情報セキュリティ

 

基本方針

富士通グループでは、2021年10月に専任のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)を任命し、新たな情報セキュリティ体制の下で、グループ全体の情報セキュリティを確保しながら、製品およびサービスを通じてお客様の情報セキュリティの確保・向上に努めています。

マネジメント体制

富士通グループでは、CISOの下、日本および海外の3リージョン(Americas、Europe、Asia Pacific)にそれぞれリージョンCISOを設置し、グローバルな情報セキュリティガバナンスの強化を図っています。情報管理のあり方に関してCISOによる社内関連部門の統率を強化し、全体をマネジメントする体制を再構築したほか、情報セキュリティに関して各部門を統率するリソースをCISO直轄の組織に再配置しています。

情報セキュリティマネジメント体制

具体的には、情報セキュリティの各施策を推進する機能として、「セキュリティ戦略」、「情報管理」、「リスク管理」、「インシデント対応」の4つに分類し、それぞれの機能をリージョンごとにすべて持たせて、各リージョンと横断的に連携して取り組む体制を構築しています。

以下、4つの機能についてご紹介します。

セキュリティ戦略

富士通グループおよび各リージョンの事業遂行と社会活動において、阻害要因となるセキュリティ脅威を適切にコントロールし、ステークホルダーとの信頼関係を涵養しうるセキュリティ戦略を策定・実行することによりお客様の事業を支えています。

また、グローバルレギュレーションをベースとしたセキュリティフレームワークにより、グローバルマーケットでリファレンスモデルとなる組織体制、対策、運用を継続的に創出するプロセスと組織風土を醸成し、未経験・未開拓分野への挑戦を行っていきます。

CISO活動指針の3軸

セキュリティフレームワーク

組織におけるサイバーセキュリティ対策の現状に対し、経営環境やリスク許容度および割り当て可能なリソースを考慮し、あるべき姿へのアプローチを可能とするフレームワーク・ガイドラインを2022年に策定し、組織成熟度を高めるための活動を強化しています。

また、各リージョンに対し上記内容を展開し、セキュリティに携わるすべてのメンバーが意識すべき情報セキュリティ上の活動方針、目的、考え方、プロセスを統一し、グローバルでの持続可能な体制強化に努めています。

グローバルセキュリティガバナンス

社会から継続的に信頼される取り組みと体制

当社のサービスや製品をご利用いただくお客様を守るため、脆弱性情報、情報資産の見える化、製品構成情報(BOM)などの情報収集・蓄積の強化と合わせ、データサイエンティストによる統計解析・意識決定のためのデータリレーションを新たなテクノロジー基盤を活用して構築しています。

この体制に基づいて、製品やサービスに与えるリスクの見積りおよびリスクを踏まえた製品やサービスに対する脅威と脆弱性対策の検討を行うことで、スピーディでプロアクティブな対応が可能となり、お客様の事業継続への影響を最小限にすることができます。

※BOM:Bill of material

脆弱性対応フレームワーク

情報管理

情報保護マネジメントシステム

富士通および国内グループ会社では、個人情報を含む他社秘密情報および、当社秘密情報を適切に保護するため、情報保護マネジメントシステムによる運用を行うとともに、役割の定義から見直しに至るPDCAを回しています。守るべき情報資産を明確にするために、情報の分類をグローバルで統一しつつ、部門ごとの自律した情報保護活動(業種・業態による規制等)において、お客様、お取引先の状況に応じた適切な管理を設定し、情報を保護する取り組みを実施しています。

また、適切な情報管理を支援するために情報管理ダッシュボードなどを活用した様々な自動化支援ツールを提供し、実効性と安全性を兼ね備えた運用の実現に向けた改善も随時行っています。

情報保護マネジメントシステムにおける主な活動内容は以下の通りです。

<情報保護マネジメントシステム>

情報保護管理体制および役割

全従業員向け情報管理教育(2021年度版)
全従業員向け情報管理教育(2021年度版)

①役割の定義
代表取締役社長のもと、CISOを中心としたグローバルなネットワークで、情報を管理保護する体制を構築し、各部門においては、部門ごとの管理責任者を任命するとともに役割を明確化し、適切な情報の取り扱いを推進しています。

②方針・規定
情報を正しく取り扱うため、必要な規程や手順を定め、年間の活動計画を立てています。また、法改正への対応を含め方針・規程の見直しを定期的に行っています。

③教育・マインド醸成
社員一人ひとりの意識とスキル向上のため、立場や役割に応じて必要な情報を提供するとともに、テレワーク等の環境変化に応じた様々な教育や情報発信を行っています。
毎年、役員を含む全社員を対象とした情報管理教育(e-Learning)の実施と、いつでも受講可能な情報管理の教材を社内に公開しています。

④現場点検
保有している情報資産を特定、分類し、さらにリスク分析を行い、定期的な棚卸しを行っています。

⑤情報管理インシデント対応
情報管理インシデントへの対応を迅速かつ適切に行うための体制や、エスカレーションルート、手順等をグローバルで整備しています。

⑥監査
部門ごとの情報管理の状態を情報管理推進部門が第三者観点で確認し、是正や改善の指示・提案を行っています。

⑦見直し
監査結果・インシデント・苦情を含む外部からの意見、法改正、環境の変化等を考慮し、情報保護マネジメントシステムの改善・見直しを図っています。

<個人情報の保護>

富士通は、グローバルでの個人情報保護体制を構築し、個人データ保護の強化を図っています。CISO組織と法務部門主導の下、各リージョンおよびグループ会社と連携し、GDPR(注1)を含む各国の法令に準ずる対応を行っています。個人情報の取り扱いに関しては各国の公開サイトにてプライバシーポリシーを掲載し公表しています。

  • (注1)
    General Data Protection Regulation(一般データ保護規則)の略。2018年5月25日に施行された個人データ保護を企業や組織・団体に義務づける欧州の規則で、個人データの欧州経済領域外への移転規制やデータ漏えい時の72時間以内の報告義務などが規定されています。

プライバシーマーク

日本では個人情報の保護を目的とし2007年8月に一般財団法人日本情報経済社会推進協会よりプライバシーマーク(注2)の付与認定を受けており、継続的に個人情報保護体制の強化を図っています。国内グループ会社でも、必要に応じて各社でプライバシーマークを取得し、個人情報管理の徹底を図っています。

  • (注2)
    プライバシーマークは、JIS Q 15001:2017に適合した個人情報保護マネジメントシステムの下で、個人情報を適切に取り扱っている事業者に付与されるものです。

<情報システムの認証取得>

富士通グループは、情報セキュリティの取り組みにおいて、第三者による評価・認証の取得を積極的に進めています。

リスク管理

<ITアセットの一元管理>

富士通グループは、お客様の安心安全でサステナブルな事業活動を支えるため、グローバルに展開しているお客様向けのITシステムおよび、社内ITシステムのITアセット管理を一元化し可視化することで、グループ全体のセキュリティリスクの特定と是正を速やかに実施しています。平時からのリスク管理を強化するとともに、CISO直轄組織によるリスク監査結果を見える化し、各プロジェクト部門における適切な現状把握と自律的な是正を促進していきます。

グローバルITアセット管理

<セキュリティアウェアネス>

お客様のITシステムを健全に維持するには、システマティックなシステム管理に加え、従業員一人ひとりのセキュリティに対する意識とスキルを向上させることが重要です。そこで富士通グループでは、従来から定期的に実施している全社教育の強化に加え、CISO通達など定期的な社内への情報発信により、社員への啓発と意識徹底を図るため、下記の施策に取り組んでいます。

①セキュリティ教育

  • 最新のセキュリティ脅威の動向やインシデント事例を共有し、従業員のセキュリティ意識向上を図る。

②セキュリティ相談窓口

  • 各種セキュリティに関する相談事項を現場に寄り添って支援する。
  • システムの設計段階からセキュリティ対策を支援する。(セキュリティバイデサイン)

③情報発信

  • セキュリティ情報発信サイトにおいて、脆弱情報発信やFAQにより情報取得が簡単にできるようにしている。

サイバーセキュリティインシデント対応

インシデント対応の構成要素

インシデントに即応するには、ログ分析、マルウエア解析、フォレンジックなど様々な専門分野の知識が必要です。また、サイバー攻撃は、その手口が巧妙化・複雑化してきており、インシデント対応者の知識向上だけではなく、継続的なトレーニング、セキュリティ監視の強化、インシデント対応プロセスの継続的な改善、インシデント対応記録のノウハウ化と活用など、様々な面からの強化が重要になります。

富士通グループでは、インシデント対応を構成する要素である、人、プロセス、データ、システムの強化と継続的な改善を実施しています。

<人:ケーススタディと訓練>

インシデントを完全に防ぐことは難しくなってきているため、「有事を起こさないための取り組み」から「有事が起こることを前提とした取り組み」に見直し、全社のインシデント対応力を強化すべく取り組んでいます。「有事が起こることを前提とした取り組み」の一つとして、富士通グループでは、社員を対象にしたインシデント対応訓練を実施しています。

具体的には、ビジネスや社内業務に携わるSE、ビジネスプロデューサーを対象にインシデント状況を想定して、実践的な検討を行う訓練を実施しています。さらに社会的インパクトのあるインシデントが発生した際にも、迅速な対応と影響を最小限にする目的で、役員や関連部署を巻き込んだ訓練を実施しています。

<データ:セキュリティ監視の高度化>

サイバーセキュリティを取り巻く環境は常に変化し、攻撃の手口は複雑かつ巧妙化の一途を辿っています。富士通グループでは、このような状況の下においても、富士通を取り巻く関係者の安心安全なビジネス遂行を実現するために、セキュリティ監視の高度化に取り組んでいます。本取り組みにおいては、最新の攻撃に追随するための最新技術導入などにより、データの質を向上させ、セキュリティオペレーション全体を俯瞰した最適化と改善を継続的に実施することで、環境の変化に対応できるようにしています。

<プロセス:インシデント対応プロセスの標準化>

サイバー攻撃の高度化・巧妙化に伴って、ネットワーク防御における従来の受動的なアプローチから侵入されたことを前提とした考え方へシフトする必要があります。インシデント対応に対する準備として、攻撃の検知、対応、回復などの一連の対応手順を文書化し、インシデント発生時には、関連する部署が適切に機能することが重要となります。富士通グループでは、インシデント対応プロセスに基づき、グローバルで統一した対応を行うとともに、インシデント対応の評価のフィードバックに基づいた継続的な改善を行い、インシデント発生時の迅速な対応と、影響を最小化する取り組みを実施しています。

<システム:インシデント対応のノウハウ化と活用>

日々対応する多くのインシデントの記録を単に保存するだけでなく、データ化しナレッジとして活用する取り組みを実施しています。データ化に関しては、インシデント対応情報だけでなく、社内の構成管理等、各種情報や外部ツールと連携することで、多様な観点での調査や深堀を図り、統合された情報を元に教訓化するなど、有事対応力の向上を目的に継続的な改善を実施しています。

インシデント対応から得られる情報は、攻撃者が使用したツール、プロセス、アクセス方法などに加え、インシデント対応者の行動など有益なものが多く含まれています。情報のノウハウ化として振り返りを実施し、行動を多面的に捉えて教訓化します。この教訓は、より多くの経験をもったインシデント対応者がどのように分析・対応するかを示すものであり、インシデント対応者の能力向上のための教材となります。富士通では、このノウハウ化された情報を効果的に活用することにより、インシデント対応に対して継続的な改善に取り組んでいます。


当社プロジェクト情報共有ツール「ProjectWEB」への不正アクセスに関連し、お客様をはじめ関係者の皆様には多大なるご心配、ご迷惑をおかけいたしました。取締役会の直下に設置した検証委員会からのご指摘も踏まえ、再発防止とセキュリティ強化に取り組んで参ります。

ページの先頭へ