有価証券報告書-第122期(2024/04/01-2025/03/31)

③ リスク管理
A.サイバーインシデント発生時の対応
「サイバー攻撃対応マニュアル」に基づき、ごうぎんCSIRTが連携して対応体制を構築し、影響調査、被害特定、被害拡大防止、お客様対応及び対外広報等が迅速に行えるよう定期的に訓練等を実施し、実効性の向上を図っています。
B.システムリスク(サイバーリスク)の評価
システムを導入する際に、システムリスク評価を実施し、セキュリティ対策の実施状況を確認するとともに、対策を講ずるべき重要なリスクが残存していないか洗い出し、必要に応じて追加対策を要請しています。また、システム稼働後も、定期的にシステムリスク評価を実施し、セキュリティ対策の実施状況をモニタリングしています。
《システムリスク評価の流れ》

1	セキュリティ対策要求水準の策定	あらかじめ、システム重要度に応じたセキュリティ対策の要求水準を策定
2	システム重要度の決定	導入するシステムの取扱情報、障害発生時の影響度等からシステム重要度を決定
3	サイバーセキュリティ対策内容の確認	「システムリスク評価シート」「インターネットシステム調査票」等により、ITベンダーに対し、セキュリティ対策実施状況を確認
4	セキュリティ対策の妥当性確認	セキュリティ対策の妥当性を確認し、要求水準と乖離があれば、必要に応じて対応(改善)を要請
5	セキュリティ診断(脆弱性診断)の実施	システムに脆弱性が残存していないか確認するため、稼働前に必要に応じて、外部専門業者によるセキュリティ診断を実施
6	定期モニタリングの実施	システムの重要度に応じた所定の頻度により、セキュリティ対策が有効に維持されているかモニタリング