セキュリティ体制

情報セキュリティ株式会社のセキュリティ体制に関する取り組み
情報セキュリティ株式会社(iSEC)では、情報セキュリティの専門会社として業界最高峰の基準でセキュリティに取り組んでおります。我々のミッションでもある「顧客満足を追及し、顧客・パートナーの利益を守る」を第一に、お客様の大切な資産の保護を通じ、社会のセキュリティレベル向上に向けて各種取り組みを行っています。

情報セキュリティ株式会社ではセキュリティ体制づくりのために7つのカテゴリに分けて取り組んでいます

人的資源セキュリティ 物理的及び環境的セキュリティ 資産のセキュリティ ネットワークセキュリティ 運用のセキュリティ 情報セキュリティインシデントの管理 規程の管理

人的資源セキュリティ

会社の主力である人的資源に関するセキュリティの確保は不可欠です。
弊社は雇用前に厳正な選考を行い、入社が決定したら、機密保持誓約書の締結をします。入社後はセキュリティ教育を徹底して行い、在職中にも、トレーニングや最新のセキュリティニュースを共有するなどして、従業員のセキュリティ意識向上に努めています。雇用終了や部署移動に伴い、必要に応じて誓約書の再締結を行うほか、貸与品、アクセス権限の回収・再配置を実施します。

物理的及び環境的セキュリティ

原則、部署ごとで物理的に離れた場所で職務に従事します。また、入館(入室)カードのアクセス権限は個別に設定され、適切に制限されています。
共有スペース、重要なエリアには監視カメラを設置しているほか、セキュリティリスクの高い部屋には生体認証機器、暗証番号付きのキーボックスを導入しています。

資産のセキュリティ

資産は、主に総務法務部が管理しています。個別の資産について、購入、貸出、在庫、返却などのステータスと詳細を記録しています。また、取り外し可能な媒体にEPP(Endpoint Protection Platform)をインストールし、アクセス制限を行うことで、セキュアにコントロールしています。
一方、退職した元従業員や関係者などから回収した機器については、状態の確認とデータのバックアップ処理を行った後、次回貸与時に備え、データとアカウントを完全にクリアにします。
なお、データの持ち込みと持ち出し等については、規程で規制しています。さらに、内部の情報漏えい対策として、従業員・関係者のPC使用状況、ファイルサーバへのアクセス状況や操作内容を監視できるシステムを導入しています。

ネットワークセキュリティ

  1. 内部から内部、外部から内部向けの安全な通信を確保できるよう、多様なセキュリティ製品を導入しています。コンテンツフィルタリングからセキュリティスイッチまでを用いた「統合脅威管理」で危険な通信を防いでいます。
  2. 部署ごとに、ネットワーク分離を行い、セキュリティ制限を設けることで、部署を超えたマルウェアの感染リスクを低減しています。
  3. ネットワークふるまい監視を24時間365日実施しており、万が一不正通信が発見された場合には、アラート機能で通知されます。同時にマルウェア等に感染した端末の切り離しが自動で実行され、感染拡大を阻止します。
  4. ネットワーク、サーバの冗長化(バックアップ)により耐障害性を高め、運用の安全性を確保しています。
  5. ログサーバを設置しており、イベントログの取得により監視・分析が可能です。
  6. 内部不正対策のため証跡管理システムを導入しており、クライアントの疑わしい挙動が容易に発見できます。

運用のセキュリティ

  1. ネットワーク、システム運用ルールを厳格に定めています。
  2. 安全性が高いパスワードの使用と定期的なパスワードの変更を徹底しています。
  3. 運用業務担当のエンジニアは、常に新たな攻撃手法、セキュリティ事故、脅威情報の入手に努めています。また、社内の代表者が国内外の重要なセミナーに参加して最前線の情報を入手し、社内で共有しています。
  4. 運用ソフトウェアに関する脆弱性情報を随時確認し、セキュリティパッチを速やかに適用しています。
  5. 社内ネットワークトラフィックの分析を通して、自己アセスメント(自社ネットワークの評価)を行い、自社のセキュリティの維持・向上に取り組んでいます。

情報セキュリティインシデントの管理

  1. インシデント予防と早期検知を目指すSOCチームが活動しています。
  2. 対応範囲:監視・発見、エスカレーション
  3. インシデント対応と早期収束を目指すiSEC-CSIRT室が活動しています。
  4. 対応範囲:攻撃の回避・防衛、調査分析、報告
  5. 相互学習及び情報共有のため、外部との連携を積極的に行っています。
  6. 活動例:
    • 日本シーサート協議会への入会
    • サイバーセキュリティ協議会への入会
    • 第三者から情報セキュリティマネジメントシステムの認証を受ける、もしくは維持のための審査を、毎年受ける(2020年6月、ISO/IEC27001:2013, JIS Q 27001:2014を更新)

規程の管理

情報セキュリティに関する規程が整備され、従業員が閲覧できる形で公開されています。なお、同規程は全従業員向けと運用エンジニアおよび監査人向けの二種類が用意されています。加えて、規程内の重要な点に関しては、入社時に詳細な説明を行っています。
また、日常業務のなかで、規程に従って職務を遂行しているかどうか、不定期的に確認を行っています。

iSEC-SIRT室の活動

iSEC-SIRT室では、CISO(情報セキュリティ管理責任者)のもと、インシデント発生時の対応のほか、社内のセキュリティに関する意識向上教育やトレーニングを担当します。
iSEC-SIRT室の活動

  • 組織内でのセキュリティインシデントの窓口として、インシデント発生時の対応を一元的に引き受け、事態の早期収束を支援
  • 組織内のセキュリティに関する意識向上教育・訓練の定期的な実施
  • 内部不正に関わる疑わしい行動の監視
  • 新たな攻撃手法、重大なセキュリティ事故や脅威情報、脆弱性の情報の収集、分析
  • 外部組織との情報連携

サイバーセキュリティの独自研究

情報セキュリティ対策に関する研究開発 iSECでは、2016年4月に代表取締役社長直轄部門として「サイバーセキュリティ研究調査室」を開設しました。ここでは、サイバー攻撃やそれに関連する最新技術、サイバーセキュリティ先進国での対策事例・市場動向などの研究調査を行っています。 調査結果は、情報セキュリティレベルとITリテラシ向上のために広く皆さまにお役立ていただきたいと考えています。社内にてノウハウを蓄積することに留まらず「情報発信による社会貢献」を重視し、研究成果を公開しています。

https://isec.ne.jp/research/

「サイバーセキュリティ経営ガイドライン」への準拠

弊社におけるセキュリティに関する取り組みは、経済産業省と独立行政法人情報処理推進機構(IPA)が策定した「サイバーセキュリティ経営ガイドライン」にのっとって実践されています。
当指針は、企業がITの利活用を推進していく中で、経営者が認識すべきサイバーセキュリティに関する原則や、経営者のリーダーシップによって取り組むべき項目について取りまとめたもので、具体的には、経営者のリーダーシップの下での体制整備と対策の進め方、社会やステークホルダーに対する情報開示の在り方等が示されています。

参考:経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」https://www.meti.go.jp/policy/netsecurity/mng_guide.html

引用元:独立行政法人情報処理推進機構(IPA)