情報セキュリティマネジメント
マテリアリティ
GRC
マネジメント情報
事業活動との関わり
情報セキュリティリスクを経営に直結するリスクと捉え、そのマネジメント強化に取り組んでいます。
事業活動に関わる顧客や取引先を含むさまざまなステークホルダーから預かる重要な情報を適切に管理し、信頼性の高い製品・サービスを継続して提供することで企業の社会的責務を果たします。
また、事業活動においてITの利用が浸透しデジタルデータの保全がさらに重要となる中で、不二製油グループのDXを推進するため不正アクセスやサイバー攻撃による被害を確実に抑止し、企業価値のさらなる向上に努めます。
考え方
情報システムを取り巻くさまざまな脅威に対し、情報資産の機密性・完全性・可用性を確保・維持するためにセキュリティレベルの向上に取り組んでいます。不二製油グループの方針として、情報管理規程および情報セキュリティ規程を策定し、規程の周知徹底に向けた従業員教育を継続して行っています。技術的には、外部からの不正アクセスを防御する仕組みやコンピュータウイルスを防御する仕組みなど、多層的な対策を講じています。今後も、情報セキュリティレベルの検証・確認・向上を継続します。
推進体制
最高財務責任者(CFO)の管掌のもとで取り組みを推進しています。同管掌役員のもと、情報管理統括責任者およびCSIRT(Computer Security Incident Response Team)を設置しています。CSIRTが各グループ会社に対して情報管理責任者および情報セキュリティ管理者を指名するとともに、外部の専門家の助言を得ながら、計画的に全グループ会社の情報セキュリティ水準向上を図っています。
また、ESGマテリアリティ※1の一つとして、取締役会の諮問機関であるサステナビリティ委員会※2において進捗や成果を確認しています。
目標・実績
〇:目標に対して90%以上達成、△:目標に対して60%以上達成、×:60%未満
| 2022年度目標 | 2022年度実績 | 自己評価 |
|---|---|---|
| リスクトレンドを反映した、グループポリシー「情報セキュリティ規程」の見直しと更改 |
|
〇 |
考察
COBIT※レベル4では、ITセキュリティを担保する活動の実施を証明すること、情報資産保護およびITセキュリティ確保の遵守状況が測定できることの2点に加え、これらの改善が必要な場合に対処できる状態であることが求められています。これらの要件への対応を目的に導入した、セキュリティ内部監査を含むCSIRTによる評価活動において、2022年度はグループ会社5社の対応状況を確認しました。これらの活動により情報セキュリティマネジメントのPDCAサイクルを確実に実行しています。
評価結果の要改善項目に対しては、CSIRT支援のもとグループ会社で対策を立案し、各社の情報管理責任者の承認を受けた上で改善活動を推進しています。
※ ITガバナンスの成熟度を測るフレームワークで、0〜5段階で評価。5が最も成熟しているレベル(Optimizing)。
Next Step
2022年度改訂のグループポリシー「情報セキュリティ規程」の各社への浸透ならびに確実な遵守を目的として、ITとOT※両面においてセキュリティ対策支援を継続します。
- セキュリティ内部監査を含むCSIRTによる対策状況評価活動の継続実施(2023年度計画:IT評価6社、OT評価4社)
※ 工場などの制御機器を制御し運用するシステムやその技術。
具体的な取り組み
教育
不二製油グループの従業員を対象に、2018年度よりeラーニングを中心としたITセキュリティ意識向上のための教育を実施しています。2022年度の受講率は96.2%※で、今後100%を目指して教育内容の充実・受講の促進に努めます。
- ※ 対象者:会社貸与のメールアドレスを持ち、通常業務でPCを使用する役員、執行役員および従業員。
セキュリティ内部監査
不二製油グループにおけるセキュリティ要件への遵守状況を、明示的な証跡とともに把握し、是正のためのPDCAサイクルを構築するために、2020年度よりセキュリティ内部監査を実施しています。2023年度は監査評価項目を刷新し、OTにおけるセキュリティ対策状況の確認や、業務部門の利用するクラウドサービスに対する確認も含めて、内部監査・自己点検を継続していきます。