當社グループは、経営層?現場?情報システム部門が
三位一體となって情報セキュリティ対策に取り組みます
ITリスクの認識と対策
當社グループは��、6つのITリスクを認識しています��。(図1)そのなかでも特に「情報セキュリティリスク」について、このリスクが引き起こす被害の深刻性を認識するとともに��、最優先に防止すべきリスクと捉え��、経営層?現場?情報システム部門が三位一體となって情報セキュリティ対策に取り組んでいます��。
図1:ITリスクの認識と対策
(*1)QCD(Quality, Cost, Delivery):品質��、費用��、納期
(*2)CCPM(Critical Chain Project Management):制約條件の理論に基づき全體最適化の観點から開発されたプロジェクト管理手法
対策狀況
昨今の社會環境において��、當社グループ會社も含めて企業內の情報をいかに統制するかは��、重要な経営課題の一つとなっています��。當社は��、以下の「情報セキュリティ宣言」(基本方針)のもと、規程などを制定?運用し��、グループ會社にも展開しています。安全に運用するための情報セキュリテ?�;鶞胜搜丐盲烤唧w的施策(IT統制規程類の運用、入口?出口対策��、情報保護対策など)を実施しています。
2019年度には��、情報セキュリティに関する外部専門家の診斷を受け、その結果をもとに「第6次IT中期計畫」(2019年~2021年度)を策定しました��。本計畫に基づき、內部不正対策��、IT資産管理、エンドポイント(接続された端末)の監視?対応(EDR(*3))、クラウド利用に関する相談窓口の設置��、従業員のITリテラシー向上策(eラーニングコンテンツの拡充、標的型メール訓練の定期実施など)を実施しています。(図2)
(*3)EDR(Endpoint Detection and Response):エンドポイントにおいて脅威を継続的に監視して対応する技術
図2:情報セキュリテ?�;痉结槫染唧w的施策
グループITセキュリティ向上
情報システム部門を中心にCSIRT(*4)/SOC(*5)を稼働しています��。グループ會社のメディアテックおよびパートナー企業と共に情報セキュリティ支援體制を整え��、各グループ會社のIT擔當者とのコミュニケーションを通じてセキュリティトピックの提供やセキュリティレベルの実態把握��、問題解決の指導などを行っています��。
2021年度は、東京2020オリンピック?パラリンピック競技大會におけるサイバー攻撃に備えるべく、各グループ會社が社外公開している1000以上のウェブサーバのプラットフォームに対してセキュリティチェックを実施しました。また、EDRによる監視対象を、主要グループ會社で使用している全コンピュータへ拡大し��、脅威に対して即時に対応できる體制を構築しました��。さらに��、當社グループ共通のインフラと経営基盤を整備しており、業務プロセスの共通化や情報資産の適切な利活用を推進しています。以上の取り組みにより��、當社グループ全體のITリスクを極小化し��、ガバナンスの向上を図ります。(図3)
(*4)CSIRT(Computer Security Incident Response Team):サイバーセキュリティ関連のインシデントが起こった場合に対応する専門組織
- 専門組織による早期の問題解決
- サイバー攻撃による被害の範囲や深刻度の判斷
- セキュリティトピックの提供
(*5)SOC(Security Operation Center):情報システムへの脅威の監視や分析などを行う役割や専門組織
- 社內IT機器のログ情報の24時間監視
- ログ分析に基づく攻撃の有無の判斷
- ウイルス解析
図3:情報セキュリティ維持活動とPDCAサイクル
DXを支える情報セキュリティ體制
安全?安心なDXを推進するためには��、確固とした情報セキュリティ體制が必須であると考えています��。今年度は3カ年計畫の最終年として��、CSIRTおよびSOCの拡充、グループ會社のセキュリティ強化を主に実施してきました��。來年度はさらに加速するDXに合わせた対策を、常に先手を打って実施していきたいと思います��。
本社 情報システム部 情報セキュリティ室 室長 岡辺 崇志
