情報セキュリティ
情報セキュリティの強化
情報セキュリティ体制
OKIグループでは、「情報セキュリティ委員会」を推進組織とした情報セキュリティ体制を整えています。委員会は年2回開催を原則とし、情報セキュリティに関わる全社方針、計画を決定するほか、活動内容のレビュー(半期1回)、情報セキュリティに関わるモニタリング結果のレビュー(年1回)を行うことにしています。また社内各部門、グループ企業に展開推進責任者および展開推進者をおき、それぞれが情報セキュリティ委員会で決定した施策に取り組んでいます。
また関連規程や業務ルールの整備を進め、お客様からお預かりしたデータや社内加工データの秘密情報を定義した上で、それらの取得・作成から廃棄にいたる業務プロセスにあわせて規程類や実施細則、ガイドラインを整備しています。
情報セキュリティ体制
情報セキュリティ関連規程、業務ルール
情報セキュリティの3つの仕組み
OKIグループは情報セキュリティに配慮した商品・サービスを提供する企業として、自らの情報セキュリティレベルを高めるため、下図に示す3つの仕組みでセキュリティ対策を推進しています。
2012年度は、「見える仕組み」としてサイバー攻撃などへの監視を強化したことに加え、「支える仕組み」として、OKIのスマートフォン向けクラウドサービス「EXaaS Mobile Deskサービス」を導入し、スマートフォンから社内情報を安全・簡単に閲覧できる環境を整備しました。また「守らせる仕組み」としてグループ各社・各部門における新任の情報セキュリティ施策展開推進責任者/推進者を対象とした集合教育を実施したほか毎年10月に全従業者を対象に実施している「情報セキュリティ一斉点検」の点検項目を見直し、お客様からお預かりした情報やトレードシークレット、個人情報などの保護についても注意を喚起して、情報管理全般に関する意識向上を図りました。
情報セキュリティ教育の徹底
OKIグループは、セキュリティ施策における「守らせる」仕組みの一環として、OKIグループの情報基盤を利用する全従業者を対象に情報セキュリティ教育を実施しています。お客様からお預かりする情報資産や、OKIが保有する機密性の高い情報資産の保護を一人ひとりに徹底すべく、ネットワーク、職場内PC、モバイルPCの利用にあたり遵守すべき基本的な事項や社内規則について、集合教育やeラーニングを通じた周知を図っています。
2012年度は8月~9月にeラーニングによる全従業者向け情報セキュリティ教育を実施しました。施策に共通性のある個人情報保護に関する教育も同時に実施し、ほぼ100%の受講率を達成しました。
お取引先における施策定着度合いの「見える化」
OKIは、サプライチェーン全体での情報セキュリティレベル向上をめざし、重要秘密情報を提示しているお取引先を対象に、情報セキュリティ施策への取り組み状況確認を行っています。これは、OKIが作成したチェックリストに基づいたセルフチェックを実施していただき、回答結果を当社独自に点数化することで、取り組み状況や課題の共有化を図るもので、2008年度から継続的に実施しています。
2012年度は、これまでの調査において相対的に評価の低かったお取引先について重点的に再チェックを行いました。セルフチェック結果に基づいてOKIとお取引先が課題を共有し、問題点の改善を図った結果、対象の半数において当社基準における「高評価」を達成することができました。
OKI-CSIRTによるセキュリティ事故対応力の強化
OKIはセキュリティ事故対応専門組織としてOKI-CSIRT(注1)(オキ・シーサート)を設置し、日本シーサート協議会(NCA)および他社CSIRT、関係省庁などの社外組織とも連携して、グループとしてのコンピュータセキュリティ事故予防、事故発生時の対応力強化に取り組んでいます。
2012年度は、標的型メール(注2)など増加するサイバー攻撃への対応について、これまで国内で取り組んできた対策を中国のグループ拠点にも展開し、侵入検知の徹底とともに、ウイルスに感染したPCやサーバーからの情報流出経路をブロックする出口対策の強化をはかりました。
- 注1:CSIRT
Computer Security Incident Response Team
- 注2:標的型メール
サイバー攻撃の一種。情報窃取などを目的として、特定の組織や個人に送られる電子メール。
中国拠点への施策展開
OKIグループは、2008年度より、中国拠点の情報セキュリティ施策展開を推進しています。中国では、日本とIT環境が異なるため、中国で発生するコンピュータウイルスに適した対策ソフトを適用するとともに、現地のヘルプデスク体制を整備してコンピュータウイルス感染時の支援を強化し、駆除率を向上させています。
2012年度は、2010年度から運用してきたモバイルPC対策の定着化を進めました。国内と同様に、モバイルPCの盗難および紛失時に情報が漏洩しないようにHDDの暗号化を実施し、モバイルPCとしての利用が認められた機器には認可シールを貼り付けて識別しています。
ISMS認証の取得を推進
OKIグループは、システム構築や関連サービス提供における信頼性を高めるため、社内情報システム構築・運用部門やシステム設計・開発部門などで情報セキュリティマネジメントシステム(ISMS)(注3)の認証取得に取り組んでいます。2013年6月現在、OKIグループの5社7部門がISMS認証を取得しています。
- 注3:ISMS
Information Security Management System
OKIグループの ISMS 認証取得状況(2013年6月)
| 社名・部門名 | 初回登録日 |
|---|---|
| 日本ビジネスオペレーションズ株式会社(第一運用本部、第二運用本部運用管理部、監査指導部) | 2004年1月30日 |
| 沖コンサルティングソリューションズ株式会社 | 2006年9月20日 |
| 株式会社OKIソフトウェア | 2007年12月21日 |
| 株式会社沖電気カスタマアドテック | 2004年1月31日 |
| 沖電気工業株式会社(OKIシステムセンター) | 2003年8月4日 |
| 沖電気工業株式会社(統合営業本部 官公営業本部、統合営業本部 法人営業本部、ソリューション&サービス事業本部 情報システム事業部、社会システム事業本部(各芝浦地区)) | 2004年12月27日 |
| 沖電気工業株式会社(情報企画部) | 2003年2月14日 |
