特集II サイバー攻撃から、システム・製品を守る
東芝テックのサイバーセキュリティ対策

近年、企業が保有する顧客情報や重要な技術情報などを狙うサイバー攻撃が増加している中、ITおよびセキュリティに対する適時適切な投資判断、および経営に影響を及ぼす重大なセキュリティインシデントが発生した際の迅速な対応が、企業戦略として必要不可欠になっています。
 東芝テックでは、2018年4月にCISO(最高情報セキュリティ責任者)を設置し、サイバーセキュリティ対策を製品面で対応するPSIRT(Product Security Incident Response Team)、情報セキュリティ面で対応するCSIRT(Computer Security Incident Response Team)を設置し、それぞれに各事業部門から専門メンバーを加え、あらゆる面でのセキュリ ティに対応できるサイバーセキュリティ体制を構築しました。

サイバーセキュリティ体制

PSIRT/CSIRTの社内連携体制に応じたインシデント対応を行うとともに、One TTECとしてCISOを中心とした情報連携体制を構築しました。
情報システム、および製品・サービスにおけるサイバーセキュリティリスクに対し、迅速かつ一貫したセキュリティ対策を推進するとともに、CISOの下で、サイバーセキュリティに対するガバナンスを強化しています。

サイバーセキュリティ体制

CISO 執行役員 江口 健からのメッセージ

初代CISOとして、東芝テックグループの製品セキュリティおよび情報セキュリティの強化に取り組んでいます。当社の製品は、ネットワークに接続される機器が多数あり、このセキュリティ強化施策を進めることは、当社のお客様の資産をお守りする上でも非常に重要です。経済産業省も「サイバーセキュリティ経営ガイドライン」を策定するなど、社会的にもセキュリティに対する要求が高まっており、当社もサイバーセキュリティ体制を構築して強化施策を推進しております。今後もより一層のセキュリティ強化を図り、お客様に安心してお使いいただける製品を作り出していきたいと考えております。

当社製品のサイバーセキュリティ対策

デジタル複合機 e -STUDIOシリーズ

デジタル複合機はストレージ機能を持ち、ネットワークから文書データの保管・保存および読み出しや、メール機能により文書の送信もできます。オフィス文書には個人情報やプライバシー情報、企業情報などの機微情報が多々含まれ、それらの情報(情報資産)をサイバー攻撃から保護することが必要となります。このため、デジタル複合機e-STUDIOシリーズは、ユーザ認証/カード認証、アクセス制御、Wipe機能付暗号HDD、ネットワーク通信の暗号化、ファームウエアの完全性保証、セキュアプリント機能、監査ログ機能、誤送信防止等々、数多くのセキュリティ機能を搭載しユーザの情報資産を保護しています。
デジタル複合機e-STUDIOシリーズは、複合機として最高レベルのセキュリティ基準HCD-PP(Hard Copy Device- Protection Profile)に適合したCommon Criteria(CC)認証を取得しました。
CC認証は情報セキュリティのための国際評価規格で、IT製品が備えるべきセキュリティ機能が適正に開発されているかを評価する規格です。また、HCD-PPは難易度の高いFIPS140-2と同等レベル暗号モジュールに使用を要求しています。HCD-PPに適合したCC認証を取得したことにより、強固なセキュリティ性を持つデジタル複合機として第三者機関から認められ、今後一層の普及が期待されます。

デジタル複合機 e-STUDIOシリーズ

HCD-PPセキュリティ機能

・利用者の識別認証機能 ・アクセス制御機能 ・暗号化通信機能
・自己テスト機能 ・監査機能 ・アップデート検証機能 ・ストレージ暗号化機能
・FAX回線-ネットワーク分離機能 ・上書き消去及び完全消去機能

決済端末 CT-5100シリーズ

 決済に用いられる方法は多様化しており、その代表的なものがICカードによるクレジットカード決済です。クレジットカード決済ではクレジットカード番号、個人情報等のセンシティブな情報が扱われており、サイバー攻撃によりこれらの情報が漏えいし悪用されるとクレジットカード利用者に多大な損害が発生する可能性 があるため、日本政府は、クレジットカード決済を国民生活に重大な影響を与える重要インフラ14分野の1つとして指定しています。
 開発・製造を行うメーカーは、それぞれ独自のセキュリティ基準の決済端末を製造・販売していましたが、2006年には5つの国際ペイメントブランドによってPCIセキュリティ基準審議会(PCI SSC: Payment Card Industry Security Standard Council)が設立され、国際セキュリティ基準が制定されました。その規格の1つにPCI PTS(Payment Card Industry PIN Transaction Security)があります。PCIPTSはPIN(暗証番号)入力を行う決済端末に求められる高難易度のセキュリティ認定です。
 決済端末CT-5100シリーズへ接続するPINパッド「PADCT-5100」は、クレジットカード決済を安全に行うためのPCI PTS Ver4.1認定を取得済みです。PCI PTSは決済端末で必要となるソフトウェアやハードウェアのセキュリティ機能や製品管理などの要件が幅広く規定されています。また、本体の「CT-5100」も、AndroidやLinux等のオープンなOSではなくクローズドなOSを採用し、搭載される全てのソフトウェアに認証および暗号機能を搭載していますので、外部からのハッキングに対して強固なセキュリティ性を保持しています。また、外部からの不正なアタックに対する耐タンパー機能も備えていますので、安心して利用できます。

決済端末 C T-5100シリーズ