人的資源セキュリティ
会社の主力である人的資源に関するセキュリティの確保は不可欠です。
弊社は雇用前に厳正な選考を行い、入社が決定したら、機密保持誓約書の締結をします。入社後はセキュリティ教育を徹底して行い、在職中にも、トレーニングや最新のセキュリティニュースを共有するなどして、従業員のセキュリティ意識向上に努めています。雇用終了や部署移動に伴い、必要に応じて誓約書の再締結を行うほか、貸与品、アクセス権限の回収・再配置を実施します。
物理的及び環境的セキュリティ
原則、部署ごとで物理的に離れた場所で職務に従事します。また、入館(入室)カードのアクセス権限は個別に設定され、適切に制限されています。
共有スペース、重要なエリアには監視カメラを設置しているほか、セキュリティリスクの高い部屋には生体認証機器、暗証番号付きのキーボックスを導入しています。
資産のセキュリティ
資産は、主に総務法務部が管理しています。個別の資産について、購入、貸出、在庫、返却などのステータスと詳細を記録しています。また、取り外し可能な媒体にEPP(Endpoint Protection Platform)をインストールし、アクセス制限を行うことで、セキュアにコントロールしています。
一方、退職した元従業員や関係者などから回収した機器については、状態の確認とデータのバックアップ処理を行った後、次回貸与時に備え、データとアカウントを完全にクリアにします。
なお、データの持ち込みと持ち出し等については、規程で規制しています。さらに、内部の情報漏えい対策として、従業員・関係者のPC使用状況、ファイルサーバへのアクセス状況や操作内容を監視できるシステムを導入しています。
ネットワークセキュリティ
- 内部から内部、外部から内部向けの安全な通信を確保できるよう、多様なセキュリティ製品を導入しています。コンテンツフィルタリングからセキュリティスイッチまでを用いた「統合脅威管理」で危険な通信を防いでいます。
- 部署ごとに、ネットワーク分離を行い、セキュリティ制限を設けることで、部署を超えたマルウエアの感染リスクを低減しています。
- ネットワークふるまい監視を24時間365日実施しており、万が一不正通信が発見された場合には、アラート機能で通知されます。同時に、マルウエア等に感染した端末の切り離しが自動で実行され、感染拡大を阻止します。
- ネットワーク、サーバの冗長化(バックアップ)により、耐障害性を高め、運用の安全性を確保しています。
- ログサーバを設置しており、イベントログの取得により、監視・分析が可能です。
- 内部不正対策のため、証跡管理システムを導入しており、クライアントの疑わしい挙動が容易に発見できます。
運用のセキュリティ
- ネットワーク、システム運用ルールの厳格に定めています。
- 安全性が高いパスワードの使用と定期的なパスワードの変更を徹底しています。
- 運用業務担当のエンジニアは、常に新たな攻撃手法、セキュリティ事故・脅威情報を入手に努めています。また、社内の代表者が国内外の重要なセミナーに参加し、最前線の情報を社内で共有しています。
- 運用ソフトウェアに関する脆弱性情報を随時確認し、セキュリティパッチを速やかに適用しています。
- 社内ネットワークトラフィックの分析を通して、自己アセスメント(自社ネットワークの評価)を行い、自社のセキュリティの維持・向上に取り組んでいます。
情報セキュリティインシデントの管理
- インシデント予防と早期検知を目指すSOCチームが活動しています。
- 対応範囲:監視・発見、エスカレーション
- インシデント対応と早期収束を目指すiSEC-SIRTが活動しています。
- 対応範囲:攻撃の回避・防衛、調査分析、報告
- 相互学習及び情報共有のため、外部との連携を積極的に行っています。
- 活動例:
- 日本シーサート協議会への入会
- サイバーセキュリティ協議会への入会
- 第三者から情報セキュリティマネジメントシステムの認証を受ける、もしくは維持のための審査を、毎年受ける(2020年6月、ISO/IEC27001:2013, JIS Q 27001:2014を更新)
規程の管理
情報セキュリティに関する規程が整備され、従業員が閲覧できる形で公開されています。なお、同規程は全従業員向けと運用エンジニアおよび監査人向けの二種類が用意されています。加えて、規程内の重要な点に関しては、入社時に詳細な説明を行っています。
また、日常業務のなかで、規程に従って職務を遂行しているかどうか、不定期的に確認を行っています。