バックオフィスのデジタル化
当社グループは、経営層・現場・情報システム部門が
三位一体となって情報セキュリティ対策に取り組みます
当社グループは、6つのITリスクを認識しています。(図1)そのなかでも特に「情報セキュリティリスク」について、このリスクが引き起こす被害の深刻性を認識するとともに、最優先に防止すべきリスクと捉え、経営層・現場・情報システム部門が三位一体となって情報セキュリティ対策に取り組んでいます。
図1:ITリスクの認識と対策
(*1)QCD(Quality, Cost, Delivery):品質、費用、納期
(*2)CCPM(Critical Chain Project Management):制約条件の理論に基づき全体最適化の観点から開発されたプロジェクト管理手法
昨今の社会環境において、当社グループ会社も含めて企業内の情報をいかに統制するかは、重要な経営課題の一つとなっています。当社は、以下の「情報セキュリティ宣言」(基本方針)のもと、規程などを制定・運用し、グループ会社にも展開しています。安全に運用するための情報セキュリティ基準に沿った具体的施策(IT統制規程類の運用、入口・出口対策、情報保護対策など)を実施しています。
2019年度には、情報セキュリティに関する外部専門家の診断を受け、その結果をもとに「第6次IT中期計画」(2019年~2021年度)を策定しました。本計画に基づき、内部不正対策、IT資産管理、エンドポイント(接続された端末)の監視・対応(EDR(*3))、クラウド利用に関する相談窓口の設置、従業員のITリテラシー向上策(eラーニングコンテンツの拡充、標的型メール訓練の定期実施など)を実施しています。(図2)
(*3)EDR(Endpoint Detection and Response):エンドポイントにおいて脅威を継続的に監視して対応する技術
図2:情報セキュリティ基本方針と具体的施策
情報システム部門を中心にCSIRT(*4)/SOC(*5)を稼働しています。グループ会社のメディアテックおよびパートナー企業と共に情報セキュリティ支援体制を整え、各グループ会社のIT担当者とのコミュニケーションを通じてセキュリティトピックの提供やセキュリティレベルの実態把握、問題解決の指導などを行っています。
2021年度は、東京2020オリンピック・パラリンピック競技大会におけるサイバー攻撃に備えるべく、各グループ会社が社外公開している1000以上のウェブサーバのプラットフォームに対してセキュリティチェックを実施しました。また、EDRによる監視対象を、主要グループ会社で使用している全コンピュータへ拡大し、脅威に対して即時に対応できる体制を構築しました。さらに、当社グループ共通のインフラと経営基盤を整備しており、業務プロセスの共通化や情報資産の適切な利活用を推進しています。以上の取り組みにより、当社グループ全体のITリスクを極小化し、ガバナンスの向上を図ります。(図3)
(*4)CSIRT(Computer Security Incident Response Team):サイバーセキュリティ関連のインシデントが起こった場合に対応する専門組織
(*5)SOC(Security Operation Center):情報システムへの脅威の監視や分析などを行う役割や専門組織
図3:情報セキュリティ維持活動とPDCAサイクル
DXを支える情報セキュリティ体制
安全・安心なDXを推進するためには、確固とした情報セキュリティ体制が必須であると考えています。今年度は3カ年計画の最終年として、CSIRTおよびSOCの拡充、グループ会社のセキュリティ強化を主に実施してきました。来年度はさらに加速するDXに合わせた対策を、常に先手を打って実施していきたいと思います。
本社 情報システム部 情報セキュリティ室 室長 岡辺 崇志
関連ページ
