東芝 サイバーセキュリティセンター ゼネラルマネジャーの下田秀一氏(撮影:榊水麗)
東芝は、エネルギーや交通など社会インフラを支える製品を手掛ける中で、グループ全体と取引先を含めたサプライチェーンセキュリティーの強化を進めている。生成AIを活用した攻撃が増加し、取引先への波及リスクが高まる昨今、企業はどう備え、事業をどう守るべきか。AI時代の防御戦略と運用の鍵を、東芝サイバーセキュリティセンター ゼネラルマネジャー、東芝デジタルソリューションズCISO(最高情報セキュリティー責任者)の下田秀一氏に聞いた。
サプライチェーンのセキュリティーが課題に
――近年、企業を狙うサイバー攻撃にはどのような変化が見られますか。
下田秀一氏(以下、敬称略) ランサムウエア※1を中心に、企業への攻撃は年々増えており、企業は対策に力を入れています。多くの企業がサイバー攻撃を検知し、レスポンスを早めるためのEDR※2を導入し、攻撃の拡大を抑えて封じ込める対応や、攻撃による事業リスクの最小化を進めています。こうした取り組みによって、サイバー攻撃への対策には一定の成果が上がっていると思います。
※1:企業のシステムをマルウエア(悪意のあるプログラム)に感染させ暗号化するなどして操作できなくし、元に戻すのと引き換えに金銭を要求するサイバー攻撃の手口。
※2:マルウエアや不正アクセスなどの脅威を検知し、自動的に対応するセキュリティー製品の総称。
昨今、問題が大きくなっているのが、取引先がサイバー攻撃を受けることで発生する事故の増加です。いわゆるサプライチェーンのセキュリティーリスクが急拡大しており、当社でも、自社への攻撃より、サプライチェーンを狙った攻撃が多い月もあります。私は社外の会議などで他社のCISO(最高情報セキュリティー責任者)の方とお話しする機会が多いのですが、サプライチェーンの脅威は常に話題に上がっています。
企業にとってサプライチェーンセキュリティーの最大のリスクは、「リスクが分かりにくいこと」です。自社への攻撃であれば、どこを攻撃されればどういう影響があるかを把握できます。しかし、取引先の場合、そのシステムに立ち入ることはできず、取引先からの報告をひたすら待たざるを得ません。その間、当社のお客さまに対してどう説明するか、これは非常に難しい課題です。
