GTM-MML4VXJ
Skip to main content

情報セキュリティ

情報セキュリティ推進方針

富士通グループは、グループの理念・指針であるFUJITSU Wayで掲げる「快適で安心できるネットワーク社会づくり」を実現するため、グローバルなセキュリティポリシー「富士通グループ情報セキュリティ基本方針」に基づき、情報セキュリティの確保・向上に取り組んでいます。

富士通グループ情報セキュリティ基本方針

ICTを基幹事業とする富士通グループでは、「快適で安心できるネットワーク社会づくり」への貢献を企業理念に掲げ、グループ全体の情報セキュリティを確保しながら、ICT製品およびサービスの提供を通じたお客様の情報セキュリティの確保とそのレベルアップに努めています。

2015年12月に経済産業省および独立行政法人情報処理推進機構(IPA)が「サイバーセキュリティ経営ガイドライン」を公表したことを受け、取締役会に直属するリスク・コンプライアンス委員会において、グループ全体をカバーするグローバルなセキュリティポリシーの検討を行い、2016年4月に「富士通グループ情報セキュリティ基本方針」を策定しました。

富士通グループ情報セキュリティ基本方針(抜粋)
(グローバルセキュリティポリシー)

I. 目的

本情報セキュリティ基本方針(以下、「本基本方針」)は、経済産業省が策定した「サイバーセキュリティ経営ガイドライン」を踏まえ、富士通グループにおける情報セキュリティを確保するための対策、体制等の基本事項を定めるとともに、富士通グループが、ICTを事業の根幹としていることに鑑み、グループ全体の情報セキュリティを確保しながら、製品およびサービスを通じてお客様の情報セキュリティの確保・向上に積極的に努めることを内外に宣言し、もってFUJITSU Wayに掲げる企業理念を実践することを目的とします。

II. 基本原則

(1) 富士通グループは、その事業において、お客様またはお取引先である個人および組織から提供を受けた情報を適切に取り扱い、当該個人および組織の権利および利益を保護します。
(2) 富士通グループは、その事業において、営業秘密、技術情報その他の価値ある情報を適切に取り扱い、富士通グループの権利および利益を保護します。
(3) 富士通グループは、研究開発および人材育成に努め、お客様の情報セキュリティの確保・向上に資する製品およびサービスを適時かつ安定的に提供することにより、お客様、ひいては社会の持続的発展に寄与します。

情報セキュリティマネジメント体制

富士通グループでは、昨今のサイバー攻撃の増加を受けて、2015年8月にリスク・コンプライアンス委員会の下に最高情報セキュリティ責任者(CISO: Chief Information Security Officer)を設置しました。また、グローバルな情報セキュリティマネジメント体制の強化を目指して、CISOの傘下に世界各リージョン最高情報セキュリティ責任者(リージョナルCISO)を設置しました。米州・EMEIA・オセアニア・アジア・日本の5つのリージョンにおいてグローバルなICTビジネスを支えるグローバルな情報セキュリティガバナンスの強化を図っています。

情報セキュリティマネジメント体制

セキュリティ統制機能

全社セキュリティポリシー策定

富士通グループ各社は、「富士通グループ情報セキュリティ基本方針」に基づき、国内外のグループ会社において情報管理やICTセキュリティに関する社内規定を整備し、情報セキュリティ対策を実施しています。グローバル共通の富士通グループ情報セキュリティ基本方針の下、グループ会社向けの情報管理関連規定と情報セキュリティ規定を用意しています。また海外では、その国の制約に合わせて、会社ごとに規定、ポリシーを独自に作成・整備しています。

情報セキュリティ関連規定体系

セキュリティ審査・監査

富士通グループでは、国内外の事業部門を対象に情報セキュリティ監査を実施しています。この監査は、事業部門から独立した監査部門が行います。監査は、事業部門の特性や事業戦略、推進中の情報セキュリティ施策などを踏まえた方法で行われます。例えば、国内においてはイントラネット敷設時に規定通りに設置されているかの現地調査を実施し審査しているほか、インターネット公開しているサーバは開設時の監査と定期的な脆弱性監査を実施しています。

また海外ではISO27001準拠のセキュリティ要件に従い、管理状況についてアセスメントツールを使用して監査しています。

監査を受けた事業部門は、この監査結果を踏まえて、情報セキュリティ対策の改善に努めます。

情報セキュリティ教育

情報漏えいを防ぐためには、規程類を従業員に周知するだけでなく、従業員一人ひとりのセキュリティに対する意識とスキルを向上させることが重要と考えています。そこで、富士通および国内グループ会社の従業員10万人を対象として、新入社員研修や昇格・昇級時研修の際に、併せて情報セキュリティ教育を実施するとともに、役員を含む全従業員を対象としたe-Learningを日本語と英語で毎年実施しています。

海外グループ会社の従業員に対しても、年1回のセキュリティ教育を約10か国語で実施しています。また、海外の情報セキュリティ管理者には、管理者として必要なセキュリティ教育も実施しています。

情報セキュリティに対する意識啓発

国内富士通グループでは、2007年に「情報管理徹底宣言! ~情報管理は富士通グループの生命線」という国内グループ共通のスローガンを策定して掲げています。富士通および国内グループ会社の各事業所に啓発ポスターを掲示するほか、全従業員の業務用パソコンにシールを貼付するなどの施策を行い従業員一人ひとりの情報セキュリティに対する意識の向上を図っています。

これ以外にも、イントラネットを利用し、世の中で多発している情報漏えい事件を紹介することによる注意喚起や、毎月1回のセキュリティチェックデーを設け、幹部社員が自部門のセキュリティ対策状況を確認する活動を行っています。

「情報管理徹底宣言!」シール
業務用PCに貼付したシール

お取引先との連携

近年のICT環境の急激な変化に伴い、これまで以上に情報漏えいリスクが高くなっていることから、富士通グループでは、グループ社員だけではなく、ソフトウェア開発・サービスを委託したお取引先に対しても情報セキュリティ説明会を開催し、課題共有と対策徹底に努めています。詳細はこちらをご参照ください。

セキュリティ施策実施機能

富士通グループでは、全社セキュリティポリシーに則り、以下のような全社セキュリティ施策をグループ全体で実施しています。詳細は、「情報セキュリティ報告書2017」P.11をご参照ください。

  • ネットワークセキュリティ
  • メールセキュリティ
  • ウェブアクセスセキュリティ
  • リモートアクセス
  • エンドポイントセキュリティ
  • 認証セキュリティ

監視・分析・評価機能

セキュリティ監視

全世界に配備したセキュリティ監視機器から1日約10億件のログが集められます。情報セキュリティマネジメントを行ううえでこのログを効率的・効果的に管理することが重要です。

富士通グループでは、24時間365日体制のセキュリティオペレーションセンター(SOC)を設置し、迅速・的確なインシデント対応、セキュリティアラート対応を可能にする仕組みを構築しています。社内ネットワークの各所に組み込まれた「セキュリティ監視機器」で生成されたログは、「ログ統合管理システム」に集約・一元管理され、そこからログ自動化・管理ツール「SystemwalkerSecurity Control」に送られ、脅威が確認された場合アラート通知メールがSOCに送られる仕組みになっています。

SOCは「ローカルオペレーター」「インシデントマネージャー」「セキュリティアナリスト」というスタッフで構成され、受信したアラート通知メールの内容を分析し、脅威の質・範囲・重度を見極め、対応優先順序を付けて、迅速・的確に対処します。

ホワイトハッカーによるインターネット動向調査

変容するサイバー攻撃の脅威に対応するため、ホワイトハッカーによる世の中のインシデントや脆弱性を調査、またサイバーインテリジェンスを駆使し不正アクセスやマルウェアを解析した結果のリスク情報を基にログを調査し、新しい脅威からのリスクを最小限に抑えてインシデントの発生を防ぎます。

個人情報の保護

プライバシーマークのロゴ

富士通では、2007年8月にプライバシーマークを取得し、毎年、個人情報の取り扱いに関する教育や監査を実施するなど、継続的に個人情報保護体制の強化を図っています。国内グループ会社も、必要に応じて各社でプライバシーマークを取得し、個人情報管理の徹底を図っています。海外グループ会社の公開サイトにおいては、各国の法律や社会的な要請に応じたプライバシーポリシーを掲載しています。国内グループ各社の取得状況については、「情報セキュリティ報告書2017」P.37の第三者評価・認証を参照してください。

(注)プライバシーマーク:
一般財団法人 日本情報経済社会推進協会による個人情報取扱に関する認定制度。

情報セキュリティ報告書

富士通グループは、「情報セキュリティ報告書」を2009年から毎年発行し、情報セキュリティへの取り組みをグローバルに公開し、株主、お客様などのステークホルダーの信頼確保に努めています。