情報セキュリティ
基本方針
富士通グループでは、2021年10月に専任のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)を任命し、新たな情報セキュリティ体制の下で、グループ全体の情報セキュリティを確保しながら、製品およびサービスを通じてお客様の情報セキュリティの確保・向上に努めています。
マネジメント体制
CISOの下、日本および海外の3リージョン(Americas、Europe、Asia Pacific)にそれぞれリージョンCISOを設置し、グローバルに一貫したセキュリティポリシーおよび施策を展開しています。リージョンCISOは、本社方針と各国特有のセキュリティ要件をアラインメントし、グローバル体制による情報セキュリティ強化を図っています。
また、富士通本社および日本・海外リージョンのグループ会社については、各部門の自律的な情報セキュリティ強化を担う、セキュリティ責任者を配置し、情報セキュリティのあるべき姿の実現に向け、CISOによる関連部門の統率を強化するための体制を構築しています。
具体的なセキュリティ責任者体制については、情報の管理・保護を統率する「情報管理責任者」、情報システムセキュリティの維持・管理を統率する「情報セキュリティ責任者」、製品に関する脆弱性管理を統率する「PSIRT(※1)責任者」を各部門に配置し、CISOと連携して情報セキュリティの各施策を推進しています。
- (※1)PSIRT : Product Security Incident Response Team
情報セキュリティの取り組み
情報セキュリティの目指す姿
より高度化・巧妙化したサイバー攻撃が急増する中、情報セキュリティの強化が、国の経済安全保障や企業の経済活動における喫緊の課題となっています。当社では、<情報セキュリティの目指す姿> を以下のように考え、これを実現するため “進化し続ける高度な情報セキュリティによるサイバー攻撃への対応” とともに、成功の鍵となる “従業員一人ひとりの意識改革や組織の風土改革” を進め、社内関連部門や従業員とともに、情報セキュリティ対応のプロセス・ルール・推進体制を整備し、お客様やパートナー企業との安全なビジネス環境および、富士通グループ全体の情報セキュリティ強化に取り組んでいます。
<情報セキュリティの目指す姿>
- 攻めの情報セキュリティ
- DX時代の多様な働き方を支える情報セキュリティの継続的な進化
- 従業員や組織の自律的な情報セキュリティ対応 - 守りの情報セキュリティ
- 脆弱性対応によるサイバー攻撃の未然防止
- 監視強化による有事のサイバーリスク極小化
取り組み
<再発防止策の横展開とセキュリティリスクの可視化>
当社では、専任CISO体制の下、プロジェクト情報共有ツール「ProjectWEB」およびクラウドサービス「FJcloud-V/ニフクラ」の情報セキュリティ事案を受け、再発防止策の横展開を推進しています。2022年には、主な再発防止策の一つである “WEBシステムの多要素認証化” について、国内展開を完遂しています。さらに、全社セキュリティ点検によって、セキュリティリスクの可視化を実施し、継続して是正対策を推進しています。
2023年も引き続き <情報セキュリティの目指す姿> の実現に向け、下記の主要テーマに基づき、セキュリティリスクの可視化による適切な是正とともに、情報セキュリティの進化に取り組んでいきます。
<セキュリティリスクの可視化によって実現すること>
- 社内関連部門が自律的にリスクをコントロール
情報管理や情報システムセキュリティに関するリスクを客観的に可視化します。社内関連部門は可視化された自部門のリスクを確認し、スピーディーに対応しています。重要なシステムや情報に関してはCISO直轄組織による直接検査を実施し、対応内容の客観的な確認により精度を高めています。
また、従業員自身や組織の情報管理リテラシー(内的要因)、サイバーリスクの実態(外的要因)についても可視化し共有します。(見える化)
従業員一人ひとりがこれを理解・共感することで(自分ごと化)、自律的な情報セキュリティ対応(行動化)を促し、組織の風土を醸成します。 - デジタル化したリスクを的確に是正
CMDB(※1)や、情報管理ダッシュボード(※2)を導入し、情報システムの脆弱性や情報管理不備などのリスクをデジタルに可視化します。可視化されたリスクを人手に頼らず機械的に是正することで、的確かつスピーディーにセキュリティリスクを極小化します。- (※1)CMDB:Configuration Management Database / 構成管理データベース
情報システムの構成情報(ハードウェア、ソフトウェア、ネットワークなどの構成情報)を自動収集し一元管理するためのデータベースです。
収集した構成情報は、セキュリティ点検・監査、脆弱性対応、セキュリティインシデント対応に活用されます。 - (※2)情報管理ダッシュボード:デジタル化された情報管理台帳
富士通グループでは情報管理台帳(秘密情報の管理者、管理場所、共有範囲などを管理する台帳)をデジタル化し管理運用しています。
さらに実際の情報管理の状態(ストレージサービスの監査ログなど)と整合性チェックを行い、不備などを検出した場合は、是正をチケット化(ワークフロー化)し早急な対応を可能としています。
- テクノロジーを活用した情報セキュリティの進化
2023年からの取り組みとして、認証基盤の統一による、利用者ID・認可情報・証跡ログの集中管理と見える化を推進します。
この認証基盤では、証跡ログを利用した行動解析や、解析結果と連動した認可情報の最適化などにもチャレンジしていきます。
<主な施策について>
各テーマに紐づく主な施策について、以下3つの観点で紹介します。
- サイバーセキュリティ
情報システムセキュリティ(情報システムおよびネットワークに対する安全性・信頼性の確保・維持)に加え、当社製品・サービスのセキュリティ維持活動に関する施策の紹介 - 情報管理
重要情報(秘密情報、個人情報)を含む情報そのものの機密性・完全性・可用性の維持管理に関する施策の紹介 - ガバナンス強化
各セキュリティ施策を浸透・定着化させ、組織全体のセキュリティ強化を図るための、ガバナンス強化施策の紹介
サイバーセキュリティ
富士通の所有するシステムのITアセット管理情報を基軸に、攻撃者からの侵入の防御に加え、侵入された際の検知・防御の両面にて、境界防御とゼロトラストセキュリティを具備していくことで、セキュリティ侵害を未然に防ぐ対応を強化していきます。
ITアセットの一元管理と連動した施策
<ITアセット一元管理・可視化による自律的な是正>
当社では、お客様の安心安全でサステナブルな事業活動を支えるため、グローバルに展開しているお客様向けのITシステムおよび、社内ITシステムのITアセット管理を一元化し可視化することで、グループ全体のセキュリティリスクの特定と是正を速やかに実施しています。平時からのリスク管理を強化するとともに、CISO直轄組織によるリスク監査と結果を見える化し、社内関連部門における適切な現状把握と自律的な是正を促進しています。
<インターネット表出システムの脆弱性スキャン>
ITアセット管理情報を基軸に、外部からインターネット表出のシステムに脆弱性スキャンをかける仕組みを提供することで、システムを管理する社内関連部門による、自律的な定期スキャンと脆弱性の検知をトリガーとした是正対応を可能としています。この仕組みを利用した定期的検査を毎年1回行うことで、脆弱性対応が確実に実施されていることを確認し、さらに重要システムに関しては、CISO直轄組織による第三者監査で精度を高めています。2023年は、このプロセスの自動化・機械化についても実現に向け推進していきます。
なお、インターネットに表出していないシステムの脆弱性についても、ITアセット管理情報を定期的に最新化し、脆弱性データベースと突合することで、重要な脆弱性について、対象部門へチケット(是正タスク)を発行し、確実な対処を徹底する仕組みを実現しています。
<脅威インテリジェンスの活用とアタックサーフェスマネジメント>
インターネット表出システムの脆弱性検知と対応を迅速化するため、脅威インテリジェンスの活用を積極的に進めています。脅威インテリジェンスでは、世の中の脅威動向や脆弱性に関する情報、富士通グループの表出システムにおける脆弱性の情報など、攻撃者の視点に立って実際に攻撃を行う初期段階の情報収集を行うことが可能であり、入手した脅威インテリジェンスに対し、インパクトを分析し、迅速な是正対応を実現しています。
さらに、ITアセット管理情報を基軸とした、インターネット表出システムの脆弱性スキャンと組み合わせ、攻撃者の視点からシステムの脆弱性をモニタリングする、アタックサーフェスマネジメントを実施しています。
監視の徹底
サイバーセキュリティを取り巻く環境は常に変化し、攻撃の手口は複雑かつ巧妙化の一途を辿っています。富士通グループではこのような状況下においても、「サイバー攻撃による侵入は100%防ぐことはできない」というゼロトラストな考え方を前提としたセキュリティ監視の強化に取り組んでいます。
セキュリティ監視に対する社内のガイドラインを整備し、定期的なシステム点検を行うことで現状把握と可視化を行うとともに、サイバー攻撃に対する検知能力向上と早期対処に向けた監視の健全化に取り組んでいきます。さらに重要システムに関しては、CISO直轄組織による第三者点検を実施することで監視を徹底するように進めています。
インシデント対応
お客様の安心安全な事業活動を支える企業として、巧妙化・高度化していくサイバー攻撃に対して即応していく必要があります。そのために、有事が起こることを前提としたインシデント対応プロセスを策定し、有事の際には組織としてエスカレーション・対応・復旧・通知という一連のプロセスを迅速に実施できるよう取り組んでいます。
①エスカレーションプロセス
インシデントによるリスクインパクトを算出し、その結果に応じてエスカレーションを実施するプロセスを標準化し、継続的に改善することで、有事の際の組織としての対応力を強化しています。
②インシデント対応・システム復旧プロセス
攻撃情報や脆弱性情報を入手後、該当する製品・システムに対して、適切なインシデントハンドリングに加え、パッチ適用計画やBCPを含めたシステム復旧計画を策定し、迅速な復旧に向けた対応を行います。
③通知プロセス
ステークホルダーに対する説明責任を果たすべく、インシデント情報の共有・報告の適切な実施に努めています。
④プロセス定着化活動
富士通グループでは、インシデント対応に関する定期的な教育・訓練を実施することで、社員への啓発と意識徹底を図り、インシデント対応プロセスの定着化に向けた活動を実施しています。
<インシデント対応の高度化>
セキュリティインシデントに対応するには、ログ分析・マルウェア解析・ディスクフォレンジックなど技術的観点で事象を正確に理解する必要があります。加えて迅速かつ適切に対応するにあたり、全体の対象方針を決め社内外関係者と連携し、インシデント対応を行う必要があります。
当社では、技術的な専門家と、解決までの道筋をリードするメンバーが連携し、エスカレーションプロセスなど各種プロセスに則り、セキュリティインシデントに対応しています。
さらに、攻撃者のツール、プロセス、アクセス手法などの情報を蓄積するとともに、継続的な対応メンバーのトレーニングにより技術的な知識やスキルを向上させています。また、グローバルを含めた対応インシデントの振り返りを行い、体制・ルール・プロセスの改善やノウハウ蓄積を含め、インシデント対応力を継続的に改善していくことで、迅速な対応と影響の極小化ができるよう取り組んでいます。
当社製品・サービスにおけるリスクの未然防止
<PSIRT責任者体制>
当社の製品やサービスをご利用いただくお客様を守るため、製品構成情報、ITアセット情報、および脆弱性情報を含む脅威インテリジェンス情報の一元的な管理に加え、社内関連部門において脆弱性対応を担当するPSIRT責任者を配置することにより、製品やサービスの脆弱性に起因するリスクに対してスピーディーでプロアクティブな対応が可能となる体制を構築しています。
<プロセス策定>
製品やサービスに与えるリスクの見積り、および製品やサービスに対するリスクを踏まえた脆弱性への対策検討・実行を迅速に遂行するために、脆弱性を起因とするリスクに対する対応基準やプロセスを策定し、データサイエンティストによる統計解析や対応実績を基に、プロセスの継続的な改善を実施しています。
これらの体制やプロセスに基づいて、迅速な脆弱性対応を実現することにより、脆弱性対応に係る期間を短縮し早期解決を図ることで、お客様における二次被害を防止し、お客様の事業継続への影響を最小限にすることができます。
情報管理
富士通および国内グループ会社では、個人情報を含む他社秘密情報および、当社秘密情報を適切に保護するため、情報保護マネジメントシステムによる運用を行うとともに、①役割の定義 から ⑦見直し に至るPDCAを回しています。守るべき情報資産を明確にするために、情報の分類をグローバルで統一しつつ、部門ごとの自律した情報保護活動(業種・業態による規制等)において、お客様、お取引先の状況に応じた適切な管理を設定し、情報を保護する取り組みを実施しています。
また、適切な情報管理を支援するため、情報管理ダッシュボードなどを活用した様々な自動化支援ツールを提供し、実効性と安全性を兼ね備えた運用の実現に向け、改善も随時行っています。
情報保護マネジメントシステムにおける主な活動内容は以下の通りです。
①役割の定義
代表取締役社長の下、CISOを中心としたグローバルなネットワークで、情報を管理保護する体制を構築し、各部門においては、部門ごとの管理責任者を任命するとともに役割を明確化し、適切な情報の取り扱いを推進しています。
②方針・規定
情報を正しく取り扱うため、必要な規程や手順を定め、年間の活動計画を立てています。
また、法改正への対応を含め方針・規程の見直しを定期的に行っています。
③教育・マインド醸成
社員一人ひとりの意識とスキル向上のため、立場や役割に応じて必要な情報を提供するとともに、テレワーク等の環境変化に応じた様々な教育や情報発信を行っています。
毎年、役員を含む全社員を対象とした情報管理教育(e-Learning)の実施と、いつでも受講可能な情報管理の教材を社内に公開しています。
※2022年受講者実績:37,343名
④現場点検
保有している情報資産を特定、分類し、さらにリスク分析を行い、定期的な棚卸しを行っています。
⑤情報管理インシデント対応
情報管理インシデントへの対応を迅速かつ適切に行うための体制や、エスカレーションルート、手順等をグローバルで整備しています。
⑥監査
部門ごとの情報管理の状態を情報管理推進部門が第三者観点で確認し、是正や改善の指示・提案を行っています。
⑦見直し
監査結果・インシデント・苦情を含む外部からの意見、法改正、環境の変化等を考慮し、情報保護マネジメントシステムの改善・見直しを図っています。
個人情報の保護
当社では、グローバルでの個人情報保護体制を構築し、個人データ保護の強化を図っています。CISO直轄組織と法務部門主導の下、各リージョンおよびグループ会社と連携し、GDPR (注1) を含む各国の法令に準ずる対応を行っています。個人情報の取り扱いに関しては各国の公開サイトにてプライバシーポリシーを掲載し公表しています。
- (注1)GDPR:General Data Protection Regulation(一般データ保護規則)
2018年5月25日に施行された個人データ保護を企業や組織・団体に義務づける欧州の規則で、個人データの欧州経済領域外への移転規制やデータ漏えい時の72時間以内の報告義務などが規定されています。
日本では個人情報の保護を目的とし、2007年8月に一般財団法人日本情報経済社会推進協会よりプライバシーマーク(注2)の付与認定を受け、現在も継続的に更新し、個人情報保護体制の強化を図っています。国内グループ会社でも、必要に応じて各社でプライバシーマークを取得し、個人情報管理の徹底を図っています。また、部門ごとの情報管理の状態を情報管理推進部門が第三者観点で確認し、是正や改善の指示・提案を行っています。2022年度は全部門にて内部監査を実施しています。
- (注2)プライバシーマーク
JIS Q 15001:2017に適合した個人情報保護マネジメントシステムの下で、個人情報を適切に取り扱っている事業者に付与されるものです。
なお2022年度、当社に設置した「富士通お客様相談センター個人情報保護総合窓口」へ寄せられたお客様プライバシーに関する相談・苦情はありませんでした。また、個人情報保護法令に基づいた政府や行政機関へのお客様情報の提供実績もありませんでした。
情報システムの認証取得
富士通グループは、情報セキュリティの取り組みにおいて、第三者による評価・認証の取得を積極的に進めています。
ガバナンス強化
当社では、グローバルでセキュリティガバナンスを強化するため、複合的なアプローチによりセキュリティリスクの極小化に取り組んでいます。
グローバル共通でのガバナンスを徹底させるため、「①ポリシーによる要求を義務化」することで対応すべきことを明確化し、さらに、情報セキュリティ責任者体制による「②体制ガバナンスによる徹底」で対応を徹底、冒頭の「サイバーセキュリティ」に関する対策である「③検査と監査の実施」「④ASMによる”あぶり出し”」を有機的に組み合わせることで、各部門が自律的に行う確実なセキュリティ対策を実現しています。
また、次項「セキュリティ成熟度のメータリング」などの施策も加え「⑤リスクと成熟度の可視化」をすることで、自律的にセキュリティ対策を講じる風土を醸成し、サイバーセキュリティ対応の自浄作用を促進しています。
セキュリティ成熟度のメータリング
当社では、組織におけるセキュリティの成熟度をインフラの設定値やセキュリティログ、監査データなどを自動収集してスコアリングすることで、セキュリティ成熟度の評価を実施しています。富士通本社、各グループ会社の各部門の成熟度を月単位で可視化することで、現在の状態や目標との差異の把握による、具体的な施策や是正対応を自律的に講じる風土を醸成し、各部門のサイバーセキュリティ対応の自浄作用の促進を図ります。
セキュリティ成熟度評価の指標は、国内外で実績のあるサイバーセキュリティ能力成熟度モデルC2M2(※1)や、セキュリティインシデントマネジメントの成熟度モデルSIM3(※2)を参考にした上で、成熟度スコアをセキュリティ施策におけるデータから機械的にスコアリングする方法を独自に取り入れて評価しています。評価スコアは100点を上限とし、ガバナンス、人的セキュリティリスク管理、システムセキュリティリスク管理、情報資産リスク管理、インシデント検知・対応力、組織風土・マインドのカテゴリ別に6軸で成熟度をスコアリングしています。2023年は対外組織連携およびサプライチェーンリスク管理を加え8軸で評価を行います。
- (※1)C2M2:Cybersecurity Capability Maturity Model
- (※2)SIM3:Security Incident Management Maturity Model
会社成熟度
成熟度スコア推移(会社全体)
セキュリティ成熟度の可視化グラフ(サンプル)
フレームワーク・ルール・プロセスの周知・浸透
当社では、グローバルでセキュリティ対策レベルを統一し、底上げするため、主に2つの取り組みを行っています。
<富士通グループ情報セキュリティ対策基準>
1つ目は、富士通グループにおけるセキュリティ対策の基準となる「富士通グループ情報セキュリティ対策基準」の策定です。グローバルスタンダードであるNIST(※1)の「CSF」(※2)、「SP800-53」(※3)および「ISO/IEC27002」を参考に200以上の管理策から構成されており、情報システムの重要度等に応じた管理策の適用がルール化されています。また、これら管理策の適用を支援するマニュアルまたはガイドラインといった資材を整備しています。
<リスクマネジメントフレームワーク>
2つ目は、富士通グループにおけるセキュリティリスク管理の枠組みである「リスクマネジメントフレームワーク」の策定です。グローバルスタンダードであるNISTの「SP800-37」(※4)を参考に、各組織および各情報システムが持つセキュリティリスクを識別し、組織的かつ適切に管理するためのプロセス群が規定されており、各組織における定期的なリスクマネジメントと、各情報システムの開発フェーズおよび運用フェーズにおけるリスクマネジメントをルール化するとともに、これらプロセス群を富士通グループの各種業務プロセスに組み込むことで周知・浸透を図っています。
これら2つの取り組みを富士通グループ内に展開し、「リスクマネジメントフレームワーク」プロセス群の実行を通じて、「富士通グループ情報セキュリティ対策基準」に基づく管理策を各組織および各情報システムに適用するとともに、継続的な改善プロセスを回していくことにより、セキュリティ対策の効果的な実装とセキュリティ・バイ・デザインの実現に努めています。
- (※1)NIST : National Institute of Standards and Technology
- (※2)CSF:Cybersecurity Framework
- (※3)SP800-53:NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations
- (※4)SP800-37:NIST SP800-37 Rev.2 Risk Management Framework
セキュリティ訓練・マインド醸成・人材育成・責任者成熟化
上記で述べたセキュリティ成熟度の向上を下支えする施策の1つとして、セキュリティ教育・訓練に取り組んでいます。近年発生したインシデントの再発防止にとりわけ注力しています。具体的には全社必修教育としている情報セキュリティ教育において、最新のセキュリティ脅威の動向やインシデント事例を共有するとともに、事案対応から学んだ教訓と必要とされる施策の周知徹底を行い、従業員一人ひとりのセキュリティマインドの醸成とスキル強化に取り組んでいます。
また、CISOおよびCISO直轄組織による定期的な社内への情報発信やセキュリティ責任者コミュニティの活性化により、富士通グループ全体における情報管理やセキュリティ施策が、業務上の利便性やコスト削減に劣後しない風土づくりを目標として、下記に取り組んでいます。
<セキュリティ教育、訓練>
情報管理およびサイバーセキュリティに関する基本的な教育に加え、最新動向や事案対応から学んだ教訓を周知徹底しています。また、システム管理者向けにはシステム監視のガイドラインを発行するなどして、専門人材のスキルアップにも取り組んでいます。インシデントを完全に防ぐことは難しいため、「有事を起こさないための取り組み」から「有事が起こることを前提とした取り組み」に見直し、全社のインシデント対応力強化に取り組んでいます。その1つとして、富士通グループでは、役員・社員を対象にしたインシデント対応訓練を年2回実施しています。具体的には、ビジネスや社内業務に携わるSE、ビジネスプロデューサーを対象にインシデントの発生を想定して、実践的な訓練を年1回実施しています。また社会的インパクトのあるインシデントが発生した際にも、迅速な対応と影響を最小限にする目的で、役員や社内関連部門が参加するインシデント訓練を年1回実施しています(合計年2回)。
2022年度にはさらに標的型メール訓練も2回実施し、従業員一人ひとりのセキュリティマインドの醸成を促進しています。こちらも年1回以上継続的に行っていきます。
<セキュリティ体制強化と人材育成>
富士通グループとして、CISOおよびCISO直轄組織からの定期的な社内への情報発信を行うとともに、各部門を支援するため、セキュリティ責任者体制を任命しセキュリティ責任者コミュニティの活性化を行い、各部門のセキュリティに関する考え方、行動の変革に取り組んでいます。
また、2023年より、セキュリティ人材像、特に現場のセキュリティ責任者の人材像を再定義し、プロフェッショナル認定制度の見直しを行いました。現場のセキュリティ責任者の役割と責任を明確化したうえで報酬制度を含めた見直しを行い、2023年1月より先行して国内から現場組織のセキュリティ体制を強化しています。
なお、セキュリティに関する経験が不足している部門に対しては、組織のセキュリティ成熟度向上を前述の「セキュリティ成熟度のメータリング」による可視化によって部門の実態を共有するとともに、セキュリティ責任者コミュニティを通じた定期的コミュニケーション実施などを通じて、各部門とともに改善に取り組んでいます。
