サイバー攻撃による脅威が情報システムだけでなく制御システムやIoT*システムに広がり、社会インフラが物理的な被害にあうリスクが増大しています。2020年に開催される東京オリンピックやパラリンピックを狙ったサイバー攻撃なども懸念される中、企業には自社内のシステムや自社製品のセーフティーとセキュリティに関するリスク評価を厳密に行い、未然にさまざまなリスクに対応し、インシデント発生時に迅速な対応が行える体制づくりが求められています。
東芝が2017年10月に発足した「サイバーセキュリティセンター」は、こうした経済や社会の危機感の高まりを受け、従来の企業におけるセキュリティ体制の概念を越えた画期的な組織として誕生しました。最高情報セキュリティ責任者(CISO*)の強力なリーダーシップの下、情報セキュリティと製品セキュリティの機能を統合させた実効性ある施策を推進しています。サイバー攻撃による脅威に対応するシステム、技術、人財を生み出していくサイバーセキュリティセンターの概要と活動状況についてご紹介します。
* IoT:Internet of Things(モノのインターネット),CISO:Chief Information Security Officer(最高情報セキュリティ責任者)
企業における従来のセキュリティ体制の限界
急激なIoT化を背景に、情報技術(IT)と制御技術(OT*)の融合が進む社会インフラシステムが、サイバー攻撃の対象になり始めています。2020年には東京でオリンピックとパラリンピックの開催も控えています。日本の混乱とダメージを狙った攻撃までもが懸念される今、私たちはどのような対策を進めるべきでしょうか。
多くの企業や団体が取り組んでいるのは、セキュリティインシデントへの対応を行うCSIRT*の整備ですが、東芝のような製造業では、自社が製造する製品に起因するセキュリティインシデントへの対応を行うPSIRT*の整備をあわせて進めることが求められます。
*OT:Operational Technology,CSIRT:Computer Security Incident Response Team,PSIRT:Product Security Incident Response Team
CSIRTは、さまざまな企業や団体で既に定着しています。厳密な定義は企業や団体によって異なりますが、主に自社内の情報システムやネットワーク、パソコンやサーバーといったIT機器へのサイバー攻撃に対して、システムの監視や脅威となる情報の収集を実施。リスクの特定や評価を行い、迅速なセキュリティインシデントへの対応と被害の最小化を担うのが一般的です。
一方のPSIRTは、製造した自社の製品やシステムがお客さまの運用中にセキュリティインシデントの被害に合わないよう、製品の開発段階から出荷後まで、製品ライフサイクル全般のリスクマネジメントを実施し、万一、セキュリティインシデントが発生した場合には、その被害の最小化を担います。IoT市場で事業展開を進めるソフトウェアメーカーや機器メーカーを中心に、整備が進んでいます。
各企業や団体で整備されているCSIRTとPSIRTは、多くの場合、それぞれ各部署からのメンバーを兼任で集めて組織しています。各メンバーは、平時はセキュリティインシデント予防のための業務を行い、インシデントが発生した時にのみ、街の消防団のように召集されます。しかしこれでは、有事におけるメンバー間の連携プロセスや指揮命令系統が十分に機能せず、セキュリティインシデントに素早く対応することは難しいという課題があります。またCSIRTとPSIRTを組織化していても、それぞれが独立に運営されているケースが散見されます。CSIRTとPSIRTそれぞれの対象は、社内情報システムと自社開発製品とで異なるものの、その活動や必要とされる知識には共通点が多く、両者の技術や人財を共有すれば、セキュリティインシデント発生時の迅速な初動と、適切な対応が容易となります。サイバー攻撃にさらされた場合、初動や適切な対応の遅れによる被害の拡大を防ぐことは、極めて重要であり、それを担う人財、機能をいかに集約できるかは、重要な課題です。
CISO直轄、「CSIRT」「PSIRT」機能を集約
東芝が2017年10月に設立した「サイバーセキュリティセンター」では、CSIRTとPSIRTに関するこれらの課題を解消できるように設計されています。セキュリティ対策を重要な経営課題として捉え、強力なリーダーシップのもと、東芝グループの情報セキュリティおよび製品セキュリティを適切に管理し、サイバー攻撃への対応を一元的に推進していきます(図1)。
東芝では、最高情報セキュリティ責任者(CISO)として経営幹部(執行役上席常務)が就任。重大なセキュリティインシデントに対する意思決定や事業主体である分社会社への対応指揮など、サイバー攻撃に対する迅速かつ適切なリスクマネジメントの権限をCISOに集中させました。サイバーセキュリティセンターは、このCISOが直轄する組織として、これまで強力に推進してきた情報システムにおけるセキュリティ施策と、製品やサービスに対するセキュリティ施策を推進する機能を集約。それぞれについて豊富な知見を有する専任スタッフを常駐させることで、いついかなる時もCISOのリーダーシップのもと密接に連携して統一的なアクションを起こせる体制を整備。隙のない予防体制の構築とセキュリティインシデント発生時の迅速な対応、脆弱性(ぜいじゃくせい)評価とリスク分析に基づくセキュリティ施策を実施しています。
また、経済産業省やJPCERT/CC*といった国内外のセキュリティ関連組織との窓口、そして東芝の事業主体となる分社会社との連携窓口を同センター内に一本化。最新の業界情報やサイバー攻撃に関する情報を一元的に集積することで、あらゆるリスクの可能性を多角的に検証した上で、情報セキュリティと製品セキュリティのそれぞれに対して一貫したリスク判定ポリシーで対策を展開することを可能にしました。
*JPCERT/CC:一般社団法人 JPCERT コーディネーションセンター
共通セキュリティ基盤、全社規程によるルール化への取り組み
サイバー攻撃のリスクマネジメントは、企業にとって経営の根幹を担う重要な業務のひとつ。こうした認識のもと、サイバーセキュリティセンターでは、同センターが策定した“東芝サイバーセキュリティビジョン2020”に基づき、現在、その機能を最大限に生かした積極的な活動を進めています。中でも最優先事項として取り組んでいるのが、セキュリティの専門家を持つ東芝の研究開発センターや東芝デジタルソリューションズとの連携による、「共通セキュリティ基盤の構築」と「全社品質規程によるルールの策改定」です。
共通セキュリティ基盤は、事業主体である分社会社による、防御、監視・検知、対応・復旧といったセキュリティオペレーションをサポートするものです。多種多様な社内情報システムや製品が持つセキュリティのリスクを、詳細かつ確実に管理する。それは東芝の社会的責任であり、最大のミッションのひとつです。しかし通常、さまざまベンダーやメーカーと作り上げた社内情報システムや製品の脆弱性を、ソフトウェアや構成部品のレベルまで見える化し、管理することは至難の技です。同センターでは、蓄積した社内情報システムや製品ごとの構成情報と、世界中から収集したソフトウェアの脆弱性の情報をマッチングして製品ごとの詳細なセキュリティリスクを自動的に判断し、製品の開発段階における脆弱性混入の防止や、出荷後の脆弱性対策に生かすシステムの開発を進めています。情報セキュリティと製品セキュリティを包括した共通セキュリティリスク管理基盤として、2018年度中の実用化を目指しています。
また、PSIRTが取り組む製品セキュリティを品質マネジメントシステムの一環と捉え、東芝グループガバナンスコーディネーションにおいて、全社品質規程にPSIRT関連項目を記載しました。事故は「起こるかもしれない」という考え方を一歩進めて「必ず起こるもの」という前提に立ち、脆弱性情報の展開や深刻な影響が見込まれる場合のリスク対応マニュアルを新たに整備。開発段階から出荷後まで、製品やサービスの脆弱性への対応方法やフローといったルールを明文化し、分社会社への展開を図っています。
統一的かつ厳格なセキュリティマネジメント実行体制を構築する上で考えなければならないのは「セキュリティは人が担う」という現実です。どんなに高度なITシステムや万全のマニュアルを整備しても、使う人にとっての利便性が配慮されたものでないと十分に機能することはありません。サイバーセキュリティセンターでは、前述した取り組みを実現していくにあたって、ユーザビリティーに最大限に配慮。誰にとっても使いやすくてわかりやすい、東芝で働く全ての人が容易に運用できるものを具現化していきます(図2)。
高度なセキュリティ人財の育成と全社員の意識の向上を目指す
サイバーセキュリティセンターが担う業務のひとつとして今後、注力するのが、セキュリティ人財の育成です。東芝のセキュリティ体制を強化し、その実力を最大限に発揮していくためには、情報セキュリティと製品セキュリティに関する専門知識を豊富に備えた専門人財の育成だけでなく、役員、管理者、従業員を対象に、セキュリティに関する意識を向上してくことが重要となります。
同センターでは、社内における教育の制度や体制を整備する一方、専門人財に関しては、IPA*の産業サイバーセキュリティセンターにおける「中核人材育成プログラム」を活用し、育成に力を入れています。また、セキュリティ意識向上の点では、社内の営業担当から技術担当、開発担当、品質管理担当といったそれぞれの役割に応じて、セキュリティ強化、対応のための具体的なポイントを盛り込んだコンテンツをe-Learningで展開していくことで、社内の隅々までセキュリティ意識の向上を図っていきます。
*IPA:Information-technology Promotion Agency, Japan(独立行政法人情報処理推進機構)
一方で、同センター内の人財についても、高度な知識と技術をベースにセキュリティ対策を経営の課題として捉えて推進するリーダーシップ、そしてマネジメント力をも備えた人財の育成を進めていきます。あわせて、東芝の研究開発センターや東芝デジタルソリューションズのインダストリアルICTセキュリティセンターのセキュリティ人財との人的交流や情報交換会を定期的に行い、メンバーのレベルアップを図っています。
全社組織として重要なミッションを担うサイバーセキュリティセンターですが、東芝グループ全体の事業活動と製品を支え、東芝の製品やサービスをご利用いただくお客さまや社会の安心と安全を守るサイバーセキュリティ対策の基盤拠点として、社内外からの期待も高まっています。今後、急速に広がっていくIoT時代を見据え、多種多様なセキュリティ課題に応える積極的な活動をさらに具体化させていきます。
※この記事に掲載の、社名、部署名、役職名などは、2018年4月現在のものです。
