情報セキュリティ

インサイダー情報管理を含む情報セキュリティ体制・システムの継続強化

当社事業が社会的なインフラとしての側面を持つことを認識し、お客様の開示前のインサイダー情報を含む機密情報を守り、安全に取り扱うため、情報セキュリティ方針を定め、体制・システムを強化しています。情報を安全に送受信・処理・保管するための、通信インフラ・ハードウェア・ソフトウェアの高度化、マネジメントの向上に継続的に取り組んでいます。

インサイダー情報管理においては、業務エリアの隔離、ファイルサーバーの分離に加え、ID管理によるアクセス限定とアクセス記録の解析・監査を定期的に実施していますが、さらに社内基幹システム開発と運用を通じてもこれを向上させています。例えば、従来の生産管理システムを統合し、受注から配送までの工程の一元管理を可能としたシステム「GENE-S.I.S.」は、業務効率化、情報の共有や可視化によるミス・トラブル防止等に役立っていますが、同時に重要情報・機密情報をひとつのシステム内で完結することで、不要な人の介在や情報の露出を防ぐ「隠ぺい化」につながり、インサイダー情報管理にも大きな役割を果たしています。

一方、外部からのサイバー攻撃の脅威に対応した取り組みとしては、2015年に経済産業省が公表した「サイバーセキュリティ経営ガイドライン」に経営者のリーダーシップのもと対応し、「サイバーセキュリティ経営チェックシート」の全要件を速やかに実施すべく活動しています。またCISOによる脅威分析、報告を受け、経営レベルで脅威への対応方針とリスクマネジメントの妥当性を評価しています。

  • CISO:(Chief Information Security Officer)  最高情報セキュリティ責任者
当社におけるセキュリティ対策の概念図
セキュリティ施策 ・多層防御(入口対策,内部検知,出口対策) ・ISMSを核としたルール ・CSIRT※1組織による運用 ・セキュリティ教育 等/インサイダー情報管理 ・執務エリアの隔離 ・ネットワークの分離 ・アプリケーション内の制御 ・個人単位の厳密な権限設定と監査 ・インサイダー情報教育 等
インサイダー・情報セキュリティ委員会
インサイダー・情報セキュリティ委員会/委員長(社長)、監査室の下に個人情報保護管理者、ISMS管理責任者、事務局の下にCSIRT SOC※2と委員とまた、ISOワーキングメンバー ※2 SOC:Security Operation Center

サイバーセキュリティに対応したグループとしてのCSIRT運用

多様化するインシデントを理解し、能動的なセキュリティ対策を実施するため、当社と株式会社アスプコミュニケーションズ共通の組織としてCSIRTを構築し、グループ全体のセキュリティ強度を高めています。

CSIRTの主な役割:

  • コンピュータセキュリティに係る事象発生の検知
  • セキュリティインシデントの対処と管理
  • 感染コンピュータの原因究明と分析
  • セキュリティ関連情報の把握と展開 等
  • CSIRT:(Computer Security Incident Response Team)  (シーサート) コンピュータやネットワーク上で問題が起きていないか監視し、問題が発生した場合にその原因解析や影響範囲の調査を行う組織の総称

外部環境変化に対応した社員への情報セキュリティ教育の徹底

外部からの標的型攻撃、ランサムウェア、DDoS攻撃等、高まる脅威に対応し、全社員向けにメール訓練を定期的に実施しています。不審メールに「気づき」、「報告する」というアクションを徹底させ、危険を素早く察知して攻撃を未然に防ぐことを目的としています。

あわせて、年2回のe-ラーニングによる情報セキュリティ教育や法務・コンプライアンス室主催によるセキュリティ研修も定期開催しています。

また、システム開発段階から、セキュリティを担保したシステム開発を行うため「セキュリティガイドライン」を作成し、そのルールを遵守した設計・開発をCSIRTの運用の一環として推進しています。