情報管理
持続経営力の向上に影響を及ぼす情報管理に係る重大インシデント発生回避のため、情報システムの機密性・完全性・可用性を担保するためのシステム構築、および運用体制を構築するとともに、e-learning、インシデント対応訓練などを通じて社員の情報セキュリティにおけるリテラシー向上に取り組んでいます。
情報セキュリティ方針
積水化学グループ全社でサイバーセキュリティ対策への取り組みを強化するため、グループ全社の情報セキュリティ方針※を策定し、社内外に公表しています。
詳細は積水化学グループ「情報セキュリティ方針」を参照
現中期経営計画では、重大インシデント発生による企業価値毀損を防ぐことを目的とし、「サイバーセキュリティインシデントゼロ」をKPIに掲げ、情報管理活動を推進してきました。その結果、サイバーセキュリティインシデントはゼロでした。主要実施策の結果は以下の通りです。
主要実施策 | 管理指標 | 現中期最終年度(2022年度) 目標 |
2022年度実績 |
---|---|---|---|
サイバーセキュリティインシデント発生時の迅速対応(国内) | インシデント発生~ 復旧時間 |
BM設定のための モニタリング継続 |
モニタリング継続 |
CSIRTの海外展開 | 海外展開計画の策定・展開 | 詳細計画策定および展開着手 | 北米3社※監視・運用開始 |
- 北米3社:SEKISUI AMERICA CORPORATION,SEKISUI VOLTEK ,SEKISUI DIAGNOSTICS
執行役員を統括責任者とする情報管理体制
積水化学社長が委員長を務める「サステナビリティ委員会」の下に、サイバーセキュリティ対応体制として、CSIRT※1を設置しています。
情報セキュリティにおける方針決定機関をサイバーセキュリティ分科会とし、本分科会はCISO(最高情報セキュリティ責任者)である上脇太代表取締役専務執行役員が委員長を務め、全社のサイバーセキュリティ対策や重大なセキュリティインシデントについて協議します。分科会での決定に基づいた施策推進をサイバーセキュリティ推進部会で担い、実働部隊としてサイバーセキュリティセンターを配置しています。
サイバーセキュリティセンターでは、SOC※2と連携し、ネットワークやデバイスを24時間365日体制でセキュリティ監視し、インシデントの早期発見・早期復旧に努めています。各現場事業所には1名以上の情報システム管理者を配置し、グループを包括する情報管理体制を構築しています。組織変更や情報システム管理者に異動があった場合でも、名簿管理システムによって、各事業所の情報システム管理者の有無を常に把握しています。今後は国内での運用を高度化させるとともに、海外のグループ会社においてもCSIRTの構築を進めていきます。
- CSIRT(シーサート)は「Computer Security Incident Response Team」の略。
企業などの組織内でコンピュータセキュリティインシデントに関する報告の受け取り・調査・対応活動などを担う専門チームの総称。 - SOC(ソック)は「Security Operation Center」の略。情報システムへの脅威の監視や分析のための専門組織。いち早く脅威を検知し、CSIRT の対応・復旧活動を支援する役割を担う。
- 09-57
管理体制の全体像
システムと人の両面から行う情報漏洩とリスクへの対策
個人情報を含むお客様の情報および機密を含む社内情報の安全を確保するため、システムと人的対策の両面から対策を講じています。外部からの脅威に対しては、SOCが中心となり新たに感染が報告されたウイルスや標的型メールなどの新しい脅威を常に把握して、積水化学CSIRTにおいて適切な対策を迅速に実施しています。また、e-ラーニングによる従業員の教育や監査を行うことで、情報漏洩の未然防止を図っています。
CSIRTの運営として、定期的にサイバーセキュリティ分科会/推進部会を開催し、分科会ではリスク対策の評価、推進部会ではリスク対策の活動内容を報告しています。その他、分科会委員向けに情報セキュリティ事故発生時の経営判断を問う訓練を毎年実施しています。
主なシステム対策
-
①重要な情報はデータセンターのサーバに保管し、データセンターは要塞化
-
②社内ネットワークと外部、および制御系ネットワークとをファイヤーウォールで完全に分離
-
③ファイヤーウォールはインターネット直接接続(リモート環境含む)でも有効なクラウドファイヤーウォールを導入
-
④すべてのサーバとPCには次世代のウイルス対策を導入
-
⑤上記②~④の3点をSOCで24時間365日モニタリング
-
⑥メールフィルタ、Webフィルタを導入し、従業員のメール、インターネットの安全な利用を確保
-
⑦ユーザー認証基盤を刷新し、利便性と安全性を両立
主な人的対策
-
①重要度別情報管理の徹底
-
②退職者、採用者向け守秘義務徹底
-
③全従業員への定期的なe-ラーニングの実施
重要な技術開発業務従事者へは別途e-ラーニングを追加実施 -
④CSIRTメンバーへの机上訓練(連絡フローの確認や経営判断を問うなど)を実施
システム分散化などによる自然災害リスクへの対策
自然災害により、社会インフラがダメージを負った場合でも業務が継続できるよう、耐震・免震などの対策が施されたデータセンターに基幹システムを設置しています。
さらに、データセンターを複数ヶ所に分散設置することで、万が一特定のデータセンターが使用不能になっても業務が滞ることのない体制を構築しています。また、重要業務システムの完全二重化により、業務の完全復旧までのリードタイム短縮を図っています。
個人情報の保護
お客様の個人情報については、積水化学Webサイト上で公表している「個人情報保護方針」に基づき、取り扱っています。
個人情報に関する法令や規範を遵守するとともに、社内規則である「秘密情報管理規則」に基づき自主的なルール・体制を構築し、適切な保護に努めています。
また、個人情報を扱う「Webサーバの構築と管理に関するガイドライン」を設け、関係各社・各部所にて管理しているサーバの保護にも努めています。
同時に取り扱い情報の重要度に応じてアクセス権など管理権限を限定してすることで、管理を徹底しています。
さらに、毎年コンプライアンス強化月間を中心に従業員意識の向上を図り、教育を実施することにより、個人(顧客)情報の取り扱いへのガバナンスの強化を行っています。
技術情報の漏洩防止
2019年、当時の従業員による、高機能プラスチックスカンパニーの導電性微粒子に関する技術情報の社外の第三者への漏えいが発生しました。本件発覚後、情報管理や従業員教育の強化を行いました。再発防止策として、IT技術による漏洩防止策のみならず、技術的機密情報を扱う部門へのリスク管理活動の導入、技術者に対するモラル教育・研修、採用時における守秘義務教育の徹底などを、多面的に実施しています。
再発防止の施策全体の推進状況は、サイバーセキュリティ分科会およびコンプライアンス分科会の両分科会活動を集約し、情報漏洩リスクとしてモニタリングしています。