情報セキュリティマネジメントシステム
IHIグループは、グループ全体で情報セキュリティに関する推進体制を整備し、サイバー攻撃を含む情報セキュリティ事件・事故が発生した場合は本体制の下、速やかに対応できるよう備えています。情報セキュリティ対策を推進するための会議体として、IHIの本社部門・事業領域・SBUで構成する情報セキュリティ部会を年3回開催し、情報セキュリティ対策の計画・実施・点検を1年サイクルで実施しています。在宅勤務の増加、サイバー攻撃の脅威の増大など、社内外の環境を踏まえ各年度の重点施策を設定し、対策を進めています。また、各組織においては取り扱う情報資産や業務プロセスに基づきセキュリティリスクを評価し、自組織の対策計画に反映しています。
2019年度以降、PDCAにおける「C(Check)」機能の強化として、自組織・コーポレート部門・内部監査部門による3段階の情報セキュリティ監査体制を構築しています。自組織(IHIの各部門および関係会社)における内部監査、コーポレート部門による文書監査および実地監査、内部監査部門による監査をそれぞれ実施しています。
IHIグループの中でも国の重要な業務に携わる部署およびグループ会社では、社外の専門機関による情報セキュリティの国際規格ISO27001の認証審査を毎年受け、高いセキュリティレベルの維持に努めています。
SOCおよびCSIRTの設置
IHIグループは、 年々増大するサイバー攻撃の脅威に対応するため、SOC(Security Operation Center)を設置し、PC・サーバやネットワーク機器に対するセキュリティ監視を実施しています。また、CSIRT(Computer Security Incident Response Team)を設置し、セキュリティ監視によりインシデントを検知した場合は迅速に対応する体制を整備しています。サイバーセキュリティインシデントに対して適切に対応できるようにするための対応手順書についても整備しており、侵害範囲の特定や封じ込め処置などの対応手順を記載しています。さらに、サイバーセキュリティインシデントを想定した対応訓練を年1回以上実施し、手順の妥当性について点検しています。
在宅勤務における情報漏えい対策
新型コロナウイルス感染拡大防止対策としてIHIグループ全体で開始した在宅勤務は、多様な働き方の一つとして定着しています。一方、社外で情報機器を取り扱う機会が増加したことで、情報機器の不適切な利用や紛失・盗難といった情報セキュリティリスクが高まっています。
IHIグループでは、情報機器の不適切な利用を防止するため、社外での業務におけるセキュリティ遵守事項について、e-ラーニングや社内報で、従業員への注意喚起を行っています。具体的には、パソコンの私的利用の禁止や本人や家族が共有する情報機器(私有情報機器)への業務情報保存の禁止などが遵守事項となっています。
また、社外での業務時は原則として業務データが保存されていないパソコンを持ち出す対策を実施しており、紛失・盗難による情報漏えいリスクを低減しています。
情報セキュリティ対策
IHIグループは、情報セキュリティのリスクに対してルール・ツール・教育の3つの側面から対策を実施しています。
ルール面では、「IHIグループ情報セキュリティポリシー」「IHIグループ情報セキュリティ対策基準」「情報システム利用者規程」などの諸規程を定めています。ツール面では、ウイルス対策ソフトウェアなどのセキュリティツールを導入し、適宜最新機種に更新しています。また、セキュリティ専門企業のサービスを活用し公開サーバを調査し、検出された脆弱性を是正しています。
情報セキュリティ対策レベルの評価
IHIグループでは、IPA(独立行政法人情報処理推進機構)が提供する企業向けの情報セキュリティ対策ベンチマークに基づき、毎年IHIグループ全体の情報セキュリティ対策レベルを定量的に評価しています。
2024年度は、5点満点中3.8点でした。4点を目標スコアとして、2025年度もIHIグループ全体で情報セキュリティレベルの向上に努めます。
従業員への教育
IHIグループは、情報セキュリティのルールやツールに対する従業員の理解を深めるためのe-ラーニングを、全従業員を対象に毎年実施し、セキュリティ意識の維持・向上を図っています。