情報セキュリティ

情報セキュリティ

基本方針

さまざまな脅威から情報資産を守り、社会的使命を果たすため、「情報セキュリティマネジメントシステム」を構築・運用しています。情報資産を取り巻くリスクを継続的に評価し、リスク対策の有効性を確保しています。また、情報資産の重要度に応じた情報セキュリティ対策を実施し、情報セキュリティに関する問題発生の防止に努めています。当社のデータセンターでは情報セキュリティマネジメントシステムの認証規格であるISO27001を取得しています。

詳しくは「情報セキュリティ基本方針」のページへ

管理体制

当社で取り扱うすべての情報資産の適切な保護と管理のため、情報セキュリティ体制を構築し、情報セキュリティの維持・向上を推進しています。また委託先に対しても、情報セキュリティに関して当社が求める事項として「情報セキュリティガイドライン」を定め、遵守の徹底を求めています。

教育・研修

当社の全社員および当社の業務に従事する関係者が、基本方針を含む「情報セキュリティマネジメントシステム」を理解・共有すべく、「情報セキュリティ/個人情報保護講座」の実施などの教育を徹底しています。また、委託先であるパートナー企業に対しては「情報セキュリティガイドライン」遵守のための管理責任者を置き、定期的な教育を行うことを求めています。


e-Learningの実施

サイバー攻撃への対応

SCSK-CSIRT

当社では、コンピュータセキュリティインシデント(以下、インシデント)発生時に速やかに事態を収束させ、被害を最小限にする活動を行うために、SCSK-CSIRTを組織しています。

SCSK-CSIRTの体制

緊急時には、役割に応じた関連部署との協調・連携が必要不可欠という考えの下、CSIRT体制を構築しています。

インシデントへの適切な対処に向けて、CSIRT事務局、コーポレートシステム部、セキュリティサービス部が連携し、インシデントの解析や対応方針、方法を協議するとともに、JPCERT、NISCなどの外部機関と連携を行います。

また、インシデントが、コンプライアンスや法的内容に抵触するか、あるいは、自社の事業に与える影響の有無について、主管となる法務部や経営企画部などとも連携を行うことで影響範囲を的確に把握します。

このように主管部署と連携して得た情報を、CSIRT事務局が取りまとめてCSIRT長に報告を行うことで、影響度に応じた素早い対応判断を実現します。

速やかな初動対応に向けた取り組み

緊急時の対応

SCSK-CSIRTでは、万が一インシデントが発生した場合の被害の極小化を目的とし、速やかなシステム停止や復旧を判断するための関係者の招集、対応手順を規則として定め、社内に公開することで実効性を高めています。

教育・訓練

サイバー攻撃被害の予防として、従業員を対象としたe-Learningによる情報セキュリティ教育、標的型メール攻撃への予防を目的としたなりすましメール訓練を実施します。また、CSIRT事務局と関係部署間がスムーズに連携し、迅速な対応ができるようインシデントを想定したシナリオを用意し、机上での緊急時の対応訓練を実施します。

脆弱性対応

インターネットからアクセスが可能なサーバやクラウドサービスについてセキュリティ対策基準を定め、基準の適合状況の確認と、定期的な脆弱性診断と是正を行っています。

SCSK-CSIRT体制図