サイバー攻撃への対応

1.サイバー攻撃への対応について

キリングループでは、近年増加・高度化するサイバー攻撃の脅威に対応すべく、以下の体制と施策を整備しています。

  • KIRIN-CSIRT(Computer Security Incident Response Team)を設立。セキュリティインシデントの早期発見と初動対応、原因分析を行い、被害を最小化するための専門チームを運営
  • SOC(Security Operation Center)と連携し、機械学習機能を持つセキュリティツールを導入、インシデントの自動検知・即時対応体制の強化
  • 各種ツールを導入し多層化した仕組みで検知・防御を行うことで業務停止や情報漏洩に繋がる被害を未然に防止
  • サイバー保険の活用を含むグローバルでのリスク移転施策を展開

2.情報セキュリティの基本方針

キリングループでは、情報セキュリティを「グループにとっての重要リスク」と明確に位置付け、以下の三本柱で対策を体系化しています。

  • 1.
    社内ルールの整備と従業員教育の徹底
  • 2.
    グループ内ガバナンスの強化
  • 3.
    技術的対策の推進

これらを基に、グループ共通の「情報セキュリティ規程」や各種マニュアルの整備や、ISO/IEC27001(JIS Q 27001)に準拠したルール体系を採用し、状況に応じて柔軟な見直しも行っています。

また、グローバル標準に準拠した「プライバシーデータ保護ポリシー」を策定し、OECDの8原則や各国の法規制への対応も進めています。

情報セキュリティの体制

キリングループの情報セキュリティ体制は、拠点ごとの担当者の配置とグループ全体の統合的なガバナンス体制の両立を図っています。

  • 情報セキュリティ管理者を各事業会社に配置し、権限移譲を受けて体制の構築・維持・管理を実行
  • グループリスク・コンプライアンス委員会を中心に、全社横断的にリスク抽出・評価を実施し、重要リスクを確定
  • 国内外の各拠点(工場、営業拠点、研究所など)において、情報セキュリティの管理担当者を任命
  • キリンホールディングス デジタルICT戦略部が全社の情報セキュリティ統括・推進部門として機能
情報セキュリティガバナンス体制を示した図。図は上から下に流れるフロー構造で、最上部に赤い帯で「ガバナンス体制」とあり、直下に「情報戦略担当役員 リスクマネジメント方針」と記載された箱があり、「承認」と矢印が右側にあり、「施策計画の承認」「情報セキュリティリスクの把握」と書かれている。次に「情報部門 キリンホールディングスデジタルICT戦略部、キリンビジネスシステムズ」と記載され、右側には「計画策定・モニタリング」とあり、「施策の計画策定と実行(教育・規程等の整備など)」「場所別で導入するシステムや機器の確認」「各場所への利用状況・状況報告などの対応指示 対応状況のモニタリング」と説明が記載されている。さらに下段には「各場所(責任者担当者)本社、営業拠点、工場、研究所、国内グループ各社など」とあり、右側には「施策・維持管理の実行」として「施策の実施、場所内での実施状況の収集」「維持管理の実施および施策、場所内での実施管理状況の取りまとめ」「利用状況の確認、状況の報告」とある。各階層は上下の矢印で「指示」「教育・指示」「報告」でつながっており、情報セキュリティ対策の実効性を高めるための体制と役割分担を示している。

情報セキュリティの取り組み

キリングループでは、情報セキュリティを企業活動の根幹に関わる重要課題と捉え、技術的・人的・物理的な観点から多角的な取り組みを展開しています。

これらの施策は、単なるリスク回避にとどまらず、持続可能な成長と信頼性の高い企業運営を実現するための基盤として位置付けています。

教育と人材育成

  • eラーニングを通じて、全従業員が情報セキュリティの知識を習得可能な体制を整備
  • 約400人の情報セキュリティ管理担当者を対象にした研修を実施し、基本的な認識を持つ「認知者」から、内容を理解し行動できる「理解者」への段階的育成を実施
  • KISeP(Kirin Security Portal)」を設置し、反復学習や相談、情報共有を促進

技術的対策

  • スマートデバイスのセキュリティ対策を徹底
  • 委託先やクラウド利用においても、利用規程・契約管理・通信制御などによりセキュリティリスクを抑制

物理的対策

  • 入退室管理
  • リモートワークガイドラインを策定し、「不用意な会話」「情報ののぞき見」などへの注意を促進
  • リモート環境下でも万全なセキュリティが確保できるよう、チェックリスト形式の注意喚起を従業員に周知

関連情報