基本的な考え方
インフロニアグループでは情報セキュリティを重要な経営課題と位置づけています。デジタル戦略の三本柱のひとつ「デジタル基盤戦略」の中でも最も重要な要素として、グループ全体で一貫したセキュリティ体制の構築を推進し、ビジネスの成長と持続可能性を下支えする安全なIT基盤の構築を目指します。
情報セキュリティガバナンス
グループ情報セキュリティ基本方針
当社グループの「グループ情報セキュリティ基本方針」を制定しました。当社グループの事業活動における情報セキュリティに関する基本方針となります。
▶詳細は情報セキュリティ基本方針をご覧ください
グループ情報セキュリティ体制
グループ横断のCSIRT※(以降、INF-CSIRT)を設立し、セキュリティインシデント発生時の対応力強化に取り組んでいます。平時の活動として、各グループ会社のセキュリティリスク評価の実施、組織に対するサイバー攻撃などの脅威情報の整理・分析、従業員教育等のセキュリティレベル向上に向けた施策を推進しています。
※CSIRT:Computer Security Incident Response Team
グループ情報セキュリティ体制図
- 各事業会社情報セキュリティ担当役員から構成される「グループ情報セキュリティ責任者会議」にて意思決定
- 各事業会社情報セキュリティ担当部門長・担当者から構成される「INF-CSIRT」にて①インシデント発生時の情報連携・全体統括②平時の活動(情報収集、インシデント検知、計画策定等)を実施
グローバルなフレームワーク・ガイドラインに基づいた情報セキュリティ対策実施状況の確認
2024年度より、当社主要子会社4社(前田建設、前田道路、前田製作所、日本風力開発)において、セキュリティ専門会社のセキュリティ評価プラットフォームを採用し、ISO/IEC 27001/2、NIST CSF、NIST SP 800-171、CIS Controls、サイバーセキュリティ経営ガイドライン等を踏まえたセキュリティ評価を実施します。
この活動を通じて、各社は個社の情報セキュリティ対策の実施状況を数値化し、必要な対策を洗い出した上で改善計画を立案、着実に実行します。
並行して、 INF-CSIRTでは各社の情報セキュリティ対策の実施状況を確認し、グループ横断で優先的に取り組む対策の明確化を行います。
2025年度以降は、各社でのPDCAサイクルを確立するのと同時に、INF-CSIRTにおいてグループ共通の対策を抽出・実行することで、関連業務の効率化・高度化を促進するプロセスを確立します。
こうした取り組みを継続することにより、グループ全体でのセキュリティレベルの底上げを行います。また、グループ全体でのセキュリティ対策の実施に伴うコストの最適化を追求します。
生成AIサービスの活用に向けた取り組み
当社グループでは、社内向けAIチャットサービス<ダックチャット>を構築し、グループ各社に展開していく予定です。グループ社員が安全・安心にAI技術を活用できるよう、情報セキュリティの観点も盛り込んだ「生成 AI サービス利用ガイドライン」を、併せて整備します。
情報セキュリティ対策
INF-CSIRTによる情報セキュリティ改善取り組みの状況(2024年度の取り組み全体像)
INF-CSIRTが中心となり、当社主要子会社がそれぞれ個別に実施していた情報セキュリティ施策を整理・統合しています。グループ全体コストの最適化、施策の高度化を実現しています。
※1 ASM … Attack Surface Management 詳細は後述の「セキュリティ診断(ASM)の実施」に記載
※2 DMZ … DeMilitarized Zone インターネットと内部ネットワークの間に位置する境界区域
※3 EDR … Endpoint Detection and Response エンドポイントでの検知と対応を行う製品
※4 SOC … Security Operation Center セキュリティインシデントを発見・分析し対応を行う専門組織
人的な情報セキュリティ対策
- セキュリティ事案対策演習の実施
インフロニア・ホールディングス、当社主要子会社4社の情報セキュリティ担当部門長に加え、各社の広報・法務・監査といった関係部門長、およびINF-CSIRTメンバーのインシデント対応力の強化に向けて、外部セキュリティベンダーによる事案対策演習を実施します。INF-CSIRT体制の見直し、運営マニュアルの整備・更新といった改善活動につなげていきます。
- ユーザ研修・標的型攻撃メール訓練の実施
当社グループ共通の教育コンテンツを作成し、全役職員を対象に継続的な研修を実施します。E-ラーニングを通じてセキュリティ意識の向上を図るとともに、研修の修了条件として各社の社長に向けた誓約書の提出を必須化します。
併せて、標的型攻撃メール訓練を年間を通じて複数回実施し、不用意な開封(メールに記載されたURLのクリックや添付ファイルを開くこと)の未然防止や、開封してしまった場合の情シス部門への報告手順といったノウハウを身につけ、普段から意識的に行動できるよう促していきます。
また、こうした開封・報告の状況を定量的に把握するための、グループ共通のクラウドサービスを導入し、データに基づく効果的な改善活動へつなげていきます。
技術的な情報セキュリティ対策
- 脅威インテリジェンスの構築
情報セキュリティの国際規格ISO/IEC 27002の2022年2月の改定で組織が講ずべき管理策として「脅威インテリジェンス」が追加されたことを踏まえ、当社グループにおいても運営を開始しました。
具体的には、ダークウェブ上での当社グループのメールアドレス・認証情報を始めとした情報流出状況の把握や一般のサイバー脅威の情報を収集・分析することにより、先行的な対策が可能となり、被害の予防・軽減を目指します。
- セキュリティ診断(ASM)の実施
2024年度は、当社主要子会社4社のアタックサーフェス、すべてのVPN機器・外部公開機器を対象として、インターネット上の公開情報をもとに調査を実施する予定です。従来の申告に基づく機器以外の機器も探索対象に含め、調査対象を拡大するとともに、グループ全体でのアタックサーフェスのリスク評価を実施します。
特に高リスク機器については優先的な対応を行い、効果的な情報セキュリティ状況の改善を行っていきます。
- グループ共通EDR・SOC体制の構築
各社でまちまちのEDR・SOC体制を見直し、グループ共通のフルマネージド、24時間365日対応の体制を構築していきます。併せて、ライセンス数の統合による導入コストの削減、INF-CSIRTのインシデント対応力強化を目指します。