有価証券報告書-第16期(2024/04/01-2025/03/31)
② 戦略
ア.リスクコントロール
a.不正アクセス、マルウェア(※)対策
外部からの攻撃に備えるとともに、不正アクセスなどのリスクに対して、多層的な防御策を採用した統合的かつ効果的な施策を実施しています。新たな基準やトレンドについても常に情報を収集し、必要性を見極めながら最適な対策を実施できるよう、情報セキュリティ管理のアップデートを行っています。
※コンピュータウイルスやワーム、ランサムウェアなどの悪意のあるソフトウェアの総称。システムへの侵入や情報の盗難、破壊等を目的とする。
b.情報漏えいリスクへの対策
情報漏えいのリスクを低減するために、個人情報や機密情報を含むファイルは情報保護ツールを用いて暗号化しており、データが漏えいしても関係者以外は内容を閲覧できないように保護する対策を講じています。また、従業員の情報持ち出し管理の強化に加えて、操作ログの取得を行い、社内からの情報漏えいの抑止に努めています。
c.自然災害リスクへの対策
事業の継続性を高めるために、国際的な基準に準拠したクラウド環境の活用を促進し、大地震などの自然災害やサイバー攻撃による基幹システムの停止を防いでいます。また、当社グループ内の各拠点間のネットワークのバックアップ網を強化し、単一障害点を作らない設計と各拠点網の冗長化、バックアップ網の強化を進めています。
イ.社員教育
情報セキュリティ教育や標的型攻撃メール訓練などを定期的に実施し、社員の意識向上とスキル向上に努めています。具体的には、Eラーニングによる情報セキュリティ教育を国内外のグループ会社の全社員を対象に実施しており、受講率は100%を達成しています。また、標的型攻撃メール訓練では、疑似攻撃メールを社員に送信し、適切な対応を学ばせることで、攻撃に対する認識と対応力を強化しています。訓練結果においては、開封率及び報告率のいずれにおいても、国内日本企業の平均より対応力が高く、令和6年度は令和5年度と比較して改善が見られており、継続的な教育効果が認められています。
ウ.国内外グループ会社の管理
グループ各社の社内情報インフラの管理を当社の情報システム部に集約し、責任の明確化と運用の標準化を図ることで、管理体制の強化と運用効率の向上を実現しています。また、社内情報インフラの管理を一元化することで、統一的なセキュリティ運用の実現にも寄与しており、脅威への迅速な対応や情報漏えいリスクの低減を図り、グループ全体の情報資産の安全性を確保しています。これらの取組により、安定した運用と高いセキュリティレベルの維持に努めております。
エ.アクションプランの整備(BCP対策)
情報セキュリティインシデントの事象ごとに検知、初動対応、トリアージ、レスポンスの具体的内容を取りまとめたアクションプランを整備し、有事に備えています。これにより、緊急時にも迅速かつ的確に対応できる体制を整えています。万が一インシデントが発生した場合には、上記(5)情報セキュリティ ① ガバナンス に記載のエスカレーションプロセスに従い、関係部署が連携して対応を行います。
ア.リスクコントロール
a.不正アクセス、マルウェア(※)対策
外部からの攻撃に備えるとともに、不正アクセスなどのリスクに対して、多層的な防御策を採用した統合的かつ効果的な施策を実施しています。新たな基準やトレンドについても常に情報を収集し、必要性を見極めながら最適な対策を実施できるよう、情報セキュリティ管理のアップデートを行っています。
※コンピュータウイルスやワーム、ランサムウェアなどの悪意のあるソフトウェアの総称。システムへの侵入や情報の盗難、破壊等を目的とする。
b.情報漏えいリスクへの対策
情報漏えいのリスクを低減するために、個人情報や機密情報を含むファイルは情報保護ツールを用いて暗号化しており、データが漏えいしても関係者以外は内容を閲覧できないように保護する対策を講じています。また、従業員の情報持ち出し管理の強化に加えて、操作ログの取得を行い、社内からの情報漏えいの抑止に努めています。
c.自然災害リスクへの対策
事業の継続性を高めるために、国際的な基準に準拠したクラウド環境の活用を促進し、大地震などの自然災害やサイバー攻撃による基幹システムの停止を防いでいます。また、当社グループ内の各拠点間のネットワークのバックアップ網を強化し、単一障害点を作らない設計と各拠点網の冗長化、バックアップ網の強化を進めています。
イ.社員教育
情報セキュリティ教育や標的型攻撃メール訓練などを定期的に実施し、社員の意識向上とスキル向上に努めています。具体的には、Eラーニングによる情報セキュリティ教育を国内外のグループ会社の全社員を対象に実施しており、受講率は100%を達成しています。また、標的型攻撃メール訓練では、疑似攻撃メールを社員に送信し、適切な対応を学ばせることで、攻撃に対する認識と対応力を強化しています。訓練結果においては、開封率及び報告率のいずれにおいても、国内日本企業の平均より対応力が高く、令和6年度は令和5年度と比較して改善が見られており、継続的な教育効果が認められています。
ウ.国内外グループ会社の管理
グループ各社の社内情報インフラの管理を当社の情報システム部に集約し、責任の明確化と運用の標準化を図ることで、管理体制の強化と運用効率の向上を実現しています。また、社内情報インフラの管理を一元化することで、統一的なセキュリティ運用の実現にも寄与しており、脅威への迅速な対応や情報漏えいリスクの低減を図り、グループ全体の情報資産の安全性を確保しています。これらの取組により、安定した運用と高いセキュリティレベルの維持に努めております。
エ.アクションプランの整備(BCP対策)
情報セキュリティインシデントの事象ごとに検知、初動対応、トリアージ、レスポンスの具体的内容を取りまとめたアクションプランを整備し、有事に備えています。これにより、緊急時にも迅速かつ的確に対応できる体制を整えています。万が一インシデントが発生した場合には、上記(5)情報セキュリティ ① ガバナンス に記載のエスカレーションプロセスに従い、関係部署が連携して対応を行います。
10年以上蓄積したファイナンスデータとAIを掛け合わせて、投資の意思決定を加速させるポジションです。
