サイバーセキュリティ報告書
セキュリティオフィサーメッセージ
当社を取り巻く経営環境は、少子・高齢化およびデジタル化の進展や、社会・環境問題への意識の高まりなど、これまでにない速さで大きく変化しております。このような環境変化を踏まえ、長期的にめざす姿を「地域に根ざし、ともに歩む存在として選ばれるソリューション・カンパニー」とし、2022年度~2024年度に実施する中期経営計画は、「変革を加速し、成果を具現化する3年間」と位置づけ、3つの基本テーマとして「Growth」「Change」「Sustainability」を掲げております。これらを実現するためにはシステムの安定稼働が必要不可欠であるため、その阻害要因となるランサムウェア被害のようなサイバーリスクを引き続き当社のトップリスクとして位置づけております。このリスクに経営主導で対応していくため、2022年4月に「サイバーセキュリティ経営宣言」(※1)を策定しました。具体的なサイバーセキュリティ対策の方針としては、ガバナンス、システム、人財面等それぞれの強化、サプライチェーンリスク(※2)の管理やサイバーハイジーン(※3)の徹底、サイバーレジリエンス(※4)の向上等を設定しており、これらの実現のため中期経営計画におけるIT投資予算額の5%以上(※5)をサイバーセキュリティ関連投資額としました。また、2023年1月に体制面の強化として、グループ全体のサイバーリスクを見とおす「サイバーディフェンスセンター」を設立しました。同年3月にはサイバーセキュリティ共助を当社グループの枠組みを超えて進めるため、MEJAR参加行6行とNTTデータ地銀協同センター参加行13行と共同で「CMS-CSIRT」を設立しました。(※6)
コンコルディア・フィナンシャルグループでは、これまでも統合報告書等でサイバーセキュリティ対策状況を公開してまいりましたが、サイバーセキュリティに関する日ごろからの私たちの取り組みと今後の方針に特化したかたちでステークホルダーの皆さまに紹介したいと考え、本報告書を作成しました。ぜひご一読いただき、当社活動への理解を深めていただけますと幸いです。
株式会社コンコルディア・フィナンシャルグループ
ICT統括部担当役員(セキュリティオフィサー)
小貫 利彦
- (※1)
- (※2)
自社以外の外部委託先等で発生する可能性のあるサイバー攻撃に関するリスク
- (※3)
ハイジーンは衛生を意味し、衛生管理のように基本的なサイバー攻撃対策
- (※4)
サイバー攻撃を受けた際、被害の最小化や迅速な復旧が可能な能力
- (※5)グローバル水準並みの投資比率(外資系調査会社調べ)
- (※6)
サイバーセキュリティガバナンス
組織
2023年度より当社ICT統括部内にセキュリティ統括室を組成し、室内に「サイバーディフェンスセンター」を設置しています。サイバーディフェンスセンターはグループ各社のCSIRTメンバーから構成される「CFG-CSIRT(※7)」と「プライベートSOC」から構成されています。
CFG-CSIRTではグループ企業に対するサイバーセキュリティガバナンスの推進やMEJAR行とのサイバーセキュリティに関する定期的な情報連携を実施し、プライベートSOCでは最新の統合ログ監視ツールや自動化ツールを活用してセキュリティインシデントの早期発見および対処に取り組んでいます。
また、サイバーセキュリティを専門とする社外弁護士とアドバイザリ契約を締結しており、各種対応における法律面での確認も確実にしております。
- (※7)Computer Security Incident Response Teamの略。セキュリティインシデントに対応するための組織
経営層の関与
経営主導でサイバーセキュリティ対策を実施することを明確にするため、2022年4月には「サイバーセキュリティ経営宣言」を策定しています。体制面では、当社グループ全体のセキュリティの統括者としてICT統括部担当役員をセキュリティオフィサーとすることをセキュリティポリシーにて定義しています。また、取締役を中心に構成される定期的なAML・リスク管理会議や社長報告、CSIRT会議等において脅威や規制動向、それらを踏まえたセキュリティ対策、現在の状況を議題として報告し、報告内容に関して経営陣により指導、チェックが適切に実施される体制になっています。
セキュリティに関する規則体系
業務を継続的・安定的におこない情報資産の安全性の確保を徹底するため、当社取締役会が定めたセキュリティポリシーを頂点とし、セキュリティスタンダード、情報セキュリティ要領といったさらに細かい諸規定を定めています。また、法改正やトレンドを反映させるため、定期的な見直し・改正も実施しています。
グループ企業は当社セキュリティポリシーに基づき自社のセキュリティポリシーを定める必要があるため、当社の方針は隅々まで行き渡っています。
情報管理体制
当社グループはお客さま情報、経営情報等様々な種類の情報を多数保有しています。当社グループはこれらの情報を適切に管理し、情報を外部に漏えいさせたり業務に関係のない者が閲覧したりすることのないよう、物理的・システム的なアクセス制御の実施に加え、情報分類・定義を各種規程・規則を整備したうえで厳格に定め、役職員に周知徹底しています。システムの仕様については、企画・開発段階についてはセキュリティ・システムリスク専任要員によるセキュリティレビューを実施し、システムの新規公開前と公開後の定期的な脆弱性診断を外部セキュリティベンダによって実施することで、安全性を高めています。
お客さま情報のような個人情報をシステムに保管する際は専用のツールを用いて暗号化を実施しており、またお客さまの端末から公式サイトやインターネットバンキングに接続する際の通信も暗号化を実施しています。これらの管理は各システムのセキュリティ責任者でもある各所管部署の長がその責任を負い、監査部による客観的なチェックを実施することでお客さまの個人情報の適切・安全な取り扱いに努めています。また、クレジットカード発行業務に関しては、クレジットカード業界の国際的なセキュリティ基準であるPCIDSSに準拠して運用しています。
クラウドサービスの利用や業務委託先に当社グループの情報を預ける際は、契約先・委託先への当社グループのセキュリティ基準についての準拠状況評価を、契約時だけでなく契約後も定期的に実施しています。具体的には契約先・委託先のシステムの安全性に関する評価と、その従業員(契約社員・委託先も含む)への教育状況等情報管理態勢面の評価を実施しており、基準に満たない場合は改善の要請または委託先の変更を実施しています。
情報レベルと定義(抜粋)
| 情報分類 | 定義 |
|---|---|
| 最重要 | 当社グループ内会社の顧客情報、株主情報、人事情報など、職務権限上認められた者のみ使用可能で、漏洩、喪失などにより個人情報保護の問題を生じるなど、当社グループ内会社の業務に大きな影響があることが予測される情報。 |
| 重要 | 規程、通達など、漏洩、喪失などによる影響が、当社グループ内および特定関係者に限られる情報。 |
| 一般 | 開示情報など、公知となっている情報。 |
サイバーセキュリティ対策
当社グループはこれまでもNIST(※8)が定める国際標準ガイドライン「CyberSecurity Framework」にもとづいた外部監査や、ホワイトハットハッカーが実際に内部のシステムに侵入し脆弱性を評価するTLPT(※9)を実施して課題を抽出し、対策を強化しました。2021年度からは毎年のTLPTの実施に加え、グローバル金融機関のセキュリティ水準を目指すために米国の金融機関で広く使われるFFIEC(※10)の「Cyber security Assessment Tool(CAT)」を活用して外部監査を実施し、抽出された課題に対し継続して取り組みの強化を進めています。
- (※8)米国国立標準技術研究所
- (※9)Thread-Led Penetration Test(脅威ベースのペネトレーションテスト)
- (※10)米国連邦金融機関検査協議会
本中期経営計画における、サイバーセキュリティ施策実施予定事項(一部)
- サイバーディフェンスセンター(プライベートSOC※11)立ち上げ
- セキュリティ監視運用自動化
- セキュリティ情報の経営層向けリアルタイムダッシュボード構築
- IT資産の脆弱性・リスク管理の自動化
- ゼロトラストセキュリティ(※12)のアーキテクチャ強化
- 次世代SIEM(※13)基盤による分析高度化と自動化
- 継続的な外部監査・評価(CAT、TLPT)の実施
- 戦略、運用、戦術それぞれにおける脅威インテリジェンス(※14)の活用
- (※11)Security Operation Centerの略。これまではセキュリティ会社に委託。
- (※12)社内環境であったとしても確認をするまでは安全と判断しない、性悪説にもとづくセキュリティの考え方。
- (※13)Security Information and Event Managementの略。
- (※14)攻撃者の目的や手段を分析することで、セキュリティ対策に活用できる情報。
教育・啓発
教育
当社グループではグループ役職員全体のサイバーセキュリティに関するリテラシー向上が不可欠と考えており、グループ役職員全体に対して不審メール訓練を年に複数回、研修についてはE-learning形式で年に2回以上実践的な題材(※15)を用いて実施しています。また、新入社員、新任役職者、管理役職者、統括役職者等、階層に応じた研修を、経営層向けには外部から専門家を招いた勉強会も実施しています。
なお、不審メール訓練に関しては、継続的な実施により訓練メール本文に記載されたURLのクリック率は1%程度の低水準を維持しています。
- (※15)イスラエルのスタートアップ企業AironWorks社とデザインパートナーシップを締結し、当社に最適化された実践的な内容を作成
サイバーディフェンスセンターの専任社員に対してはCISSP、情報処理安全確保支援士の取得を推奨しています(研修・取得費用および維持費用は全額会社負担)。
また、Global Information Assurance Certification (GIAC) 、Offensive Security Certified Professional (OSCP)のようなより専門的な国際資格の取得・トレーニング、セキュリティカンファレンスへ参加および情報セキュリティ大学院大学(博士前期課程)への派遣により、専任社員の知識・技量向上に取り組みます。これに加え、専門家の中途採用も目標値を定めたうえで、継続的に採用・育成を実施します。
専任社員の保有資格一覧
- CISSP (Certified Information Systems Security Professional)
- 情報処理安全確保支援士
- GCIH (GIAC Certified Incident Handler)
- OSCP (OffSec Certified Professional)
- CISM (Certified Information Security Manager)
- CISA (Certified Information Systems Auditor)
- CRISC(Certified in Risk and Information Systems Control)
- PMP (Project Management Professional)
訓練
万が一緊急事態が発生したとしても、迅速・スムーズな対応を実施するため、年間をつうじて多数の訓練に参加し、技量の維持とインシデントの種類(ランサムウェア感染、DDoS攻撃、情報漏洩等)に応じた対応手順のさらなる改善につなげています。
参加・実施訓練一覧
- 金融業界横断的なサイバーセキュリティ演習 (Delta Wall)
- 金融ISAC共同演習
- 金融ISACサイバークエスト
- NISC分野横断的演習
- 経営層向け訓練
- MEJAR-CSIRT演習
啓発
フィッシング詐欺等による不正送金が多発していることを受け、一般財団法人日本サイバー犯罪対策センター(JC3)に加盟し、インターネットを利用した金融犯罪の情報収集に取り組んでいます。不正送金の手口や当社名をかたった不審メール、SMS(ショートメッセージ)の事例、フィッシングサイトの立ち上げ等のお客さま向け注意喚起情報を得た際は当社ホームページ上に掲載し、お客さま向けに注意喚起を実施しています。
サイバーセキュリティに関する共助、地域貢献
業界団体との共助
国内金融機関全体のセキュリティを向上すべく、500社弱が所属する団体「金融ISAC」に加盟しています。ワーキンググループへの参加や日々の情報共有を積極的に実施し、他社と「共助」の考えでセキュリティ向上施策について取り組んでいます。2022年度からはJNSA(日本ネットワークセキュリティ協会)にも参加し、金融以外の業界に所属する専門家とのセキュリティに関する活動に取り組みます。
地域金融機関同士の共助
広島銀行を含むMEJAR参加行6行と、NTTデータ地銀共同センター参加行13行と共同で、サイバーセキュリティ共助を推進するための組織「CMS-CSIRT」を設立しました。参加行のセキュリティ部門間の関係構築、セキュリティ強化に資する情報共有、セキュリティ担当者の能力向上に資する勉強会、共同でのセキュリティ対応訓練や演習などに取り組んでいきます。また、将来的なセキュリティ製品の共同調達やリソースの共有についても検討を進め、地域金融機関のセキュリティ態勢強化に取り組んでいきます。
地域貢献
地元の企業や学生、個人の方のセキュリティ知識の向上を支援するため、神奈川県を本拠地として活動している企業、団体が中心となり神奈川県発のサイバーセキュリティ啓発イベント「神奈川サイバーセキュリティフォーラム2022春」を開催しました。このイベントではサイバーリスクの概要から実際の対策事例、サイバー犯罪や対策技術の動向等、参加いただく方にとって有益な情報を発信していきます。
また、「神奈川県企業サイバーセキュリティ対策官民合同プロジェクト」にも参加し、産官学で連携して中小企業への普及啓発を柱に活動を進めていきます。
