重要課題・ガバナンス

情報セキュリティ

考え方・方針

当社グループでは、グループ全体での情報セキュリティマネジメントを推進するため、「情報セキュリティ規程」「情報セキュリティ全社規準」からなるセキュリティポリシーを定め、実行しています。

2024年度情報セキュリティ方針「変化する情報セキュリティ脅威への対応強化」

  • 国内外で多数の被害が発生しているランサムウェアへの対策を強化します。
  • システムを見直しセキュリティ強化に取り組みます。

推進体制

情報セキュリティに関する全社的戦略、基本方針の審議ならびに情報セキュリティに関する全社的施策は情報セキュリティ委員会で定期的に審議されます。情報セキュリティ委員会の構成は、委員長を情報システム部所管執行役員、副委員長を情報システム部長、委員として事業本部長、技術本部長、工務本部長、本社部室長、事務局を情報システム部としています。
情報セキュリティレベルの向上に向けた施策は情報システム部が主体となり、機構単位(工場、事業所、支店等)の長が担う情報セキュリティ推進責任者、各拠点の情報セキュリティ担当者の協力のもと、具体的に推進されます。また、施策を円滑に推進、フォローしていくため、情報システム部が事務局となった情報セキュリティ担当者会議を定期的に開催しています。
施策の実施状況は、情報セキュリティ委員会にフィードバックされ、必要に応じてアクションが取られます。

■ 推進体制図
図:推進体制図

情報セキュリティリスクへの対応

高度化するサイバーセキュリティ攻撃から社内の情報資産の安全を確保するため、システムと人的対策の両面から対策を講じています。
外部からのサイバー攻撃等の脅威に対しては、外部委託したSOC※1を中心として、新たに検出されたマルウェアや標的型メールなどを24時間/365日監視しています。異常を検知した場合は速やかに情報システム部が連絡を受けSMM-CSIRT※2とともに適切な対応を迅速に実施できる体制としています。
また、eラーニングや標的型メール訓練等による従業員の教育や訓練を行うことで、サイバー攻撃被害の未然防止を図っています。

図:推進体制図
  • ※1Security Operation Center(SOC):セキュリティ機器からの情報を監視・分析し、その対策を講じることなどを専門とする組織
  • ※2Computer Security Incident Response Team(CSIRT):コンピュータセキュリティに関する問題が発生した場合に、その原因解析や影響範囲の調査、対応等を実施する組織の総称

主なシステム対策

  • 重要な情報は災害対策に優れた外部のデータセンターのサーバに保管し、データセンターは特別なセキュリティシステムで防御しています。
  • 社内ネットワークと外部ネットワークをファイヤーウォールで分離し、外部(インターネット)からのサイバー攻撃を防御しています。
  • 在宅勤務等のリモート接続には、セキュリティレベルの高いクラウドセキュリティゲートウェイを利用し、第三者による接続・不正侵入ができない環境としています。
  • すべてのサーバとPCにはウィルス対策ソフトに加えEDRソフトを導入しています。EDRソフトのログは24時間/365日外部SOCにより監視され、マルウェア感染を速やかに検出し対応できる体制としています。
  • メールフィルタ、Webフィルタを導入し、従業員のメール、インターネットの安全な利用を確保しています。
  • 上記対策システムのうち重要なものは24時間/365日稼働の外部SOCに監視を委託し、異常を速やかに検出し対応できる体制としています。

Endpoint Detection and Response(EDR):エンドポイント検出対応

主な人的対策

  • 日々変化していくサイバー攻撃手法に対する理解を深めセキュリティ意識を高めることを目的として、海外拠点スタッフも含めて、グローバルな言語対応のサイバーセキュリティ分野に特化したeラーニングサービスを利用した情報セキュリティ教育を毎年実施しています。
  • マルウェア感染のきっかけとなりやすい標的型攻撃に対しては、実際に攻撃メールを装った疑似メールを利用者に送付し、受信体験を通じてセキュリティ感度を高める「標的型攻撃メール訓練」を実施しています。

主な情報漏洩対策

個人情報を含むお客様の情報および社内の機密情報の安全を確保するため、上記に加え以下の対策により電子データを保護しています。

  • USBメモリの利用を原則禁止し、利用が必要な場合は届出とともにシステム的な制御のもとで利用できる環境としています。
  • 外部に持ち出す可能性のあるモバイルPC等は、ディスクを暗号化し万が一盗難・紛失という事態となった場合でも、第三者がデータを閲覧できないようにしています。
  • 社内データの保存には専用のファイルサーバと外部のクラウドストレージサービスを利用し、そのアクセス権を厳密に管理しています。
  • 通信経路のログを監視し、不正な通信を速やかに検出し対応できる仕組みとしています。
  • メールフィルタリングシステムをすり抜けてくる不審メールの情報を利用者と共有し、不審メールからのマルウェア感染を未然に防止する仕組みとしています。

上記の結果を分析し、各部門および経営層にフィードバックするとともに、次の計画に反映しています。

セキュリティインシデントへの対応

セキュリティ対策を講じたにもかかわらず、万が一重大なセキュリティインシデントが発生した場合、迅速に対応し被害拡大を防ぐことを目的として、情報システム部と利用部門代表者からなるSMM-CSIRTを設けています。
インシデント発生時の主要な対応プロセスを文書化しており、情報システム部と利用部門が連携して対応することで、インシデントを早期に終息させるとともに外部対応を並行して実施できる体制としています。
SMM-CSIRTは、日本シーサート協議会(NCA)に加盟し外部との連携を図るとともにNCA主催のインシデント対応訓練に毎年参加し対応能力を高めています。

図:セキュリティインシデントへの対応

対策の実績と計画

2023年度は、以下の施策を行いました。

  • ウイルス対策ソフトを未知のマルウェアに対する検知力が高い深層学習型のソフトへ切り替え。
  • ゼロトラストネットワークの実現に向けたグローバルに対応する認証基盤を導入。

2024年度は、セキュリティ運用を強化すべく以下の施策を計画しています。

  • なりすましメール対策とメール情報漏洩対策を強化。
  • デバイス管理ツールをリプレースし、海外へ管理範囲を拡大。
  • 情報セキュリティ監査を通じた課題の洗い出しと対策を実施。

重要課題・ガバナンスに戻る