サステナビリティ / ガバナンス 情報セキュリティ

基本方針

当社グループは、情報セキュリティに関する最上位規程「情報システムセキュリティポリシー」において、以下を定めています。

第1条(理念・目的)
私たちダイセルグループで働く全ての者は情報システムセキュリティポリシーおよび、関連規程に従い、情報システムセキュリティ維持に努めます。
第2条(遵守事項)
ダイセルグループで働く者は、以下の事項を遵守します。なお、情報システム資産とは、ダイセルグループの管理下にあるすべての情報システム機器・設備、ソフトウェアおよび情報を指します。
  • 情報システム資産を適正に管理し、破損・盗難・情報漏洩や改ざんの防止に努めます
  • 情報システム資産を適正に利用し、ダイセルグループの社会的信用維持に努めます
  • 情報システム資産を適正に使用し、ダイセルグループ内に於ける業務を円滑に遂行します
  • 情報システム資産の不適正な利用や漏洩・改ざんなどにより、ダイセルグループ内外に損害を与えないように努めます

2014年3月12日改訂

情報セキュリティ維持・問題対応体制

基本方針を実現するため、「情報システムセキュリティ基本規程」に基づき、情報システム部門担当役員を統括責任者とし、社内各部門/グループ企業に責任者・担当者を置く情報セキュリティの維持および問題発生時の対応体制を構築しています。情報システム担当部門内に情報セキュリティ統制チームを置き、本体制を通じて情報セキュリティに関する日常の運用管理や、問題が発生した部門・システム管理者との直接対応などの実務を遂行しています。

情報セキュリティ維持・問題対応体制

情報セキュリティ維持・問題対応体制

情報システムの利用者に対しては、システム利用時の情報セキュリティ関連ルールを「情報システム利用者規程」に定めています。これら情報セキュリティ関連ルールや異常時の連絡先を携帯冊子にして全社員に配布し周知することに加え、ルールに違反した場合の罰則を「懲戒運用規則」に定めることにより、情報システムの管理者・利用者双方を包含した情報セキュリティの維持に努めています。
また、情報システム利用に限定されない情報管理全般については「情報管理規程」および「秘密情報管理規程」に従い適切な管理に努めています。

情報管理

対策方針

多様な働き方を実現するためのリモートワーク環境拡充、生産性向上のためのAI/IoT技術導入など、管理すべき情報システム資産が増加する一方で、サイバー攻撃の高度化など情報セキュリティ問題が発生する要因も増加しています。社内外の状況が変化し続ける中においても、基本方針に定めた事項が遵守できている状態を維持するため、以下の対策を実施しています。

  • 問題の未然防止・検知・復旧
  • CAPDサイクルに基づく見直し

CAPDサイクル:計画を起点とした活動では重要な事実を見落としてしまうおそれがあると考え、当社では一般的なPDCAではなく、CAPDを改善サイクルとしています。

問題の未然防止・検知・復旧

問題を未然防止するための対策と並行して、完璧な未然防止は不可能という考え方に基づき、万一問題が発生した場合は速やかに検知し、速やかに復旧することで被害を最小化するための対策を実施しています。また、自宅などリモートワーク先からクラウドサービスへの直接アクセスなど、通信経路や情報共有手段の変化に応じた対策を順次実行しています。

未然防止・検知・復旧対策

横にスクロールします。

段階 主な対策
未然防止
  • オフィス系ネットワーク・制御系ネットワーク・外部ネットワークの相互接続点をファイアウォールで分離
  • 無認可通信、既知の不正通信遮断
  • システムログインの多要素認証強化対策
  • 私物デバイス、無認可クラウドサービスによる業務の防止
  • 社外関係機関からの情報入手
  • 社員への情報提供、定期的な教育・訓練(標的型攻撃メール対応訓練など)
検知
  • EDRソフトの活用と専門ベンダーによる不正通信の24時間365日監視・異常通知

    EDR:Endpoint Detection and Response

  • 重要システムのログ長期保管、異常自動検知
  • 異常発生、デバイス紛失など緊急時の連絡窓口整備
復旧
  • 情報セキュリティ維持体制に基づく対応
  • 重要サーバの定期バックアップ
  • 専門ベンダーとの対応支援契約

情報セキュリティ問題同様、システム大規模停止の原因となる自然災害に対しては、各システムの重要度に応じた復旧目標を定め、復旧目標を満たすための対策を実施しています。対策としては契約しているデータセンターの立地・設備確認だけでなく、二重化などシステム構成による対策、運用設計による対策を含みます。

情報システム以外のBCP強化策

CAPDサイクルに基づく見直し

対策内容の陳腐化や、不適切な運用による実効性の低下を防ぐため、定期的に社内外のチェックを受け、指示・指摘事項を対策計画や運用に反映しています。

CAPDサイクル実行図

CAPDサイクル実行図

CSIRT:Computer Security Incident Response Team

基本方針の遵守状況

2022年度に、経営に影響を及ぼす規程違反など当社グループ社員による情報セキュリティ、サイバーセキュリティに関する違反事項はありませんでした。