あらゆるものがインターネットにつながるIoTの普及により、サイバーセキュリティの在り方も大きく変わってきている。これまでのように製品をセキュアにするだけでなく、サプライチェーン全体でセキュリティ対策を講じなければならない時代に突入したのだ。
東陽テクニカが5月31日、都内にて開催した「産業セキュリティセミナー」では、2年前にサイバーセキュリティセンターを設立し、対策に乗り出した東芝から同センター長の天野隆氏が登壇。国内外のセキュリティ事情や東芝としての取り組みなどについて語った。
“これから”のサイバーセキュリティに必要な「4つの要素」
今やサイバーセキュリティは企業にとって「最も発生可能性が高いリスク」の一つだ。サイバー攻撃は企業を常に脅かしており、グローバルでは専門チームを組織して対策を講じるのが当たり前となっている。
一方で日本企業のサイバーセキュリティについて、天野氏は「欧米に比べてまだまだレベルが低い」と指摘する。それは東芝自身についても当てはまるとのことで、「我々も2年ほど取り組んでいるが、それまで社内にサイバーセキュリティ体制があったわけではない」と振り返った。
大きな動きがあったのは、昨年10月。サイバーセキュリティセンターを設立し、天野氏がセンター長に就任したことだ。同時に執行役員がCISO(Chief Information Security Officer)となり、第1回CISO会議を開催するなど、ようやく本格的な動きが始まった。
グローバルで見ると決して「早いとは言えない」(天野氏)という取り組みのなかで、天野氏が痛感したのは「経営層の理解の重要性」だ。サイバーセキュリティセンターの設立にしても、ボトムアップでは動きが取れず、経営層にサイバーセキュリティの必要性を訴えることで実現したのだという。
これからのサイバーセキュリティについて、天野氏は対応方法を変える必要性を感じている。
必要なのは「設計方法論」「運用・監視」「C/P SIRT」「評価・検証、教育」の4つの要素だ。
これまでに、製品そのものをセキュアにすることについては日本企業もノウハウを蓄積してきた。だが、サイバー攻撃は多様化しており、改めて「設計方法論」を構築しなければならない。
例えば、最近急増しているゼロデイ攻撃については対策が出る前に感染が広がってしまうため「運用・監視」で対策し、インシデントが発見された場合は迅速に対処するといった具合だ。
そのためには、「C/P SIRT」により技術だけでなく組織レベルで運用をサポートすることが必要だという。
また、サイバー攻撃についての対処法を「評価・検証」し、人材育成にも注力する。育成には、「経営層の意識をどう高めていくのか」ということも含まれているという。