情報セキュリティ

情報セキュリティ高度化に向けた取り組み

基本方針

さまざまな脅威から情報資産を守り、社会的使命を果たすため、「情報セキュリティマネジメントシステム」を構築・運用しています。情報資産を取り巻くリスクを継続的に評価し、リスク対策の有効性を確保しています。また、情報資産の重要度に応じた情報セキュリティ対策を実施し、情報セキュリティに関する問題発生の防止に努めています。SCSKのデータセンターでは情報セキュリティマネジメントシステムの認証規格であるISO27001を取得しています。

詳しくは「情報セキュリティ基本方針」のページへ

管理体制

SCSKでは、情報セキュリティを経営における最重要課題の一つと位置付け、情報セキュリティ体制、ならびに情報セキュリティマネジメントシステムの構築と継続的改善を統括する責任者として、最高情報セキュリティ責任者を設定しています。
最高情報セキュリティ責任者の下、情報セキュリティ管理部が主体となり、情報セキュリティ関連部署との相互連携を強化するとともに、事業グループと一体で、全社を挙げて情報セキュリティ施策を推進しています。

教育・研修

SCSKの全社員およびSCSKの業務に従事する関係者が、基本方針を含む「情報セキュリティマネジメントシステム」を理解・共有すべく、情報セキュリティおよび個人情報保護の教育を徹底しています。また、委託先であるパートナー企業に対しては「情報セキュリティガイドライン」遵守のための管理責任者を置き、定期的な教育を行うことを求めています。

情報セキュリティ強化への取り組み

SCSKでは、システム開発、運用など業務遂行のための標準であるSE+(SmartEpisode Plus)に情報セキュリティ標準を組み込み、運用を開始しています。

また、お客様の重要な情報資産を守るために、取り扱い情報およびリスクを可視化、安全管理措置を評価、改善するシステム(S-SIMS※1)を構築し、金額・規模の大小問わず、すべての稼働案件を対象に220項目にわたる調査・改善活動を継続的に実施しています。

引き続き、お客様の重要な情報資産をお預かりするIT事業者として、全役職員への教育を通じて、エンゲージメント意識・職業倫理の向上を図っていきます。

※1 S-SIMS:SCSK Security Information Management Systemの略称

SCSKセキュリティ情報管理システム(S-SIMS)の概要

案件ごとに抱える「情報セキュリティリスク」と「安全管理措置」の実態を一元把握・可視化し、各現場および組織ライン各層が協力して適切な情報管理のPDCAアクションを回すための仕組み。

情報セキュリティ高度化に向けた取り組み

セキュリティインシデントへの対応

SCSK-CSIRT※1の体制

SCSKでは、コンピュータセキュリティインシデント(以下、インシデント)発生時に速やかに事態を収束させ、被害を最小限にすることを目的に、SCSK-CSIRTを組織しています。

インシデントへの適切な対処に向けて、社内システム担当部署やサイバーセキュリティ担当部署が連携し、インシデントの解析や対応方針、方法を協議するとともに、JPCERT/CC※2、NISC※3などの外部機関と連携を行います。

また、コンプライアンスや法令、および事業面での影響などについて、各関係部署と速やかに協議し、状況を的確に把握することで、影響度に応じた迅速な対応判断を行います。

  • ※1 SCSK-CSIRT(Computer Security Incident Response Team):コンピュータセキュリティインシデントに対する活動を行う常設組織
  • ※2 JPCERT/CC(Japan Computer Emergency Response Team CoordinationCenter):一般社団法人 JPCERT⦆コーディネーションセンター
  • ※3 NISC(National center of Incident readiness and Strategy for Cybersecurity):内閣サイバーセキュリティセンター

速やかな初動対応に向けた取り組み

緊急時の対応

●SCSK-CSIRTでは、万が一インシデントが発生した場合の被害の極小化を目的とし、速やかなシステム停止や復旧を判断するための体制と対応手順を規則として設定

教育・訓練

●従業員を対象にサイバー攻撃被害の予防を目的としたe-Learningによる情報セキュリティ教育
●標的型メール攻撃への予防を目的としたなりすましメール訓練
●SCSK-CSIRTと関係部署間がスムーズに連携し、迅速な対応ができるよう机上訓練の実施 など

脆弱性対応

●インターネットからアクセスが可能なサーバーやクラウドサービスについてセキュリティ対策基準を定め、定期的に基準の適合状況および脆弱性の確認と是正を実施

SCSK-CSIRT体制図