さまざまな情報リスクに対し、実効性のある管理体制を整えています。

マネジメント・アプローチ

情報セキュリティ方針の策定

積水化学グループ全社でサイバーセキュリティ対策への取り組みを強化するため、グループ全社の情報セキュリティ方針を策定し、社内外に公表しています。

詳細は積水化学グループ「情報セキュリティ方針」を参照

執行役員を統括責任者とする情報管理体制

積水化学社長が委員長を務める「サステナビリティ委員会」の下に、サイバーセキュリティ対応体制として、CSIRT※1を設置しています。
情報セキュリティにおける方針決定機関をサイバーセキュリティ分科会とし、本分科会はCISO(最高情報セキュリティ責任者)が委員長を務め、全社のサイバーセキュリティ対策や重大なセキュリティインシデントについて協議します。分科会での決定に基づいた施策推進をサイバーセキュリティ推進部会で担い、実働部隊としてサイバーセキュリティセンターを配置しています。
サイバーセキュリティセンターでは、SOC※2と連携し、ネットワークやデバイスを24時間365日体制でセキュリティ監視し、インシデントの早期発見・早期復旧に努めています。各現場事業所には1名以上の情報システム管理者を配置し、グループを包括する情報管理体制を構築しています。組織変更や情報システム管理者に異動があった場合でも、名簿管理システムによって、各事業所の情報システム管理者の有無を常に把握しています。今後は国内での運用を高度化させるとともに、海外のグループ会社においてもCSIRTの構築を進めていきます。

  • CSIRT(シーサート)は「Computer Security Incident Response Team」の略。
    企業等の組織内でコンピュータセキュリティインシデントに関する報告の受け取り・調査・対応活動等を担う専門チームの総称。
  • SOC(ソック)は「Security Operation Center」の略。情報システムへの脅威の監視や分析のための専門組織。
    いち早く脅威を検知し、CSIRT の対応・復旧活動を支援する役割を担う。
  • 9-057

管理体制の全体像

システムと人の両面から行う情報漏洩とリスクへの対策

個人情報を含むお客様の情報および機密を含む社内情報の安全を確保するため、システムと人的対策の両面から対策を講じています。外部からの脅威に対しては、SOCが中心となり新たに感染が報告されたウイルスや標的型メールなどの新しい脅威を常に把握して、積水化学CSIRTにおいて適切な対策を迅速に実施しています。また、e-ラーニングによる従業員の教育や監査を行うことで、情報漏洩の未然防止を図っています。
CSIRTの運営として、定期的にサイバーセキュリティ分科会/推進部会を開催し、分科会ではリスク対策の評価、推進部会では リスク対策の活動内容を報告しています。

主なシステム対策

  • 重要な情報はデータセンターのサーバに保管し、データセンターは要塞化
  • 外部のネットワークと社内のイントラネットおよび制御系ネットワークをファイヤーウォールで完全に分離
  • すべてのサーバとPCには次世代のウイルス対策を導入
  • 上記3点をSOCで24時間365日モニタリング
  • メールフィルタ、Webフィルタを導入し、従業員のメール、インターネットの安全な利用を確保

主な人的対策

  • 重要度別情報管理の徹底
  • 退職者、採用者向け守秘義務徹底
  • 全従業員への定期的なe-ラーニングの実施
    重要な技術開発業務従事者へは別途e-ラーニングを追加実施

システム分散化等による自然災害リスクへの対策

自然災害により、基幹システムがダメージを負った場合でも業務が継続できるよう、耐震・免震等の各種自然災害への対策が施されたデータセンターと契約しています。
さらに、データセンターを複数ヶ所に分散設置することで、万が一特定のデータセンターが使用不能になっても業務が滞ることのない体制を構築しています。また、重要業務システムの完全二重化により、業務の完全復旧までのリードタイム短縮を図っています。

個人情報の保護

お客様の個人情報については、積水化学Webサイト上で公表している「個人情報保護方針」に基づき、取り扱っています。個人情報に関する法令や規範を遵守するとともに、自主的なルール・体制を構築し、適切な保護に努めています。
また、個人情報を扱う「WEBサーバの構築と管理に関するガイドライン」を設け、各社・各部所にて管理されているサーバの保護にも努めています。