セキュリティ体制

情報セキュリティ株式会社のセキュリティ体制に関する取り組み
情報セキュリティ株式会社(iSEC)は、情報セキュリティの専門企業として、業界最高水準に基づいたセキュリティ対策を徹底的に実施しています。
当社のミッションである「顧客満足を追求し、顧客およびパートナーの利益を守る」を最優先に掲げ、お客様の大切な資産を保護することを通じて、社会全体のセキュリティレベル向上に貢献するため、さまざまな取り組みを行っています。

情報セキュリティ株式会社ではセキュリティ体制づくりのために7つのカテゴリに分けて取り組んでいます

人的資源セキュリティ 物理的及び環境的セキュリティ 資産のセキュリティ ネットワークセキュリティ 運用のセキュリティ 情報セキュリティインシデントの管理 規程の管理

人的資源セキュリティ

会社にとって最も重要な資産である人材およびその情報を保護するためには、セキュリティ対策の徹底が不可欠です。
当社では、雇用前に厳正な選考を実施し、入社決定時には機密保持誓約書を締結しています。入社後は、体系的なセキュリティ教育を徹底するとともに、在職中も継続的なトレーニングや最新のセキュリティニュースの共有を通じて、従業員のセキュリティ意識向上に努めています。
また、雇用終了や部署異動の際には、必要に応じて誓約書の再締結を行うほか、貸与品およびアクセス権限の回収・再設定を確実に実施しています。

物理的及び環境的セキュリティ

原則として、各部署は物理的に分離された場所で業務を行っています。
また、入館(入室)カードのアクセス権限は個別に設定し、職務内容に応じて適切に制限しています。
共有スペースおよび重要エリアには監視カメラを設置するとともに、セキュリティリスクの高い部屋については、生体認証機器を導入し、入退室管理を強化しています。

資産のセキュリティ

資産は主にサービスデスクが一元管理しています。各資産については、購入、貸出、在庫、返却などのステータスを定義し、履歴を含めて詳細に記録しています。
退職した従業員や関係者から回収した機器については、状態確認および必要なデータのバックアップを実施した後、次回貸与に備えて、保存データおよび関連アカウントを完全に削除し、初期化(リセット)を行います。

なお、データの持ち込み・持ち出しについては規程を定め、適切に制限しています。
さらに、内部不正や情報漏えい対策として、従業員および関係者の PC 利用状況、ファイルサーバへのアクセス状況や操作内容を監視可能なシステムを導入しています。

ネットワークセキュリティ

  1. 内部から内部、ならびに外部から内部への通信において安全性を確保するため、複数のセキュリティ製品を組み合わせて導入しています。
    コンテンツフィルタリングからセキュリティスイッチまでを含む「統合脅威管理」により、不正または危険な通信を多層的に防止しています。
  2. 部署ごとにネットワーク分離を実施し、適切なセキュリティ制限を設けることで、部署をまたいだマルウェア感染リスクの低減を図っています。
  3. ネットワークのふるまい監視を24時間365日体制で実施しており、不正通信を検知した場合にはアラートにより即時通知されます。同時に、マルウェア等に感染した端末を自動的にネットワークから切り離し、感染拡大を防止します。
  4. ネットワークおよびサーバの冗長化(バックアップ)により耐障害性を高め、安定かつ安全な運用を確保しています。
    ログサーバを設置し、各種イベントログを取得・保管することで、継続的な監視および分析を可能としています。
  5. 内部不正対策として証跡管理システムを導入しており、クライアント端末の不審な挙動を迅速かつ容易に検出できる体制を構築しています。

運用のセキュリティ

  1. ネットワークおよびシステムの運用ルールを厳格に定め、統一された基準に基づく運用を行っています。
  2. 安全性の高いパスワードの使用を必須とし、定期的なパスワード変更を徹底しています。
  3. 運用業務を担当するエンジニアは、常に最新の攻撃手法、セキュリティ事故、脅威情報の収集に努めています。
  4. 社内の代表者が国内外の重要なセミナーやカンファレンスに参加し、最前線の知見を入手したうえで、社内への共有を行っています。
  5. 運用ソフトウェアに関する脆弱性情報を継続的に確認し、必要なセキュリティパッチを迅速に適用しています。
  6. 社内ネットワークトラフィックの分析を通じた自己アセスメント(自社ネットワーク評価)を定期的に実施し、セキュリティレベルの維持および継続的な向上に取り組んでいます。

情報セキュリティインシデントの管理

  1. インシデントの予防および早期検知を目的として、SOC(Security Operation Center)チームが活動しています。
    SOC チームは、セキュリティ監視、インシデントの検知および初動対応、ならびに必要に応じたエスカレーションを担当しています。
  2. インシデント発生時の迅速な対応と早期収束を目的として、iSEC-SIRT(Security Incident Response Team)が活動しています。
    iSEC-SIRT は、攻撃の回避・防御対応、原因調査および分析、ならびに関係者への報告を含むインシデント対応全般を担っています。
  3. 相互学習および最新情報の共有を目的として、外部組織との連携を積極的に推進しています。主な活動内容は以下のとおりです。
    • 日本シーサート協議会への入会
    • サイバーセキュリティ協議会への入会
    • 情報セキュリティマネジメントシステム(ISMS)の維持

規程の管理

情報セキュリティに関する規程を整備し、従業員がいつでも閲覧できる形で公開しています。
当該規程は、全従業員向けの規程と、運用エンジニアおよび監査人向けの規程の二種類を用意し、対象者の役割に応じた内容としています。
また、規程のうち特に重要な事項については、入社時に詳細な説明を実施しています。

さらに、日常業務において規程に沿った職務遂行がなされているかについて、不定期に確認を行い、規程遵守の徹底を図っています。

iSEC-SIRTの活動

iSEC-SIRT は、CISO(情報セキュリティ管理責任者)の統括のもと、インシデント発生時の対応を担うとともに、社内におけるセキュリティ意識向上を目的とした教育およびトレーニングの企画・実施を担当しています。
iSEC-SIRT室の活動

iSEC-SIRT の主な役割は以下のとおりです。

  • 組織内におけるセキュリティインシデントの窓口として、インシデント発生時の対応を一元的に担い、事態の早期収束を支援
  • 組織内のセキュリティ意識向上を目的とした教育および訓練の定期的な実施
  • 内部不正に関わる疑わしい行動の監視
  • 新たな攻撃手法、重大なセキュリティ事故、脅威情報および脆弱性情報の収集・分析外部組織との情報連携および情報共有

「サイバーセキュリティ経営ガイドライン」への準拠

弊社におけるセキュリティへの取り組みは、経済産業省および独立行政法人情報処理推進機構(IPA)が策定した「サイバーセキュリティ経営ガイドライン」に準拠して実践されています。
本ガイドラインは、企業が IT の利活用を推進するにあたり、経営者が認識すべきサイバーセキュリティに関する基本原則や、経営者のリーダーシップのもとで取り組むべき事項を整理したものです。
具体的には、経営主導による体制整備や対策の進め方、ならびに社会やステークホルダーに対する情報開示の在り方などが示されており、弊社はこれらの考え方を踏まえたセキュリティ施策を継続的に実施しています。

参考:経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」https://www.meti.go.jp/policy/netsecurity/mng_guide.html