セキュリティの転換期と東芝の対応

東芝の下田氏は、生成AIの事業展開と国内外の法制度変化でセキュリティが転換期にあると述べました。SBOMや認証制度、官民・民民連携、AIリスク評価など同社が実践する管理体制を紹介しています。

東芝のサイバーセキュリティセンターの下田秀一氏は、生成AIの活用が進む一方で政策や法制が大きく変わっており、企業のセキュリティ対応は転換期にあると述べています。3月に開かれたフォーラムで同社のセキュリティマネジメントを説明し、国内のJC-STARなどの認証制度や欧州のEU CRAなど法制度の動向が企業に影響を与えていることを指摘しました。下田氏は平時からの官民・顧客との連携や脆弱性対応、製品ライフサイクル管理の重要性を強調しています。さらにAIのリスクマネジメントやアジャイル・ガバナンスの実証も進めていると説明しました。 報告されている点： ・平時からインフラ事業者や監督官庁とコミュニケーションを取り、有事の体制を整備することの重要性を指摘しています。 ・脆弱性対応ではSBOMなどにより迅速に影響範囲を把握し、製品の納入から廃棄までのライフサイクル管理や認証・ラベリングの取得を進めているとしています。 ・攻撃に利用される踏み台サーバの無害化にも注意を促し、万一自社サーバが悪用された場合は自社サービスの停止を命じられる可能性もあると述べています。 ・東芝はCSIRTやPSIRT、CISOをそろえたサイバーセキュリティセンターをガバナンス組織とする三線防御の体制を採用しています。 ・AIリスクアセスメントや有識者の意見取り入れ、アジャイル・ガバナンスによる監視と必要時のブロックで、セキュリティと開発の両立を図っているとしています。 まとめ： 法制度の変化と生成AIの普及に伴い、企業のセキュリティ運用やガバナンスの在り方が問われています。東芝は官民連携やライフサイクル管理、三線の防御体制、AIリスク評価などを通じてレジリエンス向上を目指していると説明しています。今後の具体的な対応方針や制度運用の詳細については現時点では未定です。