有価証券報告書-第179期(2024/04/01-2025/03/31)
②戦略・施策
当社グループは、DX事業の加速やグローバル事業を拡大するため、自社や顧客の安心・安全を守るだけでなく、サプライチェーン全体でビジネスを加速するための情報セキュリティを目指し、「監理・統制の徹底」「技術的な対策」「人財育成」の3つの側面で取り組みを進めております。
1) 監理・統制の徹底
a セキュリティベースライン評価を用いたグローバル統制
グループ全体として統制のとれた情報セキュリティ強化のため、全グループ会社を対象に当社グループ情報セキュリティ基本規程をもとにしたベースライン評価を実施しております。評価では、組織的・人的・物理的・技術的対策、インシデント対応、個人情報保護の成熟度を採点し、改善計画を策定、その進捗をモニタリングし、グループ全体のセキュリティ水準向上を目指しております。評価結果は、事業会社・部門、グループ全体の施策へ反映させております。
また、特に海外企業買収などの際は、当社規程との整合を確認し、必要に応じ整備・改善を行い、グループ全体での情報セキュリティの統制を図っております。
b サイバーセキュリティインシデント対応体制
当社グループでは、サイバーセキュリティインシデント対応専門チーム「TOPPAN-CERT」を中心とした、インシデントに迅速に対応するグローバル体制を整えております。TOPPAN-CERTは、内閣サイバーセキュリティセンター(NISC)と日本シーサート協議会(NCA)が主催する連携分野横断的演習に毎年参加し、実際にサイバー攻撃を受けた場面を想定した演習を行っております。CERTメンバーが中心となって対応を行い、演習後には振り返りを実施することで、対応手順や課題を検証し、サイバー攻撃を受けた際の対応手順の改善に役立てております。
c 委託先認定監査
当社グループでは、個人情報や機密情報の取り扱いを含む一部業務の外部委託や、他社クラウドサービスの活用の際に、委託先を当社グループのセキュリティ基準に適合させるため、委託する業務内容や情報の種類に応じた外部委託先を認定する制度の導入やクラウドサービスの安全性確認を行い、サプライチェーンリスクの低減を図っております。
2) 技術的な対策
a 個人情報・機密情報の厳重な取り扱い
個人情報取り扱い業務及び機密情報取り扱い業務は、入退室管理や監視カメラが設置されたセキュリティエリア内で行うこととし、セキュリティエリアの運用管理ルールは定期的に更新し新たなリスクに対応しております。あわせて、現場での日常的なチェックと、定期的な内部監査によって、セキュリティレベルの維持向上を図っております。
b 外部からのモニタリングによるサイバーセキュリティの強化
当社グループに対するサイバー攻撃の兆候や外部から見つけられる可能性のある脆弱性を早期に発見するため、セキュリティレーティングサービスや脅威インテリジェンスを活用した攻撃者視点での外部からのモニタリングと、OSINT(Open Source Intelligence)の活動を継続しております。当社グループだけでなく、個人情報・機密情報を取り扱う委託先にも対象を広げ、サプライチェーン全体でのセキュリティ強化にも努めております。
c 工場のセキュリティ強化
スマートファクトリー化に伴い様々なモノがネットワークと繋がることになり、これまで以上にサイバー攻撃の可能性が高まります。そのため当社グループでは、2023年6月に工場セキュリティガイドラインを発行し、自社工場内のネットワークやサーバの設定、ログやバックアップの取得のような工場で実施すべき具体的なセキュリティ対策を示すとともに、この内容を従業員に周知・教育することでセキュリティ強化を図っております。
3) 人財育成
a セキュリティ人財の育成
当社グループでは、従業員の情報セキュリティリテラシーの向上に加え、情報セキュリティ戦略の達成に求められる人財像を以下のように設定し、育成・確保に努めております。
・「専門セキュリティ人財」:当社グループのセキュリティを支える人財として、セキュリティを専門とする業務従事者及び情報処理安全確保支援士やCISSP(Certified Information Systems Security Professional)などの有資格者
・「プラスセキュリティ人財」:各職域・業務のセキュリティを支える人財として、情報セキュリティに係る業務従事者として情報セキュリティマネジメント試験合格者やベンダーによる研修修了者・有資格者
b 専門セキュリティ人財育成プログラム
当社グループは企業・公共機関を対象に、サイバーセキュリティ人財育成プログラム及び組織のセキュリティ向上サービスを提供する株式会社Armorisを設立し、実戦的な人財育成プログラムを継続して展開しております。
個人向けプログラムは、長期間継続的にトレーニングを行える「DOJO」、最新のテーマに沿った事例やケーススタディが学べる「DOJO Lite」「DOJO Shot」に加え、2024年度は実際に手を動かし学ぶ「ショートハンズオン」を新たに開発いたしました。
団体向けプログラムは、インシデント対応を実際に体験する実戦的な「DOJO CORE」に加え、2024年度は啓発を目的とするワークショップを新たに開発いたしました。
当社グループ自らはもちろん、日本における個人と組織のセキュリティ能力向上を目指しております。
当社グループは、DX事業の加速やグローバル事業を拡大するため、自社や顧客の安心・安全を守るだけでなく、サプライチェーン全体でビジネスを加速するための情報セキュリティを目指し、「監理・統制の徹底」「技術的な対策」「人財育成」の3つの側面で取り組みを進めております。
1) 監理・統制の徹底
a セキュリティベースライン評価を用いたグローバル統制
グループ全体として統制のとれた情報セキュリティ強化のため、全グループ会社を対象に当社グループ情報セキュリティ基本規程をもとにしたベースライン評価を実施しております。評価では、組織的・人的・物理的・技術的対策、インシデント対応、個人情報保護の成熟度を採点し、改善計画を策定、その進捗をモニタリングし、グループ全体のセキュリティ水準向上を目指しております。評価結果は、事業会社・部門、グループ全体の施策へ反映させております。
また、特に海外企業買収などの際は、当社規程との整合を確認し、必要に応じ整備・改善を行い、グループ全体での情報セキュリティの統制を図っております。
b サイバーセキュリティインシデント対応体制
当社グループでは、サイバーセキュリティインシデント対応専門チーム「TOPPAN-CERT」を中心とした、インシデントに迅速に対応するグローバル体制を整えております。TOPPAN-CERTは、内閣サイバーセキュリティセンター(NISC)と日本シーサート協議会(NCA)が主催する連携分野横断的演習に毎年参加し、実際にサイバー攻撃を受けた場面を想定した演習を行っております。CERTメンバーが中心となって対応を行い、演習後には振り返りを実施することで、対応手順や課題を検証し、サイバー攻撃を受けた際の対応手順の改善に役立てております。
c 委託先認定監査
当社グループでは、個人情報や機密情報の取り扱いを含む一部業務の外部委託や、他社クラウドサービスの活用の際に、委託先を当社グループのセキュリティ基準に適合させるため、委託する業務内容や情報の種類に応じた外部委託先を認定する制度の導入やクラウドサービスの安全性確認を行い、サプライチェーンリスクの低減を図っております。
2) 技術的な対策
a 個人情報・機密情報の厳重な取り扱い
個人情報取り扱い業務及び機密情報取り扱い業務は、入退室管理や監視カメラが設置されたセキュリティエリア内で行うこととし、セキュリティエリアの運用管理ルールは定期的に更新し新たなリスクに対応しております。あわせて、現場での日常的なチェックと、定期的な内部監査によって、セキュリティレベルの維持向上を図っております。
b 外部からのモニタリングによるサイバーセキュリティの強化
当社グループに対するサイバー攻撃の兆候や外部から見つけられる可能性のある脆弱性を早期に発見するため、セキュリティレーティングサービスや脅威インテリジェンスを活用した攻撃者視点での外部からのモニタリングと、OSINT(Open Source Intelligence)の活動を継続しております。当社グループだけでなく、個人情報・機密情報を取り扱う委託先にも対象を広げ、サプライチェーン全体でのセキュリティ強化にも努めております。
c 工場のセキュリティ強化
スマートファクトリー化に伴い様々なモノがネットワークと繋がることになり、これまで以上にサイバー攻撃の可能性が高まります。そのため当社グループでは、2023年6月に工場セキュリティガイドラインを発行し、自社工場内のネットワークやサーバの設定、ログやバックアップの取得のような工場で実施すべき具体的なセキュリティ対策を示すとともに、この内容を従業員に周知・教育することでセキュリティ強化を図っております。
3) 人財育成
a セキュリティ人財の育成
当社グループでは、従業員の情報セキュリティリテラシーの向上に加え、情報セキュリティ戦略の達成に求められる人財像を以下のように設定し、育成・確保に努めております。
・「専門セキュリティ人財」:当社グループのセキュリティを支える人財として、セキュリティを専門とする業務従事者及び情報処理安全確保支援士やCISSP(Certified Information Systems Security Professional)などの有資格者
・「プラスセキュリティ人財」:各職域・業務のセキュリティを支える人財として、情報セキュリティに係る業務従事者として情報セキュリティマネジメント試験合格者やベンダーによる研修修了者・有資格者
b 専門セキュリティ人財育成プログラム
当社グループは企業・公共機関を対象に、サイバーセキュリティ人財育成プログラム及び組織のセキュリティ向上サービスを提供する株式会社Armorisを設立し、実戦的な人財育成プログラムを継続して展開しております。
個人向けプログラムは、長期間継続的にトレーニングを行える「DOJO」、最新のテーマに沿った事例やケーススタディが学べる「DOJO Lite」「DOJO Shot」に加え、2024年度は実際に手を動かし学ぶ「ショートハンズオン」を新たに開発いたしました。
団体向けプログラムは、インシデント対応を実際に体験する実戦的な「DOJO CORE」に加え、2024年度は啓発を目的とするワークショップを新たに開発いたしました。
当社グループ自らはもちろん、日本における個人と組織のセキュリティ能力向上を目指しております。