情報セキュリティ
情報セキュリティの確保に向けた取り組み
主な取り組みの目標と実績
グローバルな情報セキュリティ体制の確立
| 年度 | 目標 | 実績 | 評価 |
|---|---|---|---|
| 2024 | 情報セキュリティ対策ロードマップに基づき、優先度の高いセキュリティ施策を引き続き着実に実行。クラウド中心のグローバルかつオープンなデジタル環境でのセキュリティリスクの低減に加え、インシデント発生時の対応力強化と影響の最小化に努める |
|
★★ |
| 2025 | 第三者リスクアセスメントを実施し、情報セキュリティ対策ロードマップを更新。これに基づき、組織・社員、管理・運用体制、ITシステム環境、制度やルール、教育訓練を包括的にアップグレードしていくための実行計画を策定し、緊急度・重要度の高いセキュリティ施策から優先実施する | ― | ― |
- 「評価」は、進捗度に関する自己評価によるものです。
[ 評価マークについて ] ★★★…非常に良好 ★★…順調 ★…要努力
情報セキュリティの基本的な考え方
DICグループでは、事業活動を行う上で、保有または管理する情報資産の保護の重要性を強く認識しています。情報セキュリティを経営上の重要項目の一つに位置づけ、「情報セキュリティに関する方針」を定めています。会社が保有する情報資産を、役員・社員各々が責任を持って日常的に適切に管理し、機密情報(第三者から秘密保持義務を課された上で開示された情報含む)の適正な活用と情報資産の効果的利用を図ります。また、内部監査の実施を通じて、現状の問題点を確認し、想定されるリスクに備え、継続的な改善に努めています。
グローバルに進める情報セキュリティの推進・強化
DICグループにおける情報セキュリティの管理は、「規程・ガイドライン」、「管理体制」、「情報セキュリティインフラ」、「社員への教育・訓練」の4つの柱にて実施しています。
規程・ガイドライン
DICグループ統一の「情報セキュリティに関する方針」のもと、アジア地域DICグループではその方針を具体的に定義し運用するための「機密情報管理規程」、「情報管理ガイドライン」、「DICグループICT利用・管理ガイドライン」を定めています。主に欧米地域のITを運用管理するSun Chemical社(米国、以下「サンケミカル社」)では、これらを包含するWritten Information Security Program(WISP)を定めています。いずれも、新たな情報セキュリティリスクや情報セキュリティ管理のトレンドに対応するために、随時の更新と拡充を継続的に実施しています。
また、新たなデジタルテクノロジーの急速な進展に対応するため、生成AIやクラウドサービス、制御系システムの適用拡張に対応したガイドライン・ルール類の新設・改訂をグローバルに推進しています。
管理体制
IT部門管掌役員を責任者とした情報セキュリティ部会を定期(年2回)・随時開催することで、新たなテクノロジーやリスクに適応した規程・ガイドラインの更新を適時に実施し、グループへ周知する体制を構築しています。情報セキュリティ強化に関する年次目標と施策は、DICグループのサステナビリティ委員会の承認のもとで実施され、進捗が管理されています。
情報セキュリティインフラ
DICグループではグローバルで定常的な脆弱性診断に加え、第三者機関による情報セキュリティリスクアセスメント・成熟度評価を実施しており、これにより認識された潜在的なリスクに焦点をあて、情報セキュリティ対策ロードマップを策定・更新し、計画的に施策を実行しています。また、インシデント対応訓練に基づく体制および対応マニュアル・プレイブックの改定・拡充を進めるとともに、外部のセキュリティ専門家による支援サービスも活用し、有事の際の対応力強化に努めています。
各事業所の制御系システムセキュリティについても、リスク分析と監査で洗い出した課題に基づき、ガイドラインの効果的な活用と管理サイクルの定着を通じた管理強化を図っています。
また、アジア地域DICグループでは、日本で導入済みのセキュリティ対策基盤・ツールのグループ各社への展開を継続し、サンケミカル社においても各種視点での侵入テストの実施、サイバー攻撃検知・分析能力の強化、およびセキュリティ関連業務の効率化・自動化を実現するための高度な施策を順次展開しています。
社員への教育・訓練
DICグループでは毎年、社内ITネットワークを利用する全社員を対象に情報セキュリティに関するe-ラーニングを実施しています。さらにサイバー攻撃や犯罪がより高度化・巧妙化する環境下で、社員のセキュリティ意識と対処能力の継続的向上を促進するため、フィッシングメール訓練を含む教育プログラムを概ね四半期サイクルでグローバルに実施しています。これらの教育・訓練を通じて、生成AIの進化によりますます高度化、巧妙化するサイバー攻撃メール等に対しても、社員一人ひとりのセキュリティ意識を着実に高めることができています。
顧客・従業員のプライバシー・顧客データ
2024年度において顧客・従業員のプライバシーの侵害に関して具体化した不服申立の事例、および顧客データの漏えいや紛失などの事例はありませんでした。
VOICE
サンケミカル社のグローバルITセキュリティプログラム
サンケミカル社のグローバルITセキュリティプログラムは、すべての地域と部門にわたる会社のデジタル資産と情報システムを保護するように設計されています。 このプログラムには、セキュリティ脅威のリアルタイム監視・分析・対策のためのセキュリティオペレーションセンター(SOC)の導入、情報セキュリティへの戦略的アプローチとしてのCARTA※の採用、サイバーセキュリティリスク管理の強化とセキュリティ文化の醸成のための充実したITセキュリティ意識向上プログラム、そして一貫したセキュリティに関する考え方や実践のための包括的なポリシーとガイドラインが含まれます。このプログラムはまた、様々なステークホルダーとのコラボレーションとコミュニケーションを重要視し、定期的な評価、侵入テスト、監査を通じた継続的な改善に焦点を当てています。
- CARTA(Continuous Adaptive Risk and Trust Assessment):従来の境界型セキュリティに代わって、ユーザーやデバイスを常に監視・評価し、コンテクストに基づいてアクセス可否などのポリシーを動的に変更するセキュリティフレームワーク
(From left) Manager, IT Security Awareness Program Tatiana Butcher
Senior Director of Business Optimization (Leads Global IT Security) Chimdi Ifeakanwa
Architect, Data Security Sonny Samarakoon
Manager, IT Infrastructure Security Larry Withrow
資料ダウンロード
