SUBARUグループが事業活動を行ううえで、デジタルデータの活用は必要不可欠であり、その活用領域も従来の情報システムのみならず、設備、商品、提供する各種サービスなど多岐にわたっています。これら領域でのデジタルデータを安全に取り扱うことは社会的責任であると認識し、SUBARUグループ全体でサイバーセキュリティの確保に取り組んでいます。また、デジタルデータの活用における昨今の状況も踏まえて、2024年7月にサイバーセキュリティ基本方針を改定しました。

SUBARUグループを取り巻くサイバーセキュリティの範囲

SUBARUでは、サイバーセキュリティの維持および改善に取り組むグループ全体の組織体制として、取締役会で選任されたCIO（最高情報責任者）を設置するとともに、CIOを総括責任者とするサイバーセキュリティ会議を組織しています。サイバーセキュリティ会議では、各部会において検討されたサイバーセキュリティ活動を審議し、SUBARUグループにおけるサイバーセキュリティ関連事案への対応、サイバーセキュリティ監査計画の立案や規則・方針見直しなどを決定しています。また、SUBARU Security Incident Response Team（SBR-SIRT）では、平時はSUBARUグループの保護対象に対する脅威を監視し、有事の際はSUBARUの保護対象を迅速かつ適切に保護・復旧するための活動を実施しています。この活動では、インシデントの検知・通報・復旧・再発防止を含む一連の対応フローが整備されており、重大事案については経営層への報告や外部関係機関との連携も行います。

目標と指標

SUBARUグループでは、最適ガバナンスの土台はサイバーセキュリティであるという考えのもと、すべてのステークホルダーを守るために以下の活動を推進しています。

① SUBARUポリシー・ルールのサプライチェーンへの拡大

② 価値づくりを支えるためのサイバーレジリエンスの継続的強化

③ モノづくり改革を支えるための工場セキュリティ強化

④ 車両開発にともなう車両サイバーセキュリティ強化と各国法規対応

サイバーセキュリティ対応

各種研修および訓練の実施

2024年度は、「In-Car（車内システム）」「Out-Car（車外システム）」「情報システム」の3領域を網羅したサイバーセキュリティマネジメントシステムに基づき、3領域ともにEラーニングや動画による研修および訓練を実施しました。特に「情報システム」の領域では、標的型攻撃メール訓練を毎年1回以上継続的に実施しています。
また、同じく「情報システム」の領域では、経営層を含めたサイバーセキュリティのインシデント対応訓練を実施しました。サイバーセキュリティに関する訓練は今後も年1回以上の実施を予定しています。

内部監査の実施およびお取引先様におけるセキュリティ強化

マネジメントシステムに基づく内部監査についても、定常活動として継続的に実施しています。
2021年度より開始した、海外グループ会社との連携体制強化においては定期的な情報共有や、サイバーセキュリティ全社規則に基づくアセスメントに対する改善活動を実施しました。
昨今、サプライチェーンレベルのサイバーセキュリティはSUBARUの事業継続に大きな影響を及ぼすことから、年1回、お取引先様にセキュリティの対策状況をヒアリングし、必要な場合にはセキュリティ強化のためのアドバイスをする活動を実施しています。