重要課題・ガバナンス

情報セキュリティ

考え方・方針

2023年度情報セキュリティ方針:変化する情報セキュリティ脅威への対応強化

  • 国内外で多数の被害が発生しているランサムウェアへの対策を強化します。
  • 制御系機器やシステムのセキュリティ強化に取り組みます。

推進体制

当社グループでは、グループ全体での情報セキュリティマネジメントを推進するため、「情報セキュリティ規程」「情報セキュリティ全社規準」からなるセキュリティポリシーを定め、実行しています。
情報セキュリティに関する全社的戦略、基本方針の審議ならびに情報セキュリティに関する全社的施策は情報セキュリティ委員会で定期的に審議されます。情報セキュリティ委員会の構成は、委員長を情報システム部所管執行役員、副委員長を情報システム部長、委員として事業本部長、技術本部長、工務本部長、本社部室長、事務局を情報システム部としています。
情報セキュリティレベルの向上に向けた施策は情報システム部が主体となり、情報セキュリティ委員会の下部機構として設置された機構単位(工場、事業所、支店等)の長が担う情報セキュリティ推進責任者、各拠点の情報セキュリティ担当者の協力のもと、具体的に推進されます。
施策を円滑に推進、フォローしていくため、情報システム部が事務局となった情報セキュリティ担当者会議を定期的に開催しています。
施策の実施状況は、情報セキュリティ委員会にフィードバックされ、必要に応じてアクションが取られます。

■ 推進体制図
図:推進体制図

情報セキュリティリスクへの対応

高度化するサイバーセキュリティ攻撃から社内の情報資産の安全を確保するため、システムと人的対策の両面から対策を講じています。
外部からのサイバー攻撃等の脅威に対しては、外部委託したSOC※1を中心として、新たに検出されたマルウェアや標的型メールなどを24時間/365日監視しています。異常を検知した場合は速やかに情報システム部が連絡を受けSMM-CSIRT※2とともに適切な対応を迅速に実施できる体制としています。
また、eラーニングや標的型メール訓練等による従業員の教育や訓練を行うことで、サイバー攻撃被害の未然防止を図っています。

図:推進体制図
  • ※1Security Operation Center(SOC):セキュリティ機器からの情報を監視・分析し、その対策を講じることなどを専門とする組織
  • ※2Computer Security Incident Response Team(CSIRT):コンピュータセキュリティに関する問題が発生した場合に、その原因解析や影響範囲の調査、対応等を実施する組織の総称

主なシステム対策

  • 重要な情報は災害対策に優れた外部のデータセンターのサーバに保管し、データセンターは特別なセキュリティシステムで防御しています。
  • 社内ネットワークと外部ネットワークをファイヤーウォールで分離し、外部(インターネット)からのサイバー攻撃を防御しています。
  • 在宅勤務等のリモート接続には、セキュリティレベルの高いクラウドセキュリティゲートウェイを利用し、第三者による接続・不正侵入ができない環境としています。
  • すべてのサーバとPCにはウィルス対策ソフトに加えEDRソフトを導入しています。EDRソフトのログは24時間/365日外部SOCにより監視され、マルウェア感染を速やかに検出し対応できる体制としています。
  • メールフィルタ、Webフィルタを導入し、従業員のメール、インターネットの安全な利用を確保しています。
  • 上記対策システムのうち重要なものは24時間/365日稼働の外部SOCに監視を委託し、異常を速やかに検出し対応できる体制としています。

Endpoint Detection and Response(EDR):エンドポイント検出対応

主な人的対策

  • 日々変化していくサイバー攻撃手法に対する理解を深めセキュリティ意識を高めることを目的として、海外拠点スタッフも含めて、グローバルな言語対応のサイバーセキュリティ分野に特化したeラーニングサービスを利用した情報セキュリティ教育を毎年実施しています。
  • マルウェア感染のきっかけとなりやすい標的型攻撃に対しては、実際に攻撃メールを装った疑似メールを利用者に送付し、受信体験を通じてセキュリティ感度を高める「標的型攻撃メール訓練」を実施しています。

上記の結果を分析し、各部門および経営層にフィードバックするとともに、次の計画に反映しています。

セキュリティインシデントへの対応

セキュリティ対策を講じたにもかかわらず、万が一重大なセキュリティインシデントが発生した場合、迅速に対応し被害拡大を防ぐことを目的として、情報システム部と利用部門代表者からなるSMM-CSIRTを設けています。
情報システム部と利用部門が連携して対応することで、インシデントを早期に終息させるとともに、外部対応を並行して実施できる体制としています。
SMM-CSIRTは、日本シーサート協議会(NCA)に加盟し外部との連携を図っています。

図:セキュリティインシデントへの対応

情報漏洩対策

個人情報を含むお客様の情報および社内の機密情報の安全を確保するため、上記に加え以下の対策により電子データを保護しています。

  • USBメモリの利用を原則禁止し、利用が必要な場合は届出とともにシステム的な制御のもとで利用できる環境としています。
  • 外部に持ち出す可能性のあるモバイルPC等は、ディスクを暗号化し万が一盗難・紛失という事態となった場合でも、第三者がデータを閲覧できないようにしています。
  • 社内データの保存には専用のファイルサーバと外部のクラウドストレージサービスを利用し、そのアクセス権を厳密に管理しています。
  • 通信経路のログを監視し、不正な通信を速やかに検出し対応できる仕組みとしています。
  • メールフィルタリングシステムをすり抜けてくる不審メールの情報を利用者と共有し、不審メールからのマルウェア感染を未然に防止する仕組みとしています。

2022年度の実績と2023年度の計画

2022年度は、EDRソフトを住友金属鉱山グループネットワークに接続するPCおよびサーバに導入するとともに、海外拠点にも展開しました。海外拠点については、個別にサイバーセキュリティ対策の運用実態を調査し改善指導を行いました。人的対策を強化するため、多言語対応のサイバーセキュリティトレーニングシステムを導入し、不審メール訓練と組み合わせて利用者のセキュリティ意識とスキル向上を図りました。
2023年度は、エンドポイントセキュリティ強化のためウイルス対策ソフトを未知のマルウェアに対する検知力が高い深層学習型のソフトに切り替えます。また、ゼロトラストネットワークの実現に向け、グローバルに対応する認証基盤を導入し、国内外の利用者の認証機能を強化します。

重要課題・ガバナンスに戻る