
情報セキュリティマネジメント
考え方・方針
情報セキュリティに関する考え方・方針
当社グループは、近年の情報セキュリティリスクの増大に対応するために、情報セキュリティ管理体制を構築し、情報セキュリティに関する各種管理規程を整備・全社員への周知を行います。
社員はこれらの規程に対して誓約書を提出し、遵守する責任を負っています。加えて全社員に対して情報資産の適切な管理に関する教育・訓練を定期的に行います。
また、情報資産に対する不正な侵入、漏えい、改ざん、紛失、破壊、利用妨害等を防止するため、ユーザーごとにデータへのアクセスを制限するなど、 徹底したアクセス制御を施したシステム管理を実現していきます。
そして、情報セキュリティに関する取り組みを定期的に内部および外部監査することにより、情報セキュリティマネジメントの継続的改善を行います。
体制
情報セキュリティ管理体制
当社グループは、昨今のサイバーセキュリティリスクの増大に対応し、グループ全体の情報セキュリティレベル向上を目的として「情報セキュリティ委員会」を設置し、情報セキュリティに関する基本方針の策定、セキュリティ対策のレベル向上、および重大なセキュリティ・インシデントへの迅速な対応を行っています。本委員会は、CEOに任命された委員長と委員により構成され、活動内容は定期的にCEOに報告され、指示がある場合は取締役会へ報告します。さらに、各拠点に情報管理責任者、統括責任者を設置し、情報システム部が情報セキュリティの専門部門として当社グループ全体の、情報セキュリティ対策立案、実施における助言や指導、協力、情報セキュリティの適正性の検証および是正指導等の支援を行っています。
情報セキュリティ委員会体制図
情報セキュリティ委員会メンバー
委員長 | 取締役 執行役員 情報システム管掌 |
---|---|
委員 |
|
情報セキュリティ委員会委員長: 碓井 浩
取締役、執行役員
<情報システムに関する略歴および役職>
取締役兼執行役員の碓井は、当社航空宇宙カンパニーで技術部長、計画部長を歴任し、情報セキュリティの経歴を持つ取締役に該当します。情報システム管掌役員現任。リスクマネジメント委員会委員現任。
<情報セキュリティ問題を監督するために指定された経営陣の役職(CISO)>
取締役兼執行役員の碓井は、ITセキュリティとサイバーセキュリティを監督する「情報セキュリティ委員会」の委員長であり、ITセキュリティおよびサイバーセキュリティ戦略の統括を担当し、CEOおよび取締役会に報告を行っています。
取り組み
各種管理規程の整備
情報管理基本規程、情報セキュリティ管理基準、情報セキュリティ・インシデント対応基準など、情報管理やセキュリティに関連する規程を制定し、当社グループのイントラネットにて開示しております。
情報セキュリティ・インシデント対応
当社は、情報セキュリティ・インシデント発生時の対応基準を定め、インシデント対応専用チームCSIRT (Computer Security Incident Response Team)を設置しています。セキュリティインシデント発生または不審な事態を発見した場合のエスカレーションプロセスとして、当該事象を発見した社員は、直ちにPCをネットワークから切断し、上司と情報システム部に報告します。その後、CSIRTは、インシデント発生に伴う被害の拡大防止や、迅速な業務回復などを行います。
また、当社は年に2回以上、インシデント対応検証を実施しています。1回はインシデント発生時を想定した手順書に沿って実際にシミュレーションを実施し、実施後に対応策を検証し手順書に反映しています。もう1回は、毎年全社員が参加する災害訓練時に、ITセキュリティの観点からも対応状況を評価し、手順書に反映しています。
さらに、情報セキュリティの脆弱性診断を適宜行い、脆弱性を是正することにより情報セキュリティインシデント発生リスクの低減に努めています。
情報セキュリティ監査
当社グループでは、情報セキュリティの維持・向上を目的に、内部監査と外部監査を実施しています。
内部監査は、自組織内において利害関係のない部署に所属する監査人が、国際規格 ISO27001に基づき公平かつ客観的に実施しています。
外部監査については、監査の独立性を確保するため第三者機関を選定し、ISO27001を基準として実施しています。
監査で特定された課題については、具体的な改善計画を策定し、優先順位を付けて速やかに対応します。また、実施状況や成果を定期的に見直すことで、継続的な改善につなげています。
情報セキュリティ教育
情報セキュリティ意識を高めるために、毎年「情報セキュリティ研修」を、全社員に実施しています。加えて、新入社員や中途採用社員に対しても、入社時に、情報セキュリティ研修の受講を義務付けています。研修コンテンツは、情報セキュリティにかかる最新トレンドを適時に反映させており、毎年内容を更新しています。
2024年度特に力を入れた内容は、情報セキュリティに関する社内ルールの徹底、近年の情報セキュリティインシデントの傾向を踏まえたうえでの注意喚起や、業務上のセキュリティリスクについての周知等です。また、ビジネスメール詐欺対策として全社員を対象としてメール訓練を実施し、その結果を周知することにより注意を促しました。
今年度の当社グループにおける情報セキュリティの重大な違反件数は0件です。