東芝グループの「経営層を巻き込んだセキュリティ施策」とは？：セキュリティニュースアラート

東芝は2023年度のサイバーセキュリティ報告書を発行した。この報告書はアタックサーフェスの管理や脆弱性対応の強化、経営層向けのメール訓練など、サイバーレジリエンスを強化する取り組みについて記載している。

[後藤大地，有限会社オングス]

　東芝は2024年6月18日、2023年度のサイバーセキュリティに関する取り組みをまとめた「東芝グループ サイバーセキュリティ報告書2024」を発行した。

　同報告書ではサイバーレジリエンス強化のための施策の例として、「アタックサーフェスの管理と脆弱（ぜいじゃく）性対応」および経営幹部のセキュリティ意識向上を目的とした「経営層向けメール訓練」の取り組みが取り上げられている。

東芝グループの経営層を巻き込んだセキュリティの取り組みとは？

　近年、リモートアクセス機器の管理不備によるサイバー攻撃が増加しており、アタックサーフェスの管理や脆弱性対応の重要性が一層増している。

　東芝グループはサイバー攻撃のリスクを3段階に分類し、脆弱性の詳細調査や対策を分かりやすく現場担当者に提示することでリスクベースの脆弱性対応を実施している。報告書によると、高度化するサイバー攻撃から組織を守るため、アタックサーフェス情報を脆弱性対応やリスク低減に活用しているという。

　東芝グループはこの他、ビジネスメール詐欺の増加に対応するための取り組み「経営層向けメール訓練」も実施している。ビジネスメール詐欺は組織内特定の人物などになりすまして相手と連絡を繰り返し、金銭や情報の窃取を狙う攻撃手法だ。古くからある攻撃手法だが被害金額は増加しており、手口が悪質および巧妙化している。

　東芝グループでも巧妙化するなりすましメールによる被害リスクが懸念されており、2023年度に国内外の経営幹部215人を対象にCEOになりすましたメール訓練を実施した。経営層だけでなく従業員やサプライチェーンに対して訓練、啓発、セミナーを包括的に実施し、セキュリティ意識の向上を図っている。

　東芝グループは今後もサイバーセキュリティの取り組みに関するステークホルダーへの説明責任を果たしていくとしている。