有価証券報告書-第106期(2024/04/01-2025/03/31)
②戦略
当社では、内外環境に応じたサイバーセキュリティリスクに関する重要性の高まりに応じ、全社的なデジタル・グランドデザイン戦略の一環として「三井物産サイバーセキュリティ戦略」を2025年3月期に策定しました。サイバーセキュリティ専門子会社である三井物産セキュアディレクション及び情報システム子会社である三井情報の知見を活用しながら、同戦略に基づくサイバーセキュリティ対策強化をグローバル・グループで推進しています。
(a) <トップダウン>サイバーセキュリティの経営アジェンダ化
サイバーセキュリティ対策の実行にあたっては内部統制の重要要素として位置付け、経営層(特に、関係会社)を巻込み、グループ全体の統合リスク管理の一部として推進しています。具体的には、毎年情報戦略委員会、経営会議、取締役会への報告・議論を行うと共に、関係会社経営層に向けても年次の説明会、ワークショップを通じた啓発等を行っています。
(b) <守り>全社共通・最低限のセキュリティ対策(Baseline)確保
グループ全体のサイバーセキュリティに係るBaselineの確保・最適化を進めています。具体的には米国国立標準技術研究所(National Institute of Standards and Technology)のサイバーセキュリティフレームワークに沿って対策を立案・実行し、三井物産セキュアディレクションの知見を活用しながら、「予防」「鍛錬」「処置」の3つのステップに分けて対策を講じています。
予防:サイバーハイジーン(IT公衆衛生)が重要と考えており、IT環境を健全な状態に保つ活動として、IT資産の状態把握のためのインベントリの適切な管理や、攻撃の糸口になる箇所を掌握する脆弱性管理などに取り組んでいます。
鍛錬:「ゼロトラスト」(ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証するセキュリティ対策)の考え方に基づき、ID、デバイス、データ、ネットワーク、クラウド等の各IT領域でのセキュリティ対策を強化しています。また、グローバルでの24時間365日のセキュリティ監視、及び有事の際の対応体制を構築・維持・拡充しています。
処置:MBK-CSIRT(Computer Security Incident Response Team)を中心に各部門のサイバーセキュリティ担当と連携し、報告・支援する仕組を確立、組織的・継続的なインシデント対応、再発防止を実現しています。また、被害の規模や深刻度に応じたセキュリティインシデント発生時の対応を定め、必要に応じた有効性確認のための訓練を定期的に実施しています。
(c) <攻め>事業価値の維持・継続と成長への貢献
当社DXに係るサイバーセキュリティ対策へのプロアクティブな個別支援による競争力確保・付加価値向上を進めています。具体的には、当社DX案件に関するセキュリティ相談窓口の設置による案件組成段階からの助言・支援(セキュリティ・バイ・デザイン)を実施しています。また、昨今の生成AIの急速な進化を受け、当社における生産性及び事業価値の向上を目指し生成AIの活用を進めており、今期、全社共通AIとしてMicrosoft 365 Copilotの利用を開始しました。さらに、各業務や事業に特化した生成AIプロジェクトを推進中です。これら生成AIの活用にあたり、社内データにおけるアクセス権管理の再点検、生成AIの利用及び提供に関するリスクガイドラインの策定や生成AI利用上の注意点をまとめたe-Learningを受講必須とする等のリスク対策を実施しています。また、当社標準外の生成AIを社員が利用する際には申請制とし、AIモデルによる入力情報の再学習、サービス提供者による入力・出力情報の監視が無い生成AIの利用を推奨しています。これら活動を通じて当社グループでのDXや生成AIの安全な利活用促進に貢献しています。
(d) <ボトムアップ>サイバーセキュリティアウェアネスが定着した文化の醸成
各階層・役割に向けた教育・啓発を通じてセキュリティ対策は“当たり前”といった文化・風土の醸成とその仕組みづくりを進めています。具体的にはサイバーセキュリティに関する意識向上、攻撃被害拡大防止を目的として、関係会社を含む役職員に「サイバーセキュリティポータル」を公開し、サイバーセキュリティに関する最近の動向、事例や役職員が取るべき対策等の各種情報を発信しています。また、一般役職員向けとセキュリティ担当者向けそれぞれの「サイバーセキュリティe-Learning」を作成、活用しています。
当社では、内外環境に応じたサイバーセキュリティリスクに関する重要性の高まりに応じ、全社的なデジタル・グランドデザイン戦略の一環として「三井物産サイバーセキュリティ戦略」を2025年3月期に策定しました。サイバーセキュリティ専門子会社である三井物産セキュアディレクション及び情報システム子会社である三井情報の知見を活用しながら、同戦略に基づくサイバーセキュリティ対策強化をグローバル・グループで推進しています。
(a) <トップダウン>サイバーセキュリティの経営アジェンダ化
サイバーセキュリティ対策の実行にあたっては内部統制の重要要素として位置付け、経営層(特に、関係会社)を巻込み、グループ全体の統合リスク管理の一部として推進しています。具体的には、毎年情報戦略委員会、経営会議、取締役会への報告・議論を行うと共に、関係会社経営層に向けても年次の説明会、ワークショップを通じた啓発等を行っています。
(b) <守り>全社共通・最低限のセキュリティ対策(Baseline)確保
グループ全体のサイバーセキュリティに係るBaselineの確保・最適化を進めています。具体的には米国国立標準技術研究所(National Institute of Standards and Technology)のサイバーセキュリティフレームワークに沿って対策を立案・実行し、三井物産セキュアディレクションの知見を活用しながら、「予防」「鍛錬」「処置」の3つのステップに分けて対策を講じています。
予防:サイバーハイジーン(IT公衆衛生)が重要と考えており、IT環境を健全な状態に保つ活動として、IT資産の状態把握のためのインベントリの適切な管理や、攻撃の糸口になる箇所を掌握する脆弱性管理などに取り組んでいます。鍛錬:「ゼロトラスト」(ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証するセキュリティ対策)の考え方に基づき、ID、デバイス、データ、ネットワーク、クラウド等の各IT領域でのセキュリティ対策を強化しています。また、グローバルでの24時間365日のセキュリティ監視、及び有事の際の対応体制を構築・維持・拡充しています。
処置:MBK-CSIRT(Computer Security Incident Response Team)を中心に各部門のサイバーセキュリティ担当と連携し、報告・支援する仕組を確立、組織的・継続的なインシデント対応、再発防止を実現しています。また、被害の規模や深刻度に応じたセキュリティインシデント発生時の対応を定め、必要に応じた有効性確認のための訓練を定期的に実施しています。
(c) <攻め>事業価値の維持・継続と成長への貢献
当社DXに係るサイバーセキュリティ対策へのプロアクティブな個別支援による競争力確保・付加価値向上を進めています。具体的には、当社DX案件に関するセキュリティ相談窓口の設置による案件組成段階からの助言・支援(セキュリティ・バイ・デザイン)を実施しています。また、昨今の生成AIの急速な進化を受け、当社における生産性及び事業価値の向上を目指し生成AIの活用を進めており、今期、全社共通AIとしてMicrosoft 365 Copilotの利用を開始しました。さらに、各業務や事業に特化した生成AIプロジェクトを推進中です。これら生成AIの活用にあたり、社内データにおけるアクセス権管理の再点検、生成AIの利用及び提供に関するリスクガイドラインの策定や生成AI利用上の注意点をまとめたe-Learningを受講必須とする等のリスク対策を実施しています。また、当社標準外の生成AIを社員が利用する際には申請制とし、AIモデルによる入力情報の再学習、サービス提供者による入力・出力情報の監視が無い生成AIの利用を推奨しています。これら活動を通じて当社グループでのDXや生成AIの安全な利活用促進に貢献しています。
(d) <ボトムアップ>サイバーセキュリティアウェアネスが定着した文化の醸成
各階層・役割に向けた教育・啓発を通じてセキュリティ対策は“当たり前”といった文化・風土の醸成とその仕組みづくりを進めています。具体的にはサイバーセキュリティに関する意識向上、攻撃被害拡大防止を目的として、関係会社を含む役職員に「サイバーセキュリティポータル」を公開し、サイバーセキュリティに関する最近の動向、事例や役職員が取るべき対策等の各種情報を発信しています。また、一般役職員向けとセキュリティ担当者向けそれぞれの「サイバーセキュリティe-Learning」を作成、活用しています。