Best Technology, Better Future

社会

情報セキュリティー

情報保護体系

  • 資産管理、人的セキュリティー、物理セキュリティー、情報技術セキュリティーなどを統合した全社セキュリティー規程とガイドを策定しています。

    情報セキュリティー管理強化のための最高情報セキュリティー責任者(CISO)を指定

    代表取締役の傘下に「情報セキュリティー協議会」運営による情報保護管理の強化及び改善努力

  • 個人情報保護法の遵守、プライバシーポリシーの制定などにより自社情報保護の義務を付与しています。

    個人情報関連リスク及び侵害防止管理ための個人情報保護責任者(CPO)を指定

全社情報セキュリティー組織図

informationsecurity_png informationsecurity_png

情報保護戦略

情報保護及びプライバシーポリシー
ISO 27001(情報セキュリティー経営システム)を見る
  • 情報保護に対する企業責任を強化するためにISO 27001取得及びそれに伴う情報セキュリティマネジメントシステム(ISMS;Information Security Management System)を構築し、情報保護方針を制定しました。

    全社セキュリティー規程とガイドに基づき企業の資産を安全に保護し、情報セキュリティー政策及びセキュリティー事故対応のために11つの指針を運営しています。

ISO 27001(情報セキュリティー経営システム)を見る
情報セキュリティー指針
  • 1. 情報セキュリティー組織の運営
  • 2. 情報資産の管理
  • 3. 人的セキュリティー
  • 4. セキュリティー事故対応
  • 5. 法規遵守及び事業特性別のセキュリティー管理
  • 6. セキュリティー監査
  • 7. 物理セキュリティー
  • 8. PC及びモバイル機器のセキュリティー
  • 9. 情報技術セキュリティー
  • 10. 国家中核技術のセキュリティー管理
  • 11. 協力会社のプロジェクトセキュリティー
従業員のセキュリティー認識の強化
  • 全従業員のセキュリティ認識を強化するため、定期的に情報セキュリティ教育、広報、訓練を実施

    毎年全従業員対象のセキュリティー教育を実施しており、新規入社者、退職予定者、協力会社、訪問者、国家中核技術・個人情報取扱者など各対象に合った教育プログラムを実施します。

    社会的イシューとなるセキュリティー事故発生時には、事例分析と留意事項を社内掲示板で全従業員に周知します。

    毎月Securityニュースレターを配信し、国内外で発生した多様なハッキング事故や最新のセキュリティートピックなど伝えるこ とで、従業員のセキュリティー認識強化のために継続的な努力をしています。

    最近話題になっているソーシャルエンジニアリング攻撃に対応するために従業員を対象に定期的な模擬訓練を実施しています。

    模擬訓練:有名ポータル、政府機関を名乗るなりすましメールなどを実際に従業員宛てに送信し、メール内容の閲覧、フィッシングサイトへの接続、個人情報の入力などをチェックする。

informationsecurity_letter

<Security Letter>

情報保護活動

ネットワークセキュリティー
  • インターネットからの外部浸入を遮断・監視するためのインターネット関所を24時間管制

    外部浸入が発生した場合、社内手続きに従った侵害に対応するCERT(Computer Emergency Response Team)が構成されます。構成されたCERTは外部分析機関及び政府機関と協力して被害を最小化するために攻撃に対応し、関連措置をとります。

    重要データを保護するために外部ネットワークと社内ネットワークの間につくられたエリア、すなわちDMZ(Demilitarized Zone)を運営。

    ファイアウォール(Firewall)によりDMZ、業務・設計ネットワークなど主要ネットワークを保護するとともに、トラフィックを継続的にモニタリング。

    ファイアウォールでは信頼できるトラフィックのみがネットワーク通信でき、信頼できないトラフィックはネットワーク通信を遮断。

    許可されている機器のみがワイヤレスネットワーク接続できるようにWIPS(Wireless Intrusion Prevention System)を構築運営。これにより業務用ワイヤレス機器の使用のみが許可され、個人用スマート機器など許可されていないワイヤレス機器からのネットワーク接続を遮断。

重要情報のためのネットワーク分離
  • ネットワーク分離とは完全に隔離された環境で仕事ができるようにネットワークを分離運営する技術で、コアスキルである半導体設計業務を一般業務ネットワークから完全に分離運営しています。

    分離されたネットワークから一般業務ネットワークにデータ移動するには、別途手続きでの承認が必要で、これにより設計関連情報の外部流出を根本的に遮断しています。

    業務用PCのVDI(Virtual Desktop Interface)による仮想化を完了し、業務ネットワークとローカルPCを分離。

    従業員の在宅勤務など社外からの接続時にもセキュリティー的に安全なVDI環境を提供し、効率的業務遂行をサポート。

物理セキュリティー
  • 出入管理システムの運営(事前に許可された人のみが出入り可能)

    許可されていないノートパソコン、記憶装置の持ち出しを防止するためにX-Ray、金属探知機によるセキュリティー検索を実施

  • セキュリティー用紙ソリューションの導入(2023年~)

    社内でのプリントアウトはセキュリティー用紙のみ可能、文書の無断持ち出し遮断のためにセキュリティー用紙感応ゲート(EAS)を運営

  • 出入管理システムとMDM(Mobile Device Management)の連動管理

    社内セキュリティー管理のために個人スマート機器の一部機能を制限(写真撮影など)

    社内出入り時にMDMを有効にし、退社すると自動的に解除

  • PCセキュリティー

    業務用PCの情報保護及び漏洩防止対策として、全構成員のPCにアンチウィルス及びデータ損失防止セキュリティーソリューション(DLP*)をインストール

    セキュリティーソリューションインストール済みのPCのみが社内ネットワークに接続可能(NAC*運営)、セキュリティー脆弱PCからの接続は制限

    * DLP : Data Loss Prevention

    * NAC : Network Access Control