サイバーセキュリティ

基本的な考え方と推進体制

東ソーでは、自社の技術および経営情報、さらに取引先あるいはグループ会社などの重要な情報を厳格に保護することは、企業の持続的発展を保つための社会的責任であり重大な経営課題であると認識しています。「情報セキュリティポリシー」を制定し、情報セキュリティの確保と一層の向上を図っています。

情報セキュリティポリシー(一部抜粋)

  • 従業員一人ひとりが日々行う業務において、情報セキュリティの重要性を認識し、情報セキュリティに関するルールを遵守するよう、継続的に教育を実施しています。
  • 情報資産についてリスクアセスメントを実施し、そのリスクの重要性に応じた適切な対策を実施しています。
  • 関係法令、規則などの遵守を徹底しています。
  • 情報セキュリティインシデント発生時に、迅速かつ的確に対応し、事業影響の最小化に努めています。

推進体制

東ソーでは、情報セキュリティ管理責任者である担当役員のもと、IT戦略室を設置し、東ソーグループ全体での情報セキュリティ対策を推進しています。なお、情報セキュリティ対策に関しては取締役会に適宜報告しています。
また、各部門に1〜2人の担当者を選出する「システム化推進員制度」を設け、情報システムおよび情報セキュリティの現場取りまとめや教育・啓蒙活動などを水平展開するための補助員制度を導入しています。
さらに、情報セキュリティに関する資格取得者に対して報奨金を給付するなど、全従業員のセキュリティ意識向上も図っています。

セキュリティ対策について

プラント制御系システムや基幹システム、機密情報や個人情報などの漏洩・滅失・毀損による社会的信用や競争力低下を防止するため、経済産業省発行の「サイバーセキュリティ経営ガイドライン」や、各種サイバーセキュリティフレームワークなどを活用しています。組織全体での対応方針の策定を行い、セキュリティリスク管理を強化しています。

セキュリティ製品の導入

暗号化通信を復号・解読し、不審な通信を行っていないか確認するシステムを導入しました。また、日々複雑さを増すサイバー攻撃へ迅速に対応できるよう、24時間体制で攻撃検知・通知を行う専門組織(セキュリティオペレーションセンター)を設置し、サイバーセキュリティ事故発生リスクの早期発見・低減に努めています。また、万が一の侵入に備えてエンドポイントでの検知と早期対応が行えるEDR(Endpoint Detection and Response)を全社に導入しています。今後もますます高まるサイバーセキュリティの脅威に対応していくため、必要な投資を行っていきます。

従業員へのセキュリティ教育

従業員への啓発活動として、全事業所で「情報セキュリティポリシー」の遵守や事故事例を用いた注意喚起・防御策などの説明会を定期的に実施しています。ここでは従業員だけでなくサプライチェーン全体を意識し、最新動向なども踏まえての事例紹介などを行っています。

標的型攻撃メール訓練の実施

従業員にサイバー攻撃の脅威を体験させ、情報セキュリティに対する意識向上のため、攻撃メール訓練を行っています。これは疑似的な標的型攻撃メールを全従業員に配信し、実際の標的型攻撃メールへの対応力を高める体験型教育プログラムです。攻撃メールは年々巧妙さを増しているため、従業員一人ひとりが適切な対応を取ることができるよう、継続して訓練を行っています。

ワーキンググループへの参加

今後の情報セキュリティを取り巻く環境は、日々変化していきます。東ソーでは、業界団体のワーキンググループなどへ参加し、最新の情報を常に収集しています。これによって得られた情報は、関連部門と共有するとともに、社内教育に活かすことで、自社のセキュリティ対策に役立てています。

個人情報の保護

東ソーでは「個人情報の保護に関する法律」に基づいて「個人情報取扱規程」を策定し、会社における個人情報の取り扱いとその保護のために必要な体制を定め、個人情報の適正な管理と保護を行っています。
また、EU一般データ保護規則(GDPR)に対応したグローバルな個人データ保護体制を整備し、適切に管理しています。