情報セキュリティ

さまざまな情報リスクに対し、実効性のある管理体制を整えています

マネジメント・アプローチ

情報セキュリティ方針の策定

積水化学グループ全社でサイバーセキュリティ対策への取り組みを強化するため、理念としてグループ全社の情報セキュリティ方針を策定し、社内外に公表しました。

理念

積水化学グループは、お客様の個人情報や取引先からお預かりした情報、当社グループが保有する企業秘密、およびそれらを管理するシステム等の情報資産について、益々重要な経営資源の一つ、競争力の源泉であると認識しています。
それら情報資産を脅かすサイバー攻撃への備えを経営の重要な責務ととらえ、基本方針に定める情報セキュリティ対策に継続的に取り組み、安定した経営基盤の確保に努めます。

情報管理体制CSIRTを設置し、事業所には情報システム管理者を配置した体制を構築

社長が委員長を務める「サステナビリティ委員会」を頂点とし、サイバーセキュリティにおける方針決定機関として、サイバーセキュリティ分科会を設置しています。本分科会はCISO(最高情報セキュリティ責任者)が委員長を務め、全社のサイバーセキュリティ対策や重大なセキュリティインシデントについて協議、方針決定します。分科会での決定に基づいた施策推進のため、サイバーセキュリティ推進部会も設置し、実働部隊として下部組織にCSIRT(サイバーセキュリティ対応体制)を設置しています。
各現場事業所には1名以上の情報システム管理者を配置し、グループを包括する情報管理体制を構築しています。組織変更や情報システム管理者に異動があった場合でも、名簿管理システムによって、各事業所の情報システム管理者の有無を常に把握しています。

  • CSIRT( シーサート)は「Computer Security Incident Response Team」の略。企業等の組織内でコンピュータセキュリティインシデントに関する報告の受け取り・調査・対応活動等を担う専門チームの総称。
  • 8-006

情報セキュリティ体制図

情報漏えいリスクへの対策システムと人の両面から万全の対策を実施

個人情報を含むお客様の情報および機密を含む社内情報の安全を確保するため、システムと人的対策の両面から万全の対策を講じています。外部からの脅威に対しては、SOC※が中心となり、新たに感染が報告されたウイルスや標的型メールなどの新しい脅威を常に把握して、積水化学CSIRTにおいて適切な対策を迅速に実施しています。また、e-ラーニングによる従業員の教育や監査を行うことで未然防止を図っています。
CSIRTの運営として、定期的にサイバーセキュリティ推進部会を開催して、リスク対策の評価を行うとともに、情報セキュリティに関する活動報告を毎会実施しています。

  • SOC(ソック)は「Security Operation Center」の略。情報システムへの脅威の監視や分析のための専門組織です。いち早く脅威を検知し、CSIRTの対応・復旧活動を支援する役割を担います。

主なシステム(ハード)対策

  • 外部のネットワークと社内のイントラネットおよび制御系ネットワークをファイヤーウォールで完全に分離
  • SOCによる情報の監視と記録
  • すべてのサーバとPCには次世代のウイルス対策およびログの収集・分析を実施
  • 複数メールフィルタによるBEC(Business Email Compromise ビジネスメール詐欺)対策強化と私物デバイスの業務
    (※緊急事態を除く)利用禁止

主な人的(ソフト)対策

  • 国内外の事業所に対し、適宜セキュリティ監査を実施
  • 国内主要事業所の入退室ID認証およびログイン時の第二認証(イメージ認証等)の採用
  • 定期的なe-ラーニングの実施(合格しないとインターネットへの接続不可→国内のみ)

自然災害リスクへの対策耐震・免震等の災害対策とシステムの分散化・二重化も実施

大地震等で基幹システムがダメージを負った場合でも業務が継続できるよう、契約しているデータセンターに耐震・免震等の災害対策が施されていることを確認しています。さらに、データセンターを複数か所に分散設置することで、万が一特定のデータセンターが使用不能になっても業務が滞ることがない体制を構築しています。また、重要業務システムの完全二重化により、業務の完全復旧までのリードタイム短縮を図っています。

個人情報の保護

お客様の個人情報について「個人情報保護方針」を策定して当社のWebサイト上で公表しています。この方針に基づいて個人情報に関する法令や規範を遵守するとともに、自主的なルール・体制を構築して適切な保護に努めています。
また、個人情報を扱う「WEBサーバの構築と管理に関するガイドライン」を設け、各社・各部所にて管理されているサーバの保護にも努めています。

執行役員を統括責任者としたCSIRTの構築

情報システムグループを管掌する執行役員を統括責任者としたCSIRTを構築しました。
CSIRT の設置により、ステークホルダーに対するサイバーセキュリティ対策の説明責任を果たすとともに、経済産業省が定めた「サイバーセキュリティ経営ガイドライン Ver.2」に沿ったサイバーセキュリティ対策を推進することを明確化しました。
今後は国内での運用を定着させるとともに、海外のグループ会社においてもCSIRTの構築を進めてまいります。

  • CSIRT( シーサート)は「Computer Security Incident Response Team」の略。企業等の組織内でコンピュータセキュリティインシデントに関する報告の受け取り・調査・対応活動等を担う専門チームの総称。