1.情報セキュリティ体制を継続的に強化
当社事業が社会的なインフラとしての側面を持つことを認識し、お客様の開示前のインサイダー情報を含む機密情報を守り、安全に取り扱うため、情報セキュリティ方針を定め、体制・システムの強化に努めています。
(1)当社におけるセキュリティ対策の概念図
(※1)CSIRT:Computer Security Incident Response Team(シーサート)コンピュータやネットワーク上で何らかの問題が起きていないかどうか監視するとともに、万が一問題が発生した場合にその原因解析や影響範囲の調査を行う組織の総称
(2)金融機関レベルのセキュリティインフラの構築
- ・最先端のITを駆使した通信インフラ、ハードウェア、ソフトウェア、マネジメント体制を構築
- ・経済産業省の基準をクリアする震度7対応の免震耐火構造のデータセンター
- ・外部からの不正アクセス検知システム
- ・サーバーの冗長化
- ・災害に備えての遠隔サイトのデータセンターとの同期化
- ・サーバールームの24時間監視 等
2.「サイバーセキュリティ経営ガイドライン」に対応した取り組み
サイバー攻撃の脅威の高まりを背景に2015年経済産業省より「サイバーセキュリティ経営ガイドライン」が公表されました。そこでは、サイバーセキュリティは経営問題であるとして経営者のコミットメント強化と、経営者がセキュリティ担当者に指示すべき「重要10項目」が制定されています。
当社は、経営者自らのリーダーシップのもと、ISMS基本方針を核としたセキュリティ施策を従来から実施しており、本ガイドラインで求められる基本的な項目には既に対応していますが、引き続き、社員向けの研修や疑似ウイルスメール訓練による啓発を強化する一方、CSIRT等の活動を通じて本ガイドラインへの対応を進めてまいります。
3.プロネクサスグループとしてCSIRTを構築
日々複雑化する情報セキュリティにおける脅威への対策として、多様化するインシデントを理解し、能動的なセキュリティ対策を日常的に運用するため、CSIRTをプロネクサス本社と当社で組織しております。
両社はネットワーク環境を共有しており、業務に求められるセキュリティレベルは同等であることから、CSIRTを共通の組織として構築し、運用ルールやノウハウを共有することでグループ全体のセキュリティ強度を高めています。
CSIRTの役割
- ・コンピュータセキュリティに係わる事象発生の検知
- ・セキュリティインシデントの対処と管理
- ・感染コンピュータの原因究明と分析
- ・セキュリティ関連情報の把握と展開
- ・脆弱性情報の収集、分析、対策
- ・技術動向調査
- ・システム開発におけるセキュリティガイドラインの管理と展開
- ・活動報告
- ・防災訓練の実施
4.全社的セキュリティ体制の概念図
5.ITサービスマネジメント活動
良質のITサービスを提供するために、ITサービスマネジメントのベストプラクティスであるITIL(※2)をベースとしたインフラの運用・管理に取組み、ISO20000-1(ITSMS)認証を北陸地区第1号で取得しました。
(※2)ITIL:Information Technology Infrastructure Library(アイティル)ITサービスマネジメントのベストプラクティス(成功事例やプロセス、ノウハウなど)を集めたフレームワーク