情報管理
(姿勢・考え方)
基本的な考え方
積水化学グループは、持続経営力の向上に影響を及ぼす情報管理に係る重大インシデント発生を回避するため、情報システムの機密性・完全性・可用性を担保するためのシステム、および運用体制を構築しています。同時に、e-ラーニング、インシデント対応訓練などを通じて、社員の情報セキュリティにおけるリテラシー向上に取り組んでいます。情報管理に係る以下の重大インシデント発生は、企業価値毀損を引き起こすリスクと捉えています。
- 1. サイバー攻撃によるデータ搾取・破壊
- 2. 大規模・長時間の情報システム障害
- 3. 個人情報・機密情報漏えい、データ保護法規則違反
情報セキュリティ方針
当社グループでは、グループ全社の情報セキュリティ方針※を策定し、社内外に公表しています。これにより、全社でサイバーセキュリティ対策への取り組みの強化を図っています。
詳細は積水化学グループ「情報セキュリティ方針」を参照
情報管理体制
積水化学グループは、サイバーセキュリティに対応する組織として、代表取締役社長が委員長を務める「サステナビリティ委員会」の下にCSIRT※1を設置しています。
CSIRTでは、サイバーセキュリティ分科会を情報セキュリティにおける方針決定機関としています。本分科会の委員長は、CISO(最高情報セキュリティ責任者)である西田達矢常務執行役員が務めており、全社のサイバーセキュリティ対策や重大なセキュリティインシデントについて協議します。
サイバーセキュリティ推進部会は、分科会での決定に基づいた施策推進を担い、実働部隊としてサイバーセキュリティセンターを配置しています。
サイバーセキュリティセンターでは、SOC※2と連携し、ネットワークやデバイスのセキュリティ監視を行っています。セキュリティ監視は24時間365日体制で行われ、インシデントの早期発見・早期復旧に努めています。
各現場事業所には1名以上の情報システム管理者を配置し、グループを包括する情報管理体制を構築しています。組織変更や情報システム管理者に異動があった場合でも、名簿管理システムによって、各事業所の情報システム管理者の有無を把握することができます。
今後は国内でのCSIRTの運用を高度化させるとともに、海外のグループ会社においてもCSIRTの構築を進めていきます。
- CSIRT(シーサート)は「Computer Security Incident Response Team」の略。
企業などの組織内でコンピュータセキュリティインシデントに関する報告の受け取り・調査・対応活動などを担う専門チームの総称。 - SOC(ソック)は「Security Operation Center」の略。情報システムへの脅威の監視や分析のための専門組織。いち早く脅威を検知し、CSIRT の対応・復旧活動を支援する役割を担う。
- 09-57
管理体制の全体像
積水化学CSIRTによる保護推進活動
積水化学CSIRTによる機密情報・個人情報・情報システムの保護活動は以下のとおりです。
Plan:計画策定・見直し
- サイバーセキュリティ高度化計画の立案
Do:高度化計画の実行
- 海外サイバーセキュリティ対策強化
- e-ラーニングなどを活用した従業員の啓蒙活動
- サプライチェーンに対するサイバーセキュリティ、および情報管理の徹底
Check:点検・評価
- サイバーセキュリティ分科会へのリスク評価報告、およびサイバーセキュリティ推進部会への対策活動報告
Act:改善活動
- 活動実績を踏まえた改善目標の設定、および実行計画の修正
目標
積水化学グループは現中期経営計画において、「サイバーセキュリティインシデントゼロ」をKPIに掲げ、情報管理活動を推進してきました。重大インシデント発生による企業価値毀損を防ぐことを目的としています。
活動の結果、2023年度の重大なサイバーセキュリティインシデントはゼロでした。主要実施策の結果は以下のとおりです。
主要実施策の図
| 主要実施策 | 管理指標 | 現中期最終年度(2025年度) 目標 |
2023年度実績 |
|---|---|---|---|
| サイバーセキュリティインシデント発生時の迅速対応(国内) | 検知~復旧時間 | 3営業日以内 | 3営業日 |
| CSIRTの海外展開 | 海外CSIRT展開 | 全リージョン展開完了 | 北米への展開完了 |
情報漏えいとリスクへの対策
積水化学グループでは、個人情報を含むお客様の情報および機密を含む社内情報の安全を確保するため、システムと人的対策の両面から対策を講じています。外部からの脅威に対しては、積水化学CSIRTのサイバーセキュリティセンターが中心となり、適切な対策を迅速に実施しています。具体的には、新たに感染が報告されたウイルスや標的型メールなどの新しい脅威を常に把握して、セキュリティ対策製品のポリシーをアップデートしています。また、e-ラーニングによる従業員の教育や監査を行うことで、情報漏えいの未然防止を図っています。
CSIRTは定期的にサイバーセキュリティ分科会/推進部会を開催しています。分科会ではリスク対策の評価を報告しています。また、推進部会ではリスク対策の活動内容を報告しています。そのほかに毎年、分科会委員向けに情報セキュリティ事故発生時の経営判断を問う訓練を実施しています。
主なシステム対策
当社グループでは、主に以下のシステム対策を実施しています。
-
①重要な情報はデータセンターのサーバに保管し、データセンターは要塞化
-
②社内ネットワークと外部、および制御系ネットワークとをファイヤーウォールで完全に分離
-
③ファイヤーウォールはインターネット直接接続(リモート環境含む)でも有効なクラウドファイヤーウォールを導入
-
④すべてのサーバとPCには次世代のウイルス対策を導入
-
⑤上記②~④の3点をSOCで24時間365日モニタリング
-
⑥メールフィルタ、Webフィルタを導入し、従業員のメール、インターネットの安全な利用を確保
-
⑦ユーザー認証基盤を刷新し、利便性と安全性を両立
主な人的対策
当社グループでは、主に以下の人的対策を実施しています。
-
①重要度別情報管理の徹底
-
②退職者、採用者向け守秘義務徹底
-
③全従業員への定期的なe-ラーニングの実施
重要な技術開発業務従事者へは別途e-ラーニングを追加実施 -
④CSIRTメンバーへの机上訓練(連絡フローの確認や経営判断を問うなど)を実施
自然災害リスクへの対策
当社グループは、耐震・免震などの対策が施されたデータセンターに基幹システムを設置しています。これにより、自然災害で社会インフラがダメージを負った場合でも、業務の継続が可能です。さらに、データセンターを複数ヶ所に分散設置することで、特定のデータセンターが使用不能になっても業務が滞ることのない体制を構築しています。
また、重要業務システムの完全二重化により、業務の完全復旧までのリードタイム短縮を図っています。
個人情報の保護
当社グループは、「個人情報保護方針」に基づきお客様の個人情報を取り扱っています。
個人情報に関する法令や規範を遵守するとともに、社内規則である「秘密情報管理規則」に基づき自主的なルール・体制を構築し、適切な保護に努めています。また、「Webサーバの構築と管理に関するガイドライン」を設け、関係各社・各部所にて管理している個人情報を扱うサーバの保護にも努めています。
同時に、取り扱い情報の重要度に応じてアクセス権など管理権限を限定することで、管理を徹底しています。
さらに、毎年コンプライアンス強化月間を中心に従業員意識の向上を図り、教育を実施することにより、個人(顧客)情報の取り扱いへのガバナンスの強化を行っています。
技術情報の漏えい防止
IT技術による漏えい防止策だけでなく、技術的機密情報を扱う部門へのリスク管理活動の導入、技術者に対するモラル教育・研修、採用時における守秘義務教育の徹底などを実施しています。