バックオフィスのデジタル化
當(dāng)社グループは「情報(bào)セキュリティリスク」が引き起こす被害の深刻性を認(rèn)識(shí)するとともに、最優(yōu)先に防止すべきリスクと捉え、「サイバーセキュリティ経営ガイドライン(経済産業(yè)省)」に基づき、経営層?現(xiàn)場(chǎng)?デジタル戦略部が三位一體となって情報(bào)セキュリティ対策に取り組んでいます。(図1)
図1:ITリスクの認(rèn)識(shí)と対策
昨今の社會(huì)環(huán)境において、當(dāng)社グループ會(huì)社も含めて企業(yè)內(nèi)の情報(bào)をいかに統(tǒng)制するかは、重要な経営課題のひとつとなっています。2021年度、2022年度には既存の「情報(bào)セキュリティ宣言」(基本方針)を大幅に改定し、併せて「リスクマネジメント規(guī)程」、「情報(bào)管理規(guī)程」、「情報(bào)取り扱いマニュアル」、「グループ情報(bào)管理基本規(guī)程」などの関連規(guī)程も制定?改定を行い、情報(bào)セキュリティ基準(zhǔn)に沿った具體的施策(IT統(tǒng)制規(guī)程類の運(yùn)用、入口?出口対策、情報(bào)保護(hù)対策など)を?qū)g施しています。
具體的には、従來(lái)より実施しているIT資産管理、エンドポイントの防御?監(jiān)視?対応の強(qiáng)化、クラウド利用のセキュリティ対策、従業(yè)員のITリテラシー向上策(eラーニング、標(biāo)的型攻撃メール訓(xùn)練の定期実施等)、內(nèi)部不正対策などの施策を継続して行っており、「第7次IT中期計(jì)畫」(2022~2026年度)では海外を含むグループ會(huì)社へ適用範(fàn)囲を拡張して施策を?qū)g施しています。2022年度には、IT利用のルールを「情報(bào)システム利用規(guī)定」に統(tǒng)合し、2023年度には「グループITセキュリティ基準(zhǔn)」を制定しグループ全體で対策レベルの底上げを?qū)g施しております。また、セキュリティ対策要員のスキル向上のための継続的な専門教育にも取り組んでいます。(図2)
図2:情報(bào)セキュリティ基本方針と具體的施策
情報(bào)システム部門を中心にCSIRT(*3)/SOC(*4)を稼働しています。2022年度に國(guó)內(nèi)グループ會(huì)社を?qū)澫螭藰?gòu)築した24時(shí)間365日のセキュリティ監(jiān)視體制は、現(xiàn)在対象範(fàn)囲を海外グループ會(huì)社まで拡げております。また、グループ會(huì)社のメディアテックおよびパートナー企業(yè)と共に情報(bào)セキュリティ支援體制を整え、各グループ會(huì)社のIT擔(dān)當(dāng)者とのコミュニケーションを通じてセキュリティトピックの提供やセキュリティレベルの実態(tài)把握、問(wèn)題解決の指導(dǎo)なども行っています。
さらに、當(dāng)社グループ共通のインフラと経営基盤を整備しており、業(yè)務(wù)プロセスの共通化や情報(bào)資産の適切な利活用を推進(jìn)しています。以上の取り組みにより、當(dāng)社グループ全體のITリスクを極小化し、ガバナンスの向上を図ります。(図3)
(*3)CSIRT(Computer Security Incident Response Team):サイバーセキュリティ関連のインシデントが起こった場(chǎng)合に対応する専門組織
(*4)SOC(Security Operation Center):情報(bào)システムへの脅威の監(jiān)視や分析などを行う役割や専門組織
図3:情報(bào)セキュリティ維持活動(dòng)
當(dāng)社グループのDXを支える情報(bào)セキュリティ體制
安全?安心なDXを推進(jìn)するためには、確固とした情報(bào)セキュリティ體制が必須であると考えています。グローバルで當(dāng)社グループ全體のセキュリティ強(qiáng)化を進(jìn)め、DXに合わせた対策を常に先手を打って実施していきます。
経営戦略本部デジタル戦略部基盤系管理室セキュリティグループ グループ長(zhǎng) 岡辺 崇志
関連ページ
