提供するサービスの性質上、システムのセキュリティ・開発・保守管理体制は極めて重要であると考えています。当社では、情報セキュリティポリシーのもと、「情報セキュリティ規程」その他の情報セキュリティに係る社内規則を制定しており、重要な秘密情報の漏洩・不正な利用など規程に違反する行為があった際には、減給・懲戒解雇などの処分の対象となることを定めています。
十分な理解と遵守を目指し、セキュリティ教育の実施や外部の事業者による監査の実施など、セキュリティリスクへのさまざまな対策を行っています。
外部機関との連携
情報セキュリティに関する新たな脅威やインシデント(不測の事態)に対応するため事業者団体に加盟し、継続的な技術動向の把握に取り組んでいます。
今後も外部機関との情報共有や連携を通じ、自社のさらなるセキュリティ強化とインシデントの早期検知・迅速な対応を図っていきます。
<日本コンピュータセキュリティインシデント対応チーム協議会>
コンピュータセキュリティインシデントの発生に適切に対処するため、同じような状況や課題を持つCSIRTによる緊密な連携体制の実現を目指しながら、共通の問題を解決する場を設けることを目的として設立された協議会です。
当社は、同協議会が運営する複数のワーキンググループに参加し、インシデントの効果的な再発防止策に関する事例を基にした分析や、情報セキュリティ活動に関連する国内法や判例の理解、情報発信等、社会全体のセキュリティ向上につながる活動を、協議会に参加するさまざまな事業者のCSIRTとの協働によって行っています。
インターネットに公開されているシステムについて、新規公開前、システム改修時、及び改修の有無に関わらず定期的に、第三者機関による脆弱性診断を実施しています。確認された問題点はリスクの重要度により分類を行い、システムの改修や設定の見直し等の是正を図っています。
また、24時間365日体制のセキュリティオペレーションセンター(SOC)事業者が外部からのサイバー攻撃をウェブアプリケーションファイアウォール(WAF)により監視しており、異常が確認された際には当社のエンジニア部門が不正なトラフィックをブロックする等の対応を行っています。
従業員が使用するPCについては、従来からあるばらまき型メールによるマルウェア感染等への対策のほか、昨今話題となっている標的型攻撃等の高度なマルウェアに対処できるよう、機械学習や振る舞い検知(挙動から悪意あるプログラムを識別する手法)を活用したマルウェア対策ソフトウェア(EDR)を導入して検知力を高めています。
セキュリティ事故についての報告をするエスカレーションプロセスを明確に定義し、万が一のセキュリティ事故の発生時には役員を含めた体制で対応することとしています。また、インシデント発生時には迅速に対応・復旧できるよう、インシデント対応訓練を年に一度行うことであらかじめ決定したプロセスの確認をしています。
「情報セキュリティ規程」やその他の情報セキュリティに係る社内規則の十分な理解と遵守を目的としたセキュリティ教育を計画し、定期的に実施しています。年1回実施している全従業員向けセキュリティ研修の内容は、国内外で発生しているサイバー攻撃の事例や従業員を狙った攻撃の手口等の最新の動向をもとに、毎年、検討・アップデートしています。上記に加えて、新入社員を対象とした研修や役職者を対象とした研修、エンジニア向けの研修等、役職や職種に応じて求められる知識や具体的なアクションについてのさまざまな研修を行っています。
また研修以外にも、標的型攻撃メールへの対応や生成AIを利用する際の注意事項等、社内外の事例や働き方の変化を踏まえた対策について、従業員への周知徹底を随時・継続的に行うことで情報セキュリティに関する意識の維持・向上を促す取り組みを進めています。