MENUCLOSE

サイバーセキュリティ基本方針

  • HOME
  • サイバーセキュリティ基本方針
  1. 1.

    経営課題としての認識

    1. (1)
      サイバー攻撃の高度化・複雑化、被害が及ぼす影響の大きさ等に鑑み、経営陣はサイバーリスクを当社グループのトップリスクの一つと定義します。
    2. (2)
      経営陣は、金融機関としての信頼性の維持、お客さまの情報資産の保護のため、サイバーセキュリティ対策に万全を期します。
    3. (3)
      経営陣は、最新情勢への理解を深めることを怠らず、DXを進めるうえで必須となるサイバーセキュリティを投資と位置付け、積極的に経営に取り組みます。
    4. (4)
      経営陣はデジタル化に伴うリスクと向き合い、サプライチェーン全体を俯瞰したサイバーセキュリティ強化を経営の重要課題として認識し、リーダーシップを発揮しつつ自らの責任で対策に取り組みます。
  2. 2.

    経営方針の策定と情報開示

    1. (1)
      サイバーセキュリティリスクの特定、サイバー攻撃の防御・検知・対応に加え、サイバーインシデントからの復旧も重視した経営方針や対応規程類を策定し、BCP(事業継続計画)を整備します。
    2. (2)
      経営陣が率先して社内外のステークホルダーに対して、統合報告書等を通じてサイバーセキュリティ強化の取り組みについて開示に努めます。
  3. 3.

    社内外体制の構築・対策の実施

    1. (1)
      経営陣は、十分な予算と人員を確保し、人的・技術的・物理的な対策を講じます。
    2. (2)
      具体的にはサイバーセキュリティに係る専担部署を設置し、最新技術の調査・導入に努め、サイバーインシデントに対する予防的措置・被害軽減措置を図るとともに、独立した部署による監査等を通じて、実効性の確保に努めます。
    3. (3)
      経営陣を含めたグループ役職員に必要な教育を行い、人材を育成します。
    4. (4)
      サイバーセキュリティ対策のガイドラインやフレームワークを活用し、サードパーティを含めたサプライチェーン全体での対策を推進します。
  4. 4.

    監視体制

    1. (1)
      自社による監視に加え、複数の金融機関が利用する共同利用型セキュリティ・オペレーション・センター(SOC)の活用等により、監視体制の高度化を図ります。
    2. (2)
      能動的防御の観点からIT資産や経路を継続的に把握・管理するASM等により、セキュリティの強化に努めます。
  5. 5.

    インシデント対応と復旧

    1. (1)
      インシデント対応については、グループ内に設置したCSIRTが中心となり、組織横断的に対処します。
    2. (2)
      コンティンジェンシープランや横断的対応手順書等を策定し、迅速な対応・復旧の実現に努めます。
    3. (3)
      定期的なインシデント対応訓練を実施し、インシデント対応力を向上させます。
    4. (4)
      インシデント後の分析を通じて再発防止策を講じます。
  6. 6.

    対策を講じた製品・システムやサービスの社会への普及

    1. (1)
      システムやサービスのセキュリティを企画・設計段階から確保する「セキュリティ・バイ・デザイン」を基本とし、さまざまな事業活動において、サイバーセキュリティ対策に努めます。
    2. (2)
      当社グループが提供するインターネットサービスについて、お客さまに安心してご利用いただけるよう、最新のソリューション導入等を通じて、セキュリティ対策向上に努めるとともに、お客さまご自身の安全に対する意識向上と理解促進のご支援をします。
  7. 7.

    安心・安全なエコシステムの構築への貢献

    1. (1)
      関係官庁や団体との連携を強化し、業界団体の活動への参加や共同演習の実施を通じて、積極的な情報共有や対話を行い、サプライチェーン全体、ひいては社会全体のサイバーセキュリティ強化に寄与します。
    2. (2)
      関係官庁等からの要請事項への対応や関係官庁等への適時適切な報告を行うとともに、金融ISACやJPCERTコーディネーションセンター等との情報交換、また各種演習を通じて社会全体のサイバーセキュリティ対策の強化に努めます。
  8. 8.

    継続的改善

    1. (1)
      サイバーセキュリティ管理態勢を定期的に見直し、技術の進展や新たな脅威に対応するため改善を図ります。
    2. (2)
      内部監査や外部の専門機関の評価を通じて、方針の有効性を検証します。
  9. 9.

    法令順守と規制対応

    1. (1)
      関連する法令、規制、「金融分野におけるサイバーセキュリティに関するガイドライン」、業界標準を遵守するとともに、規制当局と連携します。
    2. (2)
      情報漏えい等の重大なインシデントについては適切に報告・公表します。

以上

  • ASM…Attack Surface Management
    インターネットからアクセス可能な社内IT資産を攻撃者視点で継続的に洗い出し、脆弱性や不適切な設定を監視・管理するセキュリティ手法
  • CSIRT…Computer Security Incident Response Team
    サイバー攻撃や情報漏えいなどのセキュリティ事故(インシデント)が発生した際、迅速に対応し被害を最小限に抑える専門組織