セキュリティマネジメント Summit
Summer 2021 - Review -
東芝

サプライチェーン全体を守り抜く
切り札は「サイバーレジリエンス」

実世界のセンシングデータを仮想空間で分析し、付加価値を実世界にフィードバックするCPS(サイバーフィジカルシステム)。この技術を用いて社会課題を解決する「インフラサービスカンパニー」を目指すのが、東芝グループだ。その責務として、サイバーセキュリティ強化にも力を入れている。プロアクティブな対応で被害を最小化して正常な状態へ素早く復旧する。日本を代表する企業のサイバーセキュリティ戦略に注目が集まっている。

CPSの拡大に伴い、
セキュリティ対策がますます重要に

株式会社東芝 サイバーセキュリティセンター センター長 天野 隆氏
株式会社東芝
サイバーセキュリティセンター
センター長
天野 隆
 エネルギー、上下水道、鉄道をはじめとするインフラ事業、その基礎技術となる電子デバイス事業やデジタルソリューションなど、社会・産業を支える幅広い事業を展開する東芝グループ。近年は世界有数のCPS(サイバーフィジカルシステム)テクノロジー企業として、サイバー(仮想空間)とフィジカル(実世界)を融合した技術による社会課題の解決に注力している。

 具体的には、半導体やモーターなどの「デバイス・プロダクト」、インフラの構築などを行う「インフラシステム」、保守点検・機器更新・運用委託などの「インフラサービス」、そこから生み出されるデータを新しい価値創造に活用する「データサービス」の4つのセグメントで事業を展開。「ものづくりの知見・実績、ICTやデジタル・AI技術を融合させたシナジー・ループで、新規需要の創出や付加価値の高い製品・サービスを提供するインフラサービスカンパニーを目指しています」と東芝の天野 隆氏は語る。

 その際、不可欠なのがセキュリティ対策である。CPSが広がるにつれ、攻撃を受ける対象が拡大。同時に、近年はファイルレスマルウエアや、ランサムウエアなどのサイバー攻撃も高度化しているからだ。「脅威が社会インフラの制御システムにも広がり、物理的な被害に遭うリスクが増大しています」と天野氏。事実、電力関連企業や原子力施設、工場の製造設備などの被害事例が多数発生していることは、広く知られるところだ。

 もはや従来型の対策では太刀打ちすることが難しいため、情報システムと制御システムを包括した持続的なセキュリティ確保への転換が求められている。東芝は、これを実現するため、主要グループ会社にCISO(最高情報セキュリティ責任者)を配置。新たなサイバーセキュリティマネジメント体制を構築した。

 「CISOは、自社とその傘下会社のサイバーセキュリティの責任を負います。セキュリティ施策の徹底、インシデント対応から、製品自体の脆弱性への対応まで、組織を超えたヨコの連携を強化することで、東芝グループ全体のサイバーセキュリティを強化します」と天野氏は説明する。

ソリューションパートナーと共に
OODAサイクルを回す

 体制の整備とともにセキュリティ運用も見直し、「サイバーレジリエンス」という考え方を導入した。これは、平時からインシデント発生に備えておくことで影響を最小化し、早期に回復する能力のことである。

 従来型の対策はインシデントの防御、および発生後の対応に重点が置かれているため、そこに手間取ると被害が拡大してしまう。そこで、リアルタイム検知と脅威インテリジェンスを活用したサイバーレジリエンス・ライフサイクルを回し、インシデントに「備える」のだ。これにより、プロアクティブなセキュリティ運用が可能になる(図1)。  「サイバーレジリエンス・ライフサイクルを回す上では時間と空間の2つの軸の取り組みが重要です。時間軸の取り組みは、情報システムと制御システムの監視、運用体制、脆弱性の評価を継続的に実施すること。空間軸の取り組みは、これをサプライチェーン全体に適用していくことです」(天野氏)

 この2軸の活動を推進するため、同社が新たに構築したセキュリティ運用基盤が「CDMP(Cyber Defense Management Platform)」だ。対策の計画・準備からSOCによる監視・防御・検知、さらにCSIRTによる対応まで、一連のプロセスを自動化するSOAR(Security Orchestration, Automation and Response)を軸に、アセットログや脅威インテリジェンスを集約した統合プラットフォームである。

 CDMPの運用は2019年1月から開始。インシデントの監視・検知、対応・復旧の自動化や脅威インテリジェンスの活用を積極的に進め、セキュリティリスクが企業活動に及ぼす影響の最小化を目指しているという。

 「セキュリティ運用も変更しています。『計画』起点から『監視』起点へ、すなわちPDCAサイクルからOODAサイクルへと運用を転換することが、サイバーレジリエンス実現には欠かせません」と天野氏は語る(図2)。CDMPはこのOODAサイクルを支える基盤としても機能しているという。  また東芝は、このOODAサイクルの各プロセスに、複数のセキュリティソリューションを採用。例えばエンドポイント領域で、対応方針の決定を担う部分にはSOARソリューション「Swimlane」を、同じくエンドポイント領域のログ収集、検知、対策実行などを担う部分には「VMware Carbon Black」を導入し活用している。「これらの環境は、パートナーであるネットワークバリューコンポネンツの支援のもとで構築しています。導入だけでなく、継続的な運用も含めてサポートしてくれる点を高く評価しています」と天野氏は話す。

人と組織、両面の取り組みで
セキュリティの意識や成熟度を向上

 さらにOODAサイクルでは、継続的な取り組みによってその成熟度を高めていくことが欠かせない。そのために東芝グループは、人と組織の両面で施策を実施している。

 まず人については、教育を徹底することで社員一人ひとりのセキュリティ意識の向上を図っている。情報セキュリティ・個人情報保護教育、製品セキュリティ教育を全社員に実施しているほか、インシデント対応を担う高度なセキュリティ人材の育成も進めているという。

 「求める人材像を定義し、担当業務ごとのタイプ・役割を加味して育成しています。専門性の高い技術を持つ人材はもちろん、製品開発時のセキュリティ向上、脆弱性・インシデント対応が行える人材の育成、製品セキュリティの知見を備えた管理職の育成などにも取り組んでいます」(天野氏)

 組織については、主要グループ会社を対象に成熟度自己評価を毎年実施。これにより、サイバーセキュリティマネジメントプロセスの各要素における各社の成熟度を定量化し、可視化することで、目標とのギャップを把握し、具体的な施策につなげる狙いだ。

 この成熟度の評価指標は、国内外で実績のあるセキュリティインシデントマネジメントの成熟度モデル「SIM3」や経済産業省の「サイバーセキュリティ経営ガイドライン」、NISTの「Cyber Security Framework」などを参考に作成したという。これを基に情報セキュリティ(CSIRT)と製品セキュリティ(PSIRT)の両面からガバナンス、社外連携、セキュア開発・評価基盤、リスク管理基盤、SOC基盤、インシデント対応、人材育成のカテゴリ別に成熟度を評価する。さらに2020年度からは海外の東芝グループ会社でも評価を開始し、グローバルのサイバーセキュリティマネジメント体制の強化にも着手しているという。

 今後もCDMPを軸にOODAサイクルの成熟度を高め、サイバーレジリエンスのさらなる向上を図る。「グループ内のITインフラや工場などの生産設備だけでなく、当社が提供する製品・システム・サービスを見守り、またお客様のインフラや協業先のシステムのサイバー攻撃リスクを最小化していきたいと考えています」と天野氏は話す。

 幅広い産業や社会活動を支える東芝グループにとって、サプライチェーン全体の安全・安心を確保することは重要な使命である。システム、組織、人にわたる網羅的な取り組みを継続することで、今後も産業・社会インフラのさらなる発展に貢献していく構えだ。
資料ダウンロードはこちら
資料ダウンロードは
こちら
セキュリティマネジメント Summit
Summer 2021 - Review -
TOPへTOPへ
資料ダウンロードはこちら
資料ダウンロードはこちら
お問い合わせ
株式会社ネットワークバリューコンポネンツ ソリューション企画本部 VMware Carbon Black製品担当
E-mail:sales@nvc.co.jp
URL:https://products.nvc.co.jp/