訂正有価証券報告書-第105期(2023/04/01-2024/03/31)
②戦略
当社では、米国国立標準技術研究所(National Institute of Standards and Technology)のサイバーセキュリティフレームワークに沿って対策を立案・実行し、サイバーセキュリティ専門子会社である三井物産セキュアディレクションの知見を活用しながら、「予防」「鍛錬」「処置」の3つのステップに分けて対策を講じています。
(a) 予防
当社ではサイバーハイジーン(IT公衆衛生)が重要と考えており、IT環境を健全な状態に保つと共に、役職員のセキュリティ意識醸成を目指しています。システムの観点では、IT資産の状態把握のためのインベントリの適切な管理や、攻撃の糸口になる箇所を掌握する脆弱性管理などに取り組んでいます。また、人に焦点を当てた啓発活動では、サイバーセキュリティに関する意識向上、攻撃被害拡大防止を目的として、関係会社を含む役職員に「サイバーセキュリティポータル」を公開し、サイバーセキュリティに関する最近の動向、事例や役職員が取るべき対策等の各種情報を発信しています。また、一般役職員向けとセキュリティ担当者向け夫々の「サイバーセキュリティe-Learning」を作成、活用しています。
(b) 鍛錬
当社は、従来の「境界型セキュリティ」(「社内は安全だが、外部は危険」という考えに基づき、社内ネットワークと社外ネットワークの境界線を中心としたセキュリティ対策)から「ゼロトラスト」(ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証するセキュリティ対策)に転換し、デバイス、データ、ネットワーク、クラウド等の各IT領域でのセキュリティ対策を強化しています。また、グローバルでの24時間365日のセキュリティ監視、及び有事の際の対応体制を構築・維持・拡充しています。
(c) 処置
当社は、サイバーセキュリティ対策の中心として「MBK-CSIRT(Computer Security Incident Response Team)」を構築し、各部門のサイバーセキュリティ担当と連携し、報告・支援する仕組を確立、組織的・継続的なインシデント対応、再発防止を実現しています。また、被害の規模や深刻度に応じたセキュリティインシデント発生時の対応を定め、必要に応じた有効性確認のための訓練を定期的に実施しています。
当社では、米国国立標準技術研究所(National Institute of Standards and Technology)のサイバーセキュリティフレームワークに沿って対策を立案・実行し、サイバーセキュリティ専門子会社である三井物産セキュアディレクションの知見を活用しながら、「予防」「鍛錬」「処置」の3つのステップに分けて対策を講じています。
(a) 予防当社ではサイバーハイジーン(IT公衆衛生)が重要と考えており、IT環境を健全な状態に保つと共に、役職員のセキュリティ意識醸成を目指しています。システムの観点では、IT資産の状態把握のためのインベントリの適切な管理や、攻撃の糸口になる箇所を掌握する脆弱性管理などに取り組んでいます。また、人に焦点を当てた啓発活動では、サイバーセキュリティに関する意識向上、攻撃被害拡大防止を目的として、関係会社を含む役職員に「サイバーセキュリティポータル」を公開し、サイバーセキュリティに関する最近の動向、事例や役職員が取るべき対策等の各種情報を発信しています。また、一般役職員向けとセキュリティ担当者向け夫々の「サイバーセキュリティe-Learning」を作成、活用しています。
(b) 鍛錬
当社は、従来の「境界型セキュリティ」(「社内は安全だが、外部は危険」という考えに基づき、社内ネットワークと社外ネットワークの境界線を中心としたセキュリティ対策)から「ゼロトラスト」(ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証するセキュリティ対策)に転換し、デバイス、データ、ネットワーク、クラウド等の各IT領域でのセキュリティ対策を強化しています。また、グローバルでの24時間365日のセキュリティ監視、及び有事の際の対応体制を構築・維持・拡充しています。
(c) 処置
当社は、サイバーセキュリティ対策の中心として「MBK-CSIRT(Computer Security Incident Response Team)」を構築し、各部門のサイバーセキュリティ担当と連携し、報告・支援する仕組を確立、組織的・継続的なインシデント対応、再発防止を実現しています。また、被害の規模や深刻度に応じたセキュリティインシデント発生時の対応を定め、必要に応じた有効性確認のための訓練を定期的に実施しています。