有価証券報告書-第123期(2023/01/01-2023/12/31)
⦅戦略⦆
1.情報システムセキュリティ対策
当社は、情報セキュリティの三要素といわれる「機密性」「完全性」「可用性」※2を保持するための施策に取り組んでいます。内部からの情報漏洩対策として、最重要情報はセキュリティを強化した専用のシステムに保管し、アクセス制限や利用状況の記録を徹底しています。また、社外から自社の情報資産に安全にアクセスできる環境を構築した上で、メールのファイル添付送信やPC・記録メディアの社外持ち出しを管理しています。また、外部からのサイバー攻撃対策として、マルウェア※3などが添付された不審メールの侵入監視、社内からインターネットへの不正通信の監視を実施し、攻撃被害の拡大防止に努めています。さらに、サイバー攻撃を想定した対応訓練(NISC※4/NCA※5連携 分野横断的演習)に2017年より毎年参加し、障害対応体制の強化を図っています。また、セキュリティツールベンダーと毎月サイバーセキュリティリスクのトレンド・対策に関する情報共有も実施しております。
※2 機密性:許可された者だけが情報にアクセスできるようにすること
完全性:情報や処理方法が正確で、改ざんされないよう保護すること
可用性:許可された者が必要とする時に情報にアクセスできるようにすること
※3 不正かつ有害な動作を行う意図で作成された悪意のあるソフトウエア。コンピューターウイルス、ランサム
ウェアなど
※4 National center of Incident readiness and Strategy for Cybersecurity(内閣サイバーセキュリティセ
ンター)の略
※5 Nippon CSIRT Association(日本シーサート協議会)の略
2.生産設備の情報セキュリティ対策
当社は、マルウェアやサイバー攻撃によって工場の生産設備に稼働障害が発生し、生産計画に問題が生じることがないよう、生産設備の情報セキュリティ対策に取り組んでいます。従来、サイバー攻撃の対象は企業の業務システムやWebシステムなどの情報システムが主体でしたが、生産設備においても汎用OSの利用やIoT化が進み、情報システムと同等の情報セキュリティリスクが生じています。生産設備の運用期間は汎用OSのサポート期間よりも長期にわたり、情報システムとは別のセキュリティ対策が必要となるため、当社および国内外のグループ生産会社では、ウイルス感染などによる操業停止に陥らないよう、生産設備系ネットワークの不正通信監視を行っています。また、生産設備についてもセキュリティ監査を実施し、安全な生産環境の維持を図っています。
3.従業員の意識の向上をめざす情報セキュリティ教育
当社は、情報セキュリティの維持・向上のため、情報システムの利用者である従業員の意識向上にも注力しています。定期入社者、中途入社者ともに集合教育を通じて当社の情報セキュリティに関する施策やルールの徹底を図っています。また、毎年、全従業員を対象として、eラーニングによる情報セキュリティ研修を実施しています。2023年は当社の従業員全員の約2万4,000人が受講しました。研修内容は、現在主な脅威となっているウイルス感染の事例を確認し、インターネット・SNS利用時における注意点など、従業員の情報セキュリティリテラシー※6を向上させるものとなっています。また、当社およびグループ会社ののべ約6万人の従業員に対し、不審メールを受け取った際に適切に対処し被害を拡大させないための実践教育として標的型攻撃メール対応訓練も実施しました。特に、メールでの業務に慣れていない新入社員については、別途訓練を実施し、教育を強化しています。
※6 セキュリティ対策を実行する時に知っておくべき知識やスキル
4.情報セキュリティマネジメント体制
情報セキュリティインシデントに対処する専門チームCSIRT※7(シーサート)を2015年に当社情報通信システム本部内に設置しました。同時に、日本シーサート協議会(NCA)に加盟し、他社CSIRT組織との連携強化を図っています。また、当社では情報セキュリティ部門を対象として、情報セキュリティマネジメントシステムの構築・運用の国際規格ISO27001の外部認証を取得しています。
サードパーティのクラウドサービスを利用する際には、情報通信システム本部が当該サービスのセキュリティリスクを事前評価し、利用を許可するプロセスを運用しています。また利用開始後も、毎年1回同様のプロセスを実施することにより、継続的なリスク低減を図っています。
※7 Computer Security Incident Response Teamの略。コンピューターセキュリティにかかる事件・事故に対処
するための組織の総称
1.情報システムセキュリティ対策
当社は、情報セキュリティの三要素といわれる「機密性」「完全性」「可用性」※2を保持するための施策に取り組んでいます。内部からの情報漏洩対策として、最重要情報はセキュリティを強化した専用のシステムに保管し、アクセス制限や利用状況の記録を徹底しています。また、社外から自社の情報資産に安全にアクセスできる環境を構築した上で、メールのファイル添付送信やPC・記録メディアの社外持ち出しを管理しています。また、外部からのサイバー攻撃対策として、マルウェア※3などが添付された不審メールの侵入監視、社内からインターネットへの不正通信の監視を実施し、攻撃被害の拡大防止に努めています。さらに、サイバー攻撃を想定した対応訓練(NISC※4/NCA※5連携 分野横断的演習)に2017年より毎年参加し、障害対応体制の強化を図っています。また、セキュリティツールベンダーと毎月サイバーセキュリティリスクのトレンド・対策に関する情報共有も実施しております。
※2 機密性:許可された者だけが情報にアクセスできるようにすること
完全性:情報や処理方法が正確で、改ざんされないよう保護すること
可用性:許可された者が必要とする時に情報にアクセスできるようにすること
※3 不正かつ有害な動作を行う意図で作成された悪意のあるソフトウエア。コンピューターウイルス、ランサム
ウェアなど
※4 National center of Incident readiness and Strategy for Cybersecurity(内閣サイバーセキュリティセ
ンター)の略
※5 Nippon CSIRT Association(日本シーサート協議会)の略
2.生産設備の情報セキュリティ対策
当社は、マルウェアやサイバー攻撃によって工場の生産設備に稼働障害が発生し、生産計画に問題が生じることがないよう、生産設備の情報セキュリティ対策に取り組んでいます。従来、サイバー攻撃の対象は企業の業務システムやWebシステムなどの情報システムが主体でしたが、生産設備においても汎用OSの利用やIoT化が進み、情報システムと同等の情報セキュリティリスクが生じています。生産設備の運用期間は汎用OSのサポート期間よりも長期にわたり、情報システムとは別のセキュリティ対策が必要となるため、当社および国内外のグループ生産会社では、ウイルス感染などによる操業停止に陥らないよう、生産設備系ネットワークの不正通信監視を行っています。また、生産設備についてもセキュリティ監査を実施し、安全な生産環境の維持を図っています。
3.従業員の意識の向上をめざす情報セキュリティ教育
当社は、情報セキュリティの維持・向上のため、情報システムの利用者である従業員の意識向上にも注力しています。定期入社者、中途入社者ともに集合教育を通じて当社の情報セキュリティに関する施策やルールの徹底を図っています。また、毎年、全従業員を対象として、eラーニングによる情報セキュリティ研修を実施しています。2023年は当社の従業員全員の約2万4,000人が受講しました。研修内容は、現在主な脅威となっているウイルス感染の事例を確認し、インターネット・SNS利用時における注意点など、従業員の情報セキュリティリテラシー※6を向上させるものとなっています。また、当社およびグループ会社ののべ約6万人の従業員に対し、不審メールを受け取った際に適切に対処し被害を拡大させないための実践教育として標的型攻撃メール対応訓練も実施しました。特に、メールでの業務に慣れていない新入社員については、別途訓練を実施し、教育を強化しています。
※6 セキュリティ対策を実行する時に知っておくべき知識やスキル
4.情報セキュリティマネジメント体制
情報セキュリティインシデントに対処する専門チームCSIRT※7(シーサート)を2015年に当社情報通信システム本部内に設置しました。同時に、日本シーサート協議会(NCA)に加盟し、他社CSIRT組織との連携強化を図っています。また、当社では情報セキュリティ部門を対象として、情報セキュリティマネジメントシステムの構築・運用の国際規格ISO27001の外部認証を取得しています。
サードパーティのクラウドサービスを利用する際には、情報通信システム本部が当該サービスのセキュリティリスクを事前評価し、利用を許可するプロセスを運用しています。また利用開始後も、毎年1回同様のプロセスを実施することにより、継続的なリスク低減を図っています。
※7 Computer Security Incident Response Teamの略。コンピューターセキュリティにかかる事件・事故に対処
するための組織の総称
10年以上蓄積したファイナンスデータとAIを掛け合わせて、投資の意思決定を加速させるポジションです。
