情報セキュリティ

情報セキュリティを向上させ、最新の脅威に対応していくためには、トップマネジメントのサポート、コミットメント、説明責任が不可欠です。Santenでは、情報セキュリティのバックグラウンドを持つチーフデジタル＆インフォメーションオフィサーが最高情報セキュリティ責任者（CISO）を務め、グローバルな情報セキュリティ戦略とその実行を担っています。
CISOの役割と責任は、「情報セキュリティ規程」に明記されている通り、情報セキュリティガバナンスやフレームワークの維持に責任を持ち、情報と事業のリスクに焦点を当て、重要な事業プロセスとアプリケーションの保護に注力すること、機密情報などの情報資産の管理、情報セキュリティ体制の維持・発展に責任を負い、新しいシステムが安全に開発、運用されるようにすることなどが含まれます。この役割の中で、CISOは日々の情報セキュリティの取り組みとそのリスク状況などについて、取締役会に報告します。
昨今の情報セキュリティに係る脅威と迅速なインシデント対応および復旧の必要性を踏まえて、Santenではグローバル標準の情報セキュリティフレームワークを活用し、管理体制やプロセス、対策の見直しを継続的に実施し、情報セキュリティのさらなる向上を目指しています。
インシデント対応の組織としてCISOを中心としたCSIRT（※）組織である、「Santen-SIRT(Santen Security Incident Response Team)」を設置し、社内の関連部署や外部関係各所と連携し、情報セキュリティインシデントに備えています。

当社はグローバルな情報セキュリティフレームワークに基づき、事業継続において重要な資産の洗い出し、サイバー攻撃やシステム障害による影響の把握、復旧のためのバックアップ計画の見直し、復旧手順の明文化および訓練を実施しています。
また、リスク管理委員会と連携し、インシデント発生時の事業継続計画の見直しや連絡手段の確保について継続的に協議しています。

外部に公開されている資産に対して、脆弱性管理ツールを利用した定期的な脆弱性スキャンを実施し、脆弱性の把握と是正対応を継続的に実施しています。
また、潜在的なリスクからSantenの資産情報を守るために、専門的な脅威インテリジェンスツールを活用しています。
インターネットに公開するシステムについては、公開前に脆弱性検査を必須としており、リスクに応じて外部の専門家による検査を実施しています。

社内のリスク管理委員会や内部監査室と連携しながら、情報セキュリティ対策の実施状況を継続的に見直しています。
また、情報セキュリティベンダーや外部のコンサルタントによる定期的な外部監査も実施し、指摘事項に対する改善策を計画・実施しています。
監査においては、グローバルの情報セキュリティフレームワークやベストプラクティスを活用し、新たなリスクに合わせて定期的に実施しています。

従業員への攻撃経路になりやすい、フィッシングメールなどの不審なメールは、全社共通の専用ツールで情報セキュリティチームに報告できる体制を整えています。報告内容は自動的に調査プロセスへ連携されます。
また、情報セキュリティインシデントについては、研修で情報セキュリティチームへの報告方法を啓発し、ヘルプデスクに問い合わせがあった場合でも情報セキュリティチームに適切に引き継がれます。
従業員にとってリスクが高いと判断される情報は、全社ポータルなどを通じて、具体的な攻撃事例や対処方法などを適宜通知しています。

従業員向けの情報セキュリティ研修は以下の3種類を組み合わせて実施しています。