東芝グループは、2023年度のサイバーセキュリティに対する取り組みをまとめた「東芝グループ サイバーセキュリティ報告書2024」を発行した。
同グループでは、グループ内のセキュリティ管理に加え、サプライチェーンを含めた情報/製品/制御/データセキュリティをトータルで実現するために、「サイバーレジリエンス」の考え方を取り入れた戦略を強化しているという。
同報告書では、サイバーレジリエンスを強化するための施策の例として、「アタックサーフェスの管理と脆弱性対応」や、経営幹部のセキュリティ・アウェアネスの向上を目的として昨年度実施した「経営層向けメール訓練」の取り組みについて説明しているという。
「アタックサーフェス」は、サイバー攻撃の対象となりうるIT資産や攻撃経路を指す。近年、テレワークの浸透など働き方の変化によってIT環境が拡大しており、アタックサーフェスも拡大を続けているという。それにともない、リモートアクセス機器の管理不備によるサイバー攻撃など、アタックサーフェス経由の攻撃も増加しており、アタックサーフェスの管理と脆弱性対応の重要性が増していると述べている。
同グループでは、サイバー攻撃のリスクを3段階に分類し、脆弱性の詳細調査・および対策実施内容をわかりやすく現場の担当者に提示することで、リスクベースでの脆弱性対応を行っているとのことだ。日々高度化するサイバー攻撃から自組織を守るため、アタックサーフェス情報を脆弱性対応・リスク低減に活用しているという。
「経営層向けメール訓練」は、特定の人物になりすまし、返信してきた相手と連絡を繰り返すことで信用させ、金銭や情報の窃取に誘導することを目的とするビジネスメール詐欺(BEC)が近年増加していることを踏まえ、実施しているという。同グループでも、文面の巧妙化によりメールフィルタをすり抜けるなりすましメールが散見されているそうだ。幹部がこのようなビジネルメール詐欺にあうと大きな被害が生じるリスクがあるため、同グループでは2023年度に、国内外の経営幹部215名を対象にCEOになりすましたメール訓練を実施したとのことだ。
【関連記事】
・キンドリルとRubrik、協業で顧客のサイバーレジリエンスを強化する新サービスをローンチ
・東芝テック、生成AIの「トランスフォーマー」活用したリテールプロモーション最適化AIソリューション開発
・クラウドストライク、AIネイティブな新しいデータセキュリティソリューション提供開始
