有価証券報告書-第213期(2024/04/01-2025/03/31)

(3) リスク管理
・当行ではシステムを構築する際に、下記ステップで全てのシステムにおいてリスク評価や残存リスクへの対応を実施しています。

ステップ1	構築するシステムを「機密性、完全性、可用性」の観点で重要度をスコアリング
ステップ2	スコアリング結果を受けて「インターネット接続があり」かつ「重要度が高い」システムについては、サイバーセキュリティの観点で「固有リスク評価※」(要求レベル)を実施 ※固有リスク評価は、Ddos攻撃や不正アクセス等のサイバー攻撃別に「発生可能性×影響度」から各攻撃に対するリスク評価を実施
ステップ3	ITベンダーにサイバー攻撃別のセキュリティ対策の状況(対策レベル)を確認
ステップ4	「要求レベル」と「対策レベル」のギャップ(残存リスク)の有無を確認し、必要に応じて対応を実施

また、システムの重要度に応じて外部専門家による脆弱性診断を実施し、第三者評価の結果に基づいた対策の強化に継続的に取組んでいます。当行では、脆弱性情報に基づく影響調査やサイバー訓練等の平常時の対応を「広義のインシデント対応」と捉え、AWA-CSIRTで情報共有・実践することで有事の際に実効性のある取組みを行っています。