情報セキュリティ

グローバルに進める情報セキュリティの推進・強化

DICグループにおける情報セキュリティの管理は、「規程・ガイドライン」、「管理体制」、「情報セキュリティインフラ」、「社員への教育・訓練」の4つの柱にて実施しています。

規程・ガイドライン

DICグループ統一の「情報セキュリティに関する方針」のもと、日本・中国を含むアジアパシフィック地域では、方針の範囲・基準・ルール・責任等を定めた「機密情報管理規程」とその実施手順である「情報管理ガイドライン」、ICT環境の利用・管理に関するルールである「DICグループICT利用・管理ガイドライン」を定めています。新たな情報セキュリティリスクにタイムリーに対応するために、定期または随時の更新を継続的に実施しています。
また、新たなデジタルテクノロジーの急速な進展に対応するため、AIやクラウドコンピューティング、制御系システムにかかるガイドライン・ルール類の新設・改訂をグローバルに推進しています。

管理体制

DICではIT戦略部門長を責任者とした情報セキュリティ部会を定期（年2回）・随時開催することで、新たなテクノロジーやリスクに適応した規程・ガイドラインの更新を適時に実施し、グループへ周知する体制を構築しています。情報セキュリティ強化に関する年次目標と施策は、DICグループのサステナビリティ委員会の承認のもとで実施され、進捗が管理されています。

情報セキュリティインフラ

第三者機関による情報セキュリティインフラのリスクアセスメントで認識された潜在的なリスクに焦点を当て、情報セキュリティ対策ロードマップが策定されています。それに基づき、ますます高度化・巧妙化するサイバーセキュリティの脅威へ迅速かつ的確に対応して経営・事業のリスクを永続的に低減する取り組みを実行していきます。
各事業所の制御系システムセキュリティについても、リスク分析と監査で洗い出した課題に基づき、ガイドラインの効果的な活用と管理サイクルの定着を通じた管理強化を図っていきます。
また、日本で導入済みのセキュリティ施策（インターネットセキュリティ、エンドポイントセキュリティ）のアジア地域への展開を継続し、欧米地域においてもサイバー攻撃検知・分析能力の強化や、関連業務の効率化・自動化を実現するためのIT施策を企画・実行しています。

社員への教育・訓練

DICグループでは毎年、オンライン・オフラインに関わらず情報にアクセスする全社員を対象に情報セキュリティに関するe-ラーニングを実施しています。
さらにサイバー攻撃や犯罪がより高度化する環境下で、社員のセキュリティ意識と対処能力の継続的向上を促進するため、フィッシングメール訓練を含む教育プログラムをグローバルに展開しています。

顧客プライバシー・顧客データ

顧客プライバシーの侵害に関して具体化した不服申立の事例および顧客データの漏えいや紛失などの事例はありませんでした。

COMMENT

パートナーから見たDICの情報セキュリティの取り組み

DIC様には弊社よりフォレンジックサービス^※1とともに定期的なセキュリティアドバイザリーサービスを提供させていただいております。
具体的には、ご要望いただいたトピックに対する回答に加え、他社の取り組み事例、新技術のリスク、セキュリティ体制の強化に有用な資料をご紹介するとともに、セキュリティ機器の重要な設定項目、エビデンス保全のための基本とツールの使用方法、インシデント発生をシミュレートした初動対応訓練など、DIC様のセキュリティ体制・ナレッジを強化するべく各種サービスをご提供しています。
DIC様はセキュリティポリシーやガバナンスを施策・検討するグループと、それらをファイアウォールやEDR^※2などに実装する技術に関連するグループが分かれておりますが、決して分断されず相互に協力・連携し、良好な関係性のもとで様々な取り組みが行われています。この状況は関係者の方々が皆、共通のゴールを目指していることから実現できていると存じます。
今後もインタラクティブなやり取りを通じ、DIC様のより良いセキュリティ体制の構築と維持の一助になれば幸いです。

• 不正アクセスや情報流出などのセキュリティインシデントの解決を支援するサービス。
• Endpoint Detection and Response：パソコンやサーバー、スマートフォンなどのエンドポイントに侵入したサイバー攻撃を検出し、通知するシステム。

ベライゾンジャパン合同会社　シニアコンサルタント　河野　泰貴様