示・漏洩・不当利用の防止及び保護に努めることを基本方針としています。この方針は、東芝グループ行動基準の「情報セキュリティ」の項に規定し、東芝グループの全役員・従業員に周知しています。
東芝グループは法令や社会環境の変化に対応し、また情報セキュリティをより確実に管理運用するため、関係する規程類を継続的に見直しています。
業務委託先に個人情報・秘密情報を提供する場合は、秘密保持及び関係法令の遵守を当社に準じて行なうこと、及び情報を扱う従業員に対する教育を徹底することを業務委託先に求めています。
契約に定める秘密保持義務や個人情報保護の義務に違反した場合、契約の解除や損害賠償を請求する可能性があることを契約書面に盛り込んでいます。
情報セキュリティ管理の体制
東芝グループは、情報セキュリティを経営課題として取り組むために、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)を統括責任者とする情報セキュリティ管理体制を構築しています。
東芝グループの情報セキュリティを確実にするために必要な事項は、サイバーセキュリティ委員会で審議します。統括責任者は、情報セキュリティにかかる社内規程が円滑、効率的かつ確実に運用されるよう施策を立案し、実行します。
東芝社内の各部門及び主要グループ会社及び関係会社※1においては、当該組織長が管理責任者として自組織の情報セキュリティについて責任を負うとともに、所管する東芝グループ会社に対して、東芝と同等レベルの情報セキュリティ管理を実施させるため、指導・支援を行います。
東芝グループ 情報セキュリティ管理体制
- 主要グループ会社及び東芝エレベータ(株)、東芝ライテック(株)、東芝プラントシステム(株)
- CSIRT: Computer Security Incident Response Team
情報セキュリティ対策
東芝グループは、4つの視点で情報セキュリティ対策を実施しています(下表参照)。これらの施策は、技術企画部が規程やガイドラインに盛り込み、通知や説明会などによって東芝グループ全体に周知しています。
対策区分 | 内容 |
---|---|
(1)組織的対策: 体制をつくり、ルールをつくる |
|
(2)人的、法的対策: ルールを従業員などに守らせる |
|
(3)物理的対策: ルールの具体化を物理的側面で支援 |
|
(4)技術的対策: ルールの具体化を技術的側面で支援 |
|
対策区分 | 内容 |
---|---|
(1)組織的対策: 体制をつくり、ルールをつくる |
|
(2)人的、法的対策: ルールを従業員などに守らせる |
|
(3)物理的対策: ルールの具体化を物理的側面で支援 |
|
(4)技術的対策: ルールの具体化を技術的側面で支援 |
|
- EDR:Endpoint Detection and Response
なお、年々高度化するサイバー攻撃への対策として、不審メールを防御する仕組みの導入やIoTデバイスなどの情報機器のウイルス対策の徹底、全従業員に標的型攻撃メール訓練を実施しています。外部の脅威インテリジェンスを活用し、端末の脆弱性の把握や攻撃の未然防止、更に社内にウイルスなどが侵入した場合でも迅速に対処できるように、ネットワークや社内システムの監視を強化しています。
また、コロナ禍でリモートワークが拡大し、サイバー攻撃で狙われるポイントが増加しています。インターネットに公開するサーバやネットワーク機器の情報を収集・分析し、脆弱性や設定ミスを把握する仕組みの導入と攻撃シミュレーションツールを活用し当社が導入するセキュリティ製品のリスク評価を行い、社内外の対策強化に取り組んでいます。
顧客データを管理しているシステムなどすべての社内システムに対して、アクセス権の設定や脆弱性対策などを行い、ルール通り運用実施しているかを情報セキュリティ管理体制の中で毎年確認しています。
情報セキュリティ管理に関する点検・監査及び教育
東芝グループは多様な事業分野を有することから、グループ全体の情報セキュリティを確保するためには、各社が自律的にPDCA※1サイクルを回すことが大切です。そこで、東芝グループでは、毎年社内ルールの遵守状況を各社自ら点検し、問題点の発見・改善に努めています。そのうち東芝各部門、主要グループ会社及び関係会社※2の点検結果や改善活動は技術企画部が評価し、是正が必要であれば指導・支援しています。2023年度は、①ID/パスワード管理、②情報やシステムの重要度に応じた区分、③ネットワークの運用管理、④製造システムのセキュリティを重点ポイントとして確認しました。全体として概ね良好にセキュリティを維持・管理していました。引き続き基本的な取組みの見直しなどを進めていきます。また、重点ポイント④では、スマートファクトリー化※3推進を念頭に、実際に複数の工場に赴き、製造システムで実施しているセキュリティ対策の状況やどのような課題があるか等、実地確認を行いました。
更に、国内東芝グループ会社では事業内容に応じてISMS認証※4やプライバシーマーク※5を取得し、ISMS認証機関や一般社団法人日本情報経済社会推進協会(JIPDEC)による外部監査を受けています。ISMS認証を取得している国内東芝グループ会社の数は15、取得対象部門や認証機関は表Aを参照してください。
また、東芝グループでは社内ルールの徹底を図るため、毎年すべての役員、従業員、派遣社員を対象に教育を実施しています。このほか、情報セキュリティの基礎的な教育や新卒採用者への導入教育を実施しています。
- Plan : リスクの特定・評価、Do : ルールの作成・運用、Check : 振り返り・実態調査、Action : 改善計画の策定・実行
- 主要グループ会社及び東芝エレベータ(株)、東芝ライテック(株)、東芝プラントシステム(株)
- IoTやAI等を導入した業務プロセス変革。工場内の機器や設備にセンサーを取り付け、リアルタイムでデータを収集・分析し、生産プロセスの最適化を図る。
- ISO/IEC 27000シリーズに準拠した情報セキュリティマネジメントシステムの第三者認証制度
- 日本産業規格「JIS Q15001個人情報保護マネジメントシステム-要求事項」に適合して個人情報の取り扱いを適切に行う体制などを整備していることを第三者機関が評価し、付与するマーク
ISMS認証を取得している国内東芝グループ会社
No. | 認証登録番号 | 組織名 | 認証機関 |
---|---|---|---|
1 | JQA-IM0111 | 東芝ITサービス株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
2 | IC09J0282 | 東芝インフラシステムズ株式会社 (セキュリティ・自動化システム事業部 小向工場) |
株式会社日本環境認証機構 |
3 | JQA-IM0130 | 東芝情報システム株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
4 | JQA-IM1860 | 東芝デジタルエンジニアリング株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
5 | JQA-IM0308 | 東芝デジタルソリューションズ株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
6 | IC15J0407 | 東芝デジタルマーケティングイニシアティブ株式会社 | 株式会社日本環境認証機構 |
7 | JQA-IM0513 | 東芝テック株式会社(静岡事業所(三島)) | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
8 | JQA-IM1163 | 東芝テック株式会社(静岡事業所(大仁)) | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
9 | JVAC-IM0006 | 東芝テックソリューションサービス株式会社 | 株式会社 ジェイーヴァック |
10 | JQA-IM0653 | 東芝デベロップメントエンジニアリング株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
11 | IC21J0538 | 東芝ビジネスエキスパート株式会社 | 株式会社日本環境認証機構 |
12 | JQA-IM1692 | 東芝ライフスタイル株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
13 | IC11J0335 | テックインフォメーションシステムズ株式会社 | 株式会社日本環境認証機構 |
14 | JQA-IM0418 | イー・ビー・ソリューションズ株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
15 | IS 681336 | SBS東芝ロジスティクス株式会社 | BSIグループジャパン株式会社 |
No. | 認証登録番号 | 組織名 | 認証機関 |
---|---|---|---|
1 | JQA-IM0111 | 東芝ITサービス株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
2 | IC09J0282 | 東芝インフラシステムズ株式会社 (セキュリティ・自動化システム事業部 小向工場) |
株式会社日本環境認証機構 |
3 | JQA-IM0130 | 東芝情報システム株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
4 | JQA-IM1860 | 東芝デジタルエンジニアリング株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
5 | JQA-IM0308 | 東芝デジタルソリューションズ株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
6 | IC15J0407 | 東芝デジタルマーケティングイニシアティブ株式会社 | 株式会社日本環境認証機構 |
7 | JQA-IM0513 | 東芝テック株式会社(静岡事業所(三島)) | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
8 | JQA-IM1163 | 東芝テック株式会社(静岡事業所(大仁)) | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
9 | JVAC-IM0006 | 東芝テックソリューションサービス株式会社 | 株式会社 ジェイーヴァック |
10 | JQA-IM0653 | 東芝デベロップメントエンジニアリング株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
11 | IC21J0538 | 東芝ビジネスエキスパート株式会社 | 株式会社日本環境認証機構 |
12 | JQA-IM1692 | 東芝ライフスタイル株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
13 | IC11J0335 | テックインフォメーションシステムズ株式会社 | 株式会社日本環境認証機構 |
14 | JQA-IM0418 | イー・ビー・ソリューションズ株式会社 | 一般財団法人 日本品質保証機構 マネジメントシステム部門 |
15 | IS 681336 | SBS東芝ロジスティクス株式会社 | BSIグループジャパン株式会社 |
情報の漏洩などインシデント発生時の対応
秘密情報の漏洩など、万が一情報セキュリティインシデントが発生した場合、情報セキュリティインシデント報告体制に則り、迅速な対応をとっています。
従業員は、会社情報の漏洩などのインシデント発生又はその可能性を認知した場合、直ちにCSIRTに連絡します。報告を受けたCSIRTリーダーは、原因の究明や再発防止策の検討など、必要な措置を講じます。また法令などに違反するおそれのある重大な秘密情報の漏洩又はその可能性が発生した場合は、該当する法令などに従い、関連部門において協議のうえ、公表などの対応を実施します。
情報セキュリティインシデント報告体制
- 主要グループ会社及び東芝エレベータ(株)、東芝ライテック(株)、東芝プラントシステム(株)
情報の漏洩などインシデント発生の状況
2023年度、東芝グループでは会社が保有する重要な情報の漏洩事故は発生していません。また、個人情報に関する外部当事者・規制当局などからの不服申し立てなどは発生していません。引き続き情報セキュリティに係る事故防止に向けて万全の態勢で取り組んでいきます。
情報セキュリティ管理の詳細は、サイバーセキュリティ報告書をご覧ください。
プライバシーガバナンスの強化
東芝グループは、信頼できるデータ社会の確立を推進するために、データサービス事業におけるプライバシー情報活用に関する取り組み姿勢を宣言する「東芝グループプライバシーステートメント」を策定しています。
東芝グループはデジタルトランスフォーメーション(DX)が世界的潮流となるなか、データの力を最大限に活かす、価値ある製品・サービスの開発に挑戦するとともに、プライバシーガバナンスの強化に取り組んでいます。
東芝グループは、プライバシー尊重を人権尊重の一環として位置づけています。
取引先とのセキュリティポリシーの共有
取引先の選定の際、データを適切に管理できる取引先か評価しています。契約の際、データの共有を伴う場合は具体的な情報セキュリティ管理施策を求めるとともに、必要に応じて遵守状況の監査を行っています。
さらに、取引先に向けてサイバーセキュリティセミナーを定期的に開催しています。東芝グループのサイバーセキュリティ方針やガイドライン記載事項をお伝えし、セキュリティ対応力の強化を呼び掛けています。また、セキュリティに関する相談のための窓口を設置し、東芝と取引先の双方でレベルアップをはかっています。
セキュリティ・プライバシーポリシーは東芝グループ行動基準および個人情報保護方針として社外公開しており、変更があればただちにホームページで周知しています。東芝グループの規程・ガイドラインを変更した場合、東芝グループ内に説明および通知を行い、各社の規程・ガイドラインを更新しています。
AIガバナンス
東芝グループは、信頼できるAIシステムの開発・提供・運用を推進するために、東芝グループの理念体系に基づき、AIに対する理念を7つの観点でまとめた「東芝グループAIガバナンスステートメント」を策定しています。7つの観点は「人間尊重」、「AIの発展と人材の育成」、「公平性の重視」などから構成されます。例えば「公平性の重視」では、「人権を尊重し、不当な差別が生じないよう、公平性に配慮したAIの研究開発・提供・運用に努めます。」としています。
東芝グループはDXを加速しており、社会に重要なインフラシステムなどに対してAIを適用しさまざまな社会課題の解決を推進しています。本ステートメントの考え方に基づき、AIを開発・提供・運用できる人材の幅を広げ、AIシステムの品質を保つ仕組みづくりを強化し、東芝グループのAIガバナンスの構築を進めていきます。
サイバーレジリエンス、情報セキュリティに関する取り組みの詳細は以下をご覧ください。