サイバーセキュリティのリスク対応
■情報セキュリティ基本方針
情報セキュリティのリスクを軽減させるため、情報セキュリティ基本方針を定め、この方針に基づき、セキュリティ体制(ISMS推進体制)を構築し、情報セキュリティマネジメントシステム(ISMS)を運用しています。ISMSのPDCAのサイクルを回すことで、日々発生する問題に対し、全社一丸となった対応をしています。
■ 情報セキュリティ基本方針
アイエスエフネットグループ(以下「当グループ」という)は、お客様へ提供するサービスの品質を維持・保証し、お客様および当グループの情報資産を適切に保護することを社会的責務と考え、当グループにおける企業経営上の重要な基本方針に定めています。 当グループは、「倫理観をもった人間の育成」、「サービス品質基準の定義と高品質・高付加価値なサービスの提供」、「お客様および当社の情報資産を保全する」という方針に基づき、これら情報資産の機密性、完全性、可用性を確保し、当グループの従業者は情報セキュリティ基本方針を遵守し、維持、向上に努めます。
▼ 情報セキュリティ方針の詳細はこちら
https://www.isfnet.co.jp/security.html
■セキュリティ体制
(ISMS推進体制)
情報セキュリティ基本方針に基づき、セキュリティ基準、セキュリティ要求事項の審議および実施された対策の評価を行うため、情報セキュリティ委員会を設置し、その運営および情報セキュリティ対策を実施するため、情報セキュリティ管理責任者を置きます。
■緊急時の体制
情報セキュリティ事象(情報セキュリティ・インシデント)発生時は、その部署の部門長から情報セキュリティ委員会に連絡を行います。情報セキュリティ委員会では、影響度合いに応じて、その都度「対策本部」を設置し、「対策本部長」により、関係部署のメンバーを召集します。原因を調査し対策を検討し、再発防止に向けて関係部署に周知し、必要に応じて教育を行う等再発防止に努めます。
なお、災害や上記情報セキュリティ事象(ノート PC 等の盗難、情報漏えい・紛失、コンプライアンス違反等々)などにより重大な損害を被り、社の事業継続に支障をきたす事態に至る可能性がある場合などの対応については、事業継続のルールに従い対応いたします。
■教育・訓練
以下のセキュリティ教育を実施しています。
- 新入社員教育
- 標的型メール訓練
- インシデント教育
(セキュリティLAB主催) - オンラインによる定期テスト
(ISMS/PMS/QMS)
今後は、新任管理職へのISMS教育など更なる品質向上に向けて取り組んでいく予定です。
■脆弱性対応
(セキュリティ対応)
マルウェア対策としてEDRを設置していますが、OSにパッチが出たときには速やかに適用できるように通知を行っています。
- 毎日の定型作業における脆弱性情報収集、セキュリティ事象を収集し把握
- サーバへのパッチ適用を定期的に実施
- 業務用PCへのパッチ適用依頼を通知
■今後の取り組み
コロナ禍のため、社内システムがオンプレミスからクラウドにシフトし、社員の作業場所もセキュリティに守られた会社内からセキュリティが保障しにくい在宅ワークへと、一気にシフトしました。それに伴い、PCの持ち出しや、インターネットを通じたWebミーティング、ファイル共有などが当たり前の世界になりました。
このように、守るべき対象と守り方が変化しているのですが、現状の対策は暫定策にすぎません。働き方の変化に合わせ、今以上のセキュアな環境に作り替えていく必要があると考えています。
また、セキュリティインシデントが発生した場合の適切かつ迅速な対応を目的とした組織を目指して、セキュリティ脅威を検知・分析可能な対応組織の必要性を認識しております。