東芝はサプライチェーンをどう守っているのか？ セキュリティ報告書を公開

東芝は「東芝グループ サイバーセキュリティ報告書2023」を発行し2022年度のサイバーセキュリティへの取り組みを公開した。サプライチェーンリスクへの対応強化とサイバーセキュリティインシデント対応訓練の実施を報告している。

[後藤大地，有限会社オングス]

　東芝は2023年6月20日、「東芝グループ サイバーセキュリティ報告書2023」を発行した。同報告書は、同社における2022年度のサイバーセキュリティへの取り組みを明らかにしたもので、「サプライチェーンリスクへの対応」と「セキュリティインシデント対応訓練」について重点的にまとめている。

東芝は「東芝グループ サイバーセキュリティ報告書2023」を発行した（出典：東芝のWebサイト）

東芝のサイバーレジリエンス強化に向けた取り組みとは？

　東芝グループは2022年度、サプライチェーンを含めた情報や製品、制御、データセキュリティを統合的に実現するために「サイバーレジリエンス」の考え方を取り入れた戦略を実施した。その中でも特に注力したのが「サプライチェーンリスクへの対応」と「セキュリティインシデント対応訓練」だ。

　ここ数年でサプライチェーンへのサイバー攻撃が及ぼす影響範囲の広さが問題視されている。サプライチェーンのどこか1カ所がサイバー攻撃を受けると、その影響はサプライチェーン全体に及ぶため、これをどう防ぐかがセキュリティにおける大きな課題になっている。

　東芝グループは現状を踏まえ「サプライチェーンリスクへの対応」として、出荷製品の脆弱（ぜいじゃく）性通知数や製品ごとの対応状況、対応期限が近い脆弱性などを可視化した「製品の脆弱性管理」、取引先のセキュリティレベルを客観的に評価する「アタックサーフェース調査」、サプライチェーンセキュリティの重要性について従業員に教育するe-Learningや訓練といった「人材育成・啓発」の取り組みを実施した。

　「セキュリティインシデント対応訓練」では、実際にセキュリティインシデントが発生したケースを想定して訓練を実施した。これを通じて関係各所における情報共有やコミュニケーションパス、判断ポイント、事前準備体制及びフローなどが適切に対応できるよう整っているかなどを確認した。訓練で得られた知見はフィードバックを実施して改善する。

　東芝グループは今後もサイバーセキュリティの取り組みについて、ステークホルダーへの説明責任を果たしていくと説明している。