情報(bào)セキュリティ対策の強(qiáng)化

ITリスクの認(rèn)識(shí)と対策

當(dāng)社グループは、6つのITリスクを認(rèn)識(shí)しています。（図1）そのなかでも特に「情報(bào)セキュリティリスク」について、このリスクが引き起こす被害の深刻性を認(rèn)識(shí)するとともに、最優(yōu)先に防止すべきリスクと捉え、経営層?現(xiàn)場?情報(bào)システム部門が三位一體となって情報(bào)セキュリティ対策に取り組んでいます。

（*1）QCD（Quality, Cost, Delivery）：品質(zhì)、費(fèi)用、納期
（*2）CCPM（Critical Chain Project Management）：制約條件の理論に基づき全體最適化の観點(diǎn)から開発されたプロジェクト管理手法

対策狀況

昨今の社會(huì)環(huán)境において、當(dāng)社グループ會(huì)社も含めて企業(yè)內(nèi)の情報(bào)をいかに統(tǒng)制するかは、重要な経営課題のひとつとなっています。2021年度、2022年度には既存の「情報(bào)セキュリティ宣言」（基本方針）を大幅に改定し、併せて「リスクマネジメント規(guī)程」、「情報(bào)管理規(guī)程」、「情報(bào)取り扱いマニュアル」、「グループ情報(bào)管理基本規(guī)程」などの関連規(guī)程も制定?改定を行い、情報(bào)セキュリティ基準(zhǔn)に沿った具體的施策（IT統(tǒng)制規(guī)程類の運(yùn)用、入口?出口対策、情報(bào)保護(hù)対策など）を?qū)g施しています。

具體的には「第6次IT中期計(jì)畫」（2019～2021年度）にて強(qiáng)化した內(nèi)部不正対策、IT資産管理、エンドポイント（接続された端末）の監(jiān)視?対応（EDR（*3））、クラウド利用のセキュリティ対策、従業(yè)員のITリテラシー向上策（eラーニングコンテンツの拡充、標(biāo)的型メール訓(xùn)練の定期実施等）などの施策を継続して行っており、「第7次IT中期計(jì)畫」（2022～2026年度）ではグループ會(huì)社への適用範(fàn)囲を拡張して施策を?qū)g施しています。2022年度には、IT利用のルールの見直しを?qū)g施し「情報(bào)システム利用規(guī)定」に統(tǒng)合されています。また、セキュリティ対策要員のスキル向上のための継続的な専門教育にも取り組んでいます。（図2）

（*3）EDR（Endpoint Detection and Response）：エンドポイントにおいて脅威を継続的に監(jiān)視して対応する技術(shù)

グループITセキュリティ向上

情報(bào)システム部門を中心にCSIRT（*4）／SOC（*5）を稼働しています。2022年度には國內(nèi)主要グループ會(huì)社を?qū)澫螭?4時(shí)間365日のセキュリティ監(jiān)視體制を構(gòu)築しました。また、グループ會(huì)社のメディアテックおよびパートナー企業(yè)と共に情報(bào)セキュリティ支援體制を整え、各グループ會(huì)社のIT擔(dān)當(dāng)者とのコミュニケーションを通じてセキュリティトピックの提供やセキュリティレベルの実態(tài)把握、問題解決の指導(dǎo)なども行っています。

さらに、當(dāng)社グループ共通のインフラと経営基盤を整備しており、業(yè)務(wù)プロセスの共通化や情報(bào)資産の適切な利活用を推進(jìn)しています。以上の取り組みにより、當(dāng)社グループ全體のITリスクを極小化し、ガバナンスの向上を図ります。（図3）

（*4）CSIRT（Computer Security Incident Response Team）：サイバーセキュリティ関連のインシデントが起こった場合に対応する専門組織

• 専門組織による早期の問題解決
• サイバー攻撃による被害の範(fàn)囲や深刻度の判斷
• セキュリティトピックの提供

（*5）SOC（Security Operation Center）：情報(bào)システムへの脅威の監(jiān)視や分析などを行う役割や専門組織

• 社內(nèi)IT機(jī)器のログ情報(bào)の24時(shí)間監(jiān)視
• ログ分析に基づく攻撃の有無の判斷
• ウイルス解析