東芝 サイバーセキュリティセンター ゼネラルマネジャーの下田秀一氏は、「セキュリティは今、転換期にある」と話す。生成AIの事業での活用が急速に進む一方で、政策や法制が大きく変わってきているためだ。こうした変化の中で、企業はどのようにリスクをコントロールしていけばよいのか。
3月12日~13日に開催された「TECH+フォーラム セキュリティ 2026 Mar. 能動的防御・新法施行で変わるセキュリティ 自社の“次の一手”を考える」に同氏が登壇。東芝が実践するセキュリティマネジメントについて説明した。
なぜ今、企業のセキュリティは「転換期」にあるのか
昨今、製造業を取り巻く政策、法制は大きく変化している。国内では、IoT機器のJC-STAR(セキュリティ要件適合評価及びラベリング制度)やサプライチェーンセキュリティ評価制度など、セキュリティの成熟度を評価する動きが始まっている。一方欧州では、デジタル製品にセキュリティ設計を義務付け、違反者には重いペナルティが科されるEU Cyber Resilience Act(EU CRA、欧州サイバーレジリエンス法)が成立しており、対応が急がれている。
-
製造業者における動向認識
能動的サイバー防御を可能にするサイバー対処能力強化法の成立も注目されているが、これに対してベンダーは何をすべきか。下田氏がまず重要だとしたのは、平時から顧客であるインフラ事業者や監督官庁とのコミュニケーションを図り、有事の際の体制を整備しておくことだ。また脆弱性にはSoftware Bill of Materials (SBOM、ソフトウェア部品表)などにより素早く対応できるようにし、影響を最小化できる体制を構築しておくことが求められる。さらに、インフラ事業者の特定電子機器の届出を容易にするため、前述のセキュリティ認証やラベリング制度の星を取得するなど、製品の納入から撤収、廃棄に至るまでのライフサイクル全体を管理することも必要だ。
これらに加え、攻撃サーバの無害化についても全企業が意識すべきだと同氏は指摘する。サイバー攻撃では攻撃者は乗っ取った他社のサーバを踏み台にする。万一自社サーバが乗っ取られて基幹インフラ事業者への攻撃が行われた場合、自社サービスの停止を命じられる可能性もある。つまりどんな事業者でも無関係ではないのだ。攻撃に加担してしまわないために、自社の資産の脆弱性をしっかり管理しておかなければならない。
「これらの点は企業の経営に影響するため、経営層、CISO、幹部が関与して対応することが重要です」(下田氏)
セキュリティリスクはどう管理すべきか(回避・低減・保有の判断)
技術、ビジネス、規制の変化に伴ってリスクも変化している。そこで重要になるのがリスクマネジメントだ。一般にリスクマネジメントでは、リスクの回避、移転、低減、保有という4つの対応策が用いられる。これをセキュリティに当てはめてみると、リスクの回避は難しい。例えばインターネットを使わない、というわけにはいかないためだ。リスクの移転は、リスク発生時に自己の損害にならないように第三者に移転することであり、セキュリティ保険がそれにあたる。ただし生成AIに関連する特約などは昨今細かく変わってきているため、内容をよく確認する必要がある。リスクの低減は、攻撃を受けた際の被害を最小限に抑えること、つまりレジリエンスを意味する。そしてリスクの保有はリスクを受け入れること。リスクをゼロにすることは不可能であるため、重要な部分以外のリスクはある程度受け入れるという考え方だ。
「全てのリスクをつぶすことはできません。どこまで受け入れるか、経営者が意思決定することが重要になります」(下田氏)
東芝はどのような体制でサイバーリスクを管理しているのか
東芝では2012年にCSIRT、2016年に品質部門にPSIRTを立ち上げ、2017年にはCISOを設置するとともにサイバーセキュリティセンターを設立。このサイバーセキュリティセンターがガバナンス組織となり、プライバシーガバナンスや生成AIのリスクマネジメントなども含めて管理する、3線ディフェンスの体制を採る。現場を第1線としてCISO、CSIRT、PSIRTを置き、第3線を内部監査とする。それをつなぐセキュリティや法務が第2線として全体を統括するという体制だ。
-
東芝におけるサイバーセキュリティリスク管理体制
組織としての基本方針は、リスクの最小化を目指すサイバーレジリエンスだ。まず監視による早期検知、対処によってインシデント発生時に影響を最小化できるようにしたうえで、平時には脆弱性を早期発見しリスクを未然に摘み取る。そしてインシデント後には早期復旧のために、継続的監視や原因の早期究明を行っている。
こうした体制の中で、特に重視されているのはコミュニケーションだ。四半期ごとに役員や責任者を集めてCISO会議を開き、事故や最新の脅威の情報の共有、是正対策の周知に努めている。
「インシデントの時だけでなく、平時からのコミュニケーションが重要です。官民連携も重要ですが民民連携も不可欠です。顧客である基幹インフラを中心に、そこに関わる複数ベンダーが連携して情報共有することが大事だと思います」(下田氏)
セキュリティ対策はどこまで広げるべきか(従業員・サプライチェーン)
リテラシー教育や訓練は、全従業員を対象として実施している。経営層については、経営陣としての責任とどう向き合うのか、有事の際にどう振る舞うのか、平時に何をチェックすべきかなどを啓蒙するほか、攻撃者から狙われやすいハイリスクなグループであるため、メールやSNSを使った詐欺に対する訓練も行っている。グループ社員については、セキュリティ部門以外であってもセキュリティに対する意識を持つプラスセキュリティ人材の育成を目的とし、望まれる人材像を定義して教育したうえで経験に基づいて資格を認定する制度を設けている。
サプライチェーン全体の管理のために、取引先に対しての啓蒙も行っている。セミナーや勉強会を定期的に開催しているほか、サプライヤーに対してガイドラインを発行してセキュリティ対策とインシデント時の対応をチェックし、サプライヤーの重要度と合わせてリスクを評価。そのうえで高リスクのサプライヤーに対しては改善を要求するなど、サプライチェーン全体のセキュリティ成熟度向上を図っている。
AIリスクにはどう対応すべきか(東芝の実践とアジャイル・ガバナンス)
リスク対応の仕組みとしては、体制構築や施策推進を担うガバナンス、防御や監視、復旧を行うセキュリティオペレーション、それに人材育成の3つを柱とし、PDCAサイクルを回すマネジメントプロセスを構築した。ここで最も重要だと下田氏が強調したのは、経営層への報告を欠かさないことだ。そのため、インシデントについて今何が起きているかを月次で報告するほか、半年ごとに監視状況や課題とその対策について報告している。適切な経営判断を行えるようにするため、事実を隠さず影響度や深刻度を忖度なしで報告し、原因の究明からアクションまで記載したうえで、是正などの要望を出しているという。
これらのほか、サイバーセキュリティセンターではAIのリスクマネジメントも推進しており、AIリスクアセスメントという取り組みを実施している。AIシステム開発者は調査票によりインシデントの影響度や発生可能性を測る設問に回答し、それを基にリスクの度合いを評価してアドバイスをフィードバック。開発者はそれを受けてリスクに対応するというサイクルを繰り返すことで、AIの潜在的なリスクを軽減するのが狙いだ。さらに有識者会議などで専門家の意見も取り入れてAIのリスクヘッジを行っている。
セキュリティは必要だが、過度なセキュリティ意識は事業や開発の足かせになることもある。そこで同社では、アジャイル・ガバナンスを採用すべく実証実験を実施している。リスクはある程度許容するが、全ての情報をハイジーン・ダッシュボードによりデジタルで監視したうえで、危険がありそうな場合だけブロックする。何か見つかれば是正し、必要に応じてルールに反映するという方法で、リスク管理とイノベーションの両立を目指している。
「セキュリティには幅広い領域があります。将来的にはセキュリティ部門が中心となり、デジタルリスク全体の統括ガバナンスを進めていけるようになればよいと考えています」(下田氏)
企業はランサムウェアにどう対応する?LINEヤフーの実戦訓練から見えた現実
