バックオフィスのデジタル化
當社グループは、6つのITリスクを認識しています。(図1)そのなかでも特に「情報セキュリティリスク」について、このリスクが引き起こす被害の深刻性を認識するとともに、最優先に防止すべきリスクと捉え、経営層?現場?情報システム部門が三位一體となって情報セキュリティ対策に取り組んでいます。
図1:ITリスクの認識と対策
(*1)QCD(Quality, Cost, Delivery):品質、費用、納期
(*2)CCPM(Critical Chain Project Management):制約條件の理論に基づき全體最適化の観點から開発されたプロジェクト管理手法
昨今の社會環境において、當社グループ會社も含めて企業內の情報をいかに統制するかは、重要な経営課題のひとつとなっています。2021年度、2022年度には既存の「情報セキュリティ宣言」(基本方針)を大幅に改定し、併せて「リスクマネジメント規程」、「情報管理規程」、「情報取り扱いマニュアル」、「グループ情報管理基本規程」などの関連規程も制定?改定を行い、情報セキュリティ基準に沿った具體的施策(IT統制規程類の運用、入口?出口対策、情報保護対策など)を実施しています。
具體的には「第6次IT中期計畫」(2019~2021年度)にて強化した內部不正対策、IT資産管理、エンドポイント(接続された端末)の監視?対応(EDR(*3))、クラウド利用のセキュリティ対策、従業員のITリテラシー向上策(eラーニングコンテンツの拡充、標的型メール訓練の定期実施等)などの施策を継続して行っており、「第7次IT中期計畫」(2022~2026年度)ではグループ會社への適用範囲を拡張して施策を実施しています。2022年度には、IT利用のルールの見直しを実施し「情報システム利用規定」に統合されています。また、セキュリティ対策要員のスキル向上のための継続的な専門教育にも取り組んでいます。(図2)
(*3)EDR(Endpoint Detection and Response):エンドポイントにおいて脅威を継続的に監視して対応する技術
図2:情報セキュリティ基本方針と具體的施策
情報システム部門を中心にCSIRT(*4)/SOC(*5)を稼働しています。2022年度には國內主要グループ會社を対象に24時間365日のセキュリティ監視體制を構築しました。また、グループ會社のメディアテックおよびパートナー企業と共に情報セキュリティ支援體制を整え、各グループ會社のIT擔當者とのコミュニケーションを通じてセキュリティトピックの提供やセキュリティレベルの実態把握、問題解決の指導なども行っています。
さらに、當社グループ共通のインフラと経営基盤を整備しており、業務プロセスの共通化や情報資産の適切な利活用を推進しています。以上の取り組みにより、當社グループ全體のITリスクを極小化し、ガバナンスの向上を図ります。(図3)
(*4)CSIRT(Computer Security Incident Response Team):サイバーセキュリティ関連のインシデントが起こった場合に対応する専門組織
(*5)SOC(Security Operation Center):情報システムへの脅威の監視や分析などを行う役割や専門組織
図3:情報セキュリティ維持活動とPDCAサイクル
當社グループのDXを支える情報セキュリティ體制
安全?安心なDXを推進するためには、確固とした情報セキュリティ體制が必須であると考えています。昨年度からスタートした第7次中期経営計畫の目標が達成できるように、當社グループ全體のセキュリティ強化を進め、DXに合わせた対策を常に先手を打って実施していきたいと思います。
本社 情報システム部 情報セキュリティ室 室長 岡辺 崇志
関連ページ
