Hitachi Construction Machinery

Hitachi Construction Machinery Global
Hitachi Construction Machinery Global
Global website

情報セキュリティ・個人情報保護

情報セキュリティの徹底

日立建機では、執行役社長がISMS*の実施および運用に関する責任および権限をもつ情報セキュリティ統括責任者を執行役の中から任命しています。情報セキュリティ統括責任者を委員長とする「情報セキュリティ委員会」が、情報セキュリティと個人情報保護に関する取り組み方針、各種施策を決定しています。決定事項は「情報セキュリティ委員会」を通じて各部署および日立建機グループ会社に伝達し、情報セキュリティ責任者が職場に徹底しています。

* ISMS(Information Security Management System):情報セキュリティマネジメントシステム

情報セキュリティ体制
情報セキュリティ体制

日立建機グループでは、情報セキュリティと個人情報保護の取り組みにおいて、特に次の2点を重視しています。

1.事故発生時の迅速な対応

情報資産を明確にし、脆弱性評価とリスク分析に基づいて情報漏えい防止施策を実施しています。事故は「起きるかもしれない」という考え方を一歩進めて、「必ず起きるものだ」という前提に立って、緊急時のマニュアルを作成し、対応しています。

 

■情報セキュリティ事故の予防

情報セキュリティ事故を未然に防止するため、DMZ(DeMilitarized Zone:外部と内部のネットワークの中間に設ける緩衝領域)に設置されるサーバーに対して、以下の対策を実施しています。

  • WAF(Web Application Firewall)の導入
  • 1カ月に1度、OS、ミドルウェアに対する脆弱性診断
  • 半年に1度、Webアプリケーションに対する脆弱性診断

また、DMZを含むすべてのサーバーに対して、以下の対策を実施しています。

  • EDR(Endpoint Detection and Response)の導入
  • アンチウィイルスの適用
  • セキュリティパッチの迅速な適用
  • JPCERT/CC、IPAが公開する脆弱性情報への対応
  • 適切な間隔でのバックアップの取得
  • 適切な職務分掌の定義、およびそれに基づいた運用

事務用コンピューターに対しては、以下の対策を実施しています。

  • EDR(Endpoint Detection and Response)の導入
  • アンチウィイルスの適用
  • セキュリティパッチの迅速な適用

 

■サイバーセキュリティインシデント対応対策チーム(CSIRT)

日立建機では、サイバー攻撃に係る平時及び有事の活動を担うサイバーセキュリティインシデント対策対応チームとして日立建機CSIRTを設置しています。また、一般社団法人日本シーサート協議会(NCA)に2023年7月から加盟し、外部のCSIRTと連携した活動を行っております。

このチームは、平時において以下の業務を推進しています。

  • セキュリティ関連情報発信、注意喚起
  • 脅威、脆弱性対応支援
  • セキュリティ対策状況のモニタリング
  • 技術動向調査
  • 事業継続計画、災害復旧計画策定の支援
  • セキュリティに関する教育、トレーニング
  • 情報セキュリティ委員会への活動報告

サイバーセキュリティインシデントが発生した場合(有事)においては、情報セキュリティ委員会と連携して、インシデントの被害を最小化し、被害状況を調査し、インシデントを根絶・復旧する技術的活動全般(インシデント対応)を指揮・支援・監督します。

NIST SP800をベースとして、以下のサイバーリスク対応プロセスを構築しています。

  • インシデントの検知、受付
  • トリアージ
  • 情報収集、証拠保全
  • 封じ込め
  • 原因調査
  • 原因に対する対策
  • インシデントからの復旧

インシデント対応完了後は、情報セキュリティ委員会に報告を行い、再発防止策の周知徹底を実施します。

 

2. 従業員の倫理観とセキュリティ意識の向上

担当者向け、管理者向けなど階層別にカリキュラムを用意し、e-ラーニングによる全員教育などを通じて倫理観とセキュリティ意識の向上を図っています。また、自己監査を通じて問題点の早期発見と改善にも取り組んでいます。

 

製品セキュリティに関する取り組み

当社がお客さまに提供する製品やソリューションに対するセキュリティは、非常に重要なものとなっています。このため、情報セキュリティ委員会と連携する、製品セキュリティ対策事故対応チームを結成しています。製品セキュリティ事故対応チームは、サイバーセキュリティ対策事故対応チームとも緊密に連携しており、どちらかに情報が入った際は、双方に情報連携をしながら、各分野にて対策の推進を行っています。

情報資産保護の基本的な考え方

守るべき情報資産

  1. 守るべき資産の明確化
    • 情報資産の洗い出しおよびリスク分析
  2. 利用者リテラシーの向上
    • セキュリティ教材の整備
    • 管理者、従業員に対する教育
  3. 施策の整備
    • 管理的施策の徹底
    • 技術的施策の導入
  4. 情報セキュリティ体制の確立
    • 規則体系(セキュリティポリシー)の整備
    • 管理体制の整備
    • 監査、フォロー体制の確立
    • 予防プロセスと事故対応プロセスにおけるPDCA サイクル拡充によるフィードバックの徹底

 

情報セキュリティ教育の実施

情報セキュリティの水準を維持していくためには、一人ひとりが日々の情報を取り扱う際に必要とされる知識を身につけ、高い意識をもつことが重要です。日立建機では、全ての役員、従業員、派遣社員などを対象に、情報セキュリティおよび個人情報保護に関するe-ラーニングによる教育を毎年実施しています。

そのほかにも、新入社員、新任管理職や情報システム管理者などを対象とした多様な教育プログラムを用意し、情報セキュリティ教育を実施しています。また、最近増加している標的型攻撃メールなどのサイバー攻撃への教育として、実際に攻撃メールを装った模擬メールを従業員に送付し、受信体験を通してセキュリティ感度を高める「標的型攻撃メール模擬訓練」を2014 年から実施しています。

日立建機の教育コンテンツは日本国内外のグループ会社に公開しており、日立建機グループ全体として情報セキュリティ・個人情報保護教育に積極的に取り組んでいます。

 

情報漏えいの防止

日立建機では情報漏えいを防止するために「機密情報漏えい防止三原則」を定め、機密情報の取り扱いに細心の注意を払い、事故防止に努めています。
万が一、事故が発生した場合は、迅速にお客様に連絡し、事故の原因究明と再発防止対策に取り組み、被害を最小限に留めるよう努めています。

情報漏えい防止の具体的施策として、暗号化ソフト、セキュアなパソコン、電子ドキュメントのアクセス制御、認証基盤の構築によるID 管理とアクセス制御、メールやWeb サイトのフィルタリングシステムなどをIT 共通施策として実施しています。昨今多発している標的型メールなどのサイバー攻撃に対しては、IT 施策においても防御策を多層化(入口・出口対策)して対策を強化しています。

また、調達パートナーと連携して情報セキュリティを確保するため、機密情報を取り扱う業務を委託する際には、日立建機が定めた情報セキュリティ要求基準に基づき、調達取引先の情報セキュリティ対策状況を確認・審査しています。さらに、調達パートナーからの情報漏えいを防止するために、調達パートナーに対して、情報機器内の業務情報点検ツールとセキュリティ教材を提供し、個人所有の情報機器に対して業務情報の点検・削除を要請しています。

機密情報漏えい防止3 原則

原則1  機密情報については、原則、社外へ持ち出してはならない。
原則2  業務の必要性により、機密情報を社外へ持ち出す場合は、必ず情報資産管理者の承認を得なければならない。
原則3  業務の必要性により、機密情報を社外へ持ち出す場合は、必要かつ適切な情報漏えい対策を施さなければならない。

 

情報セキュリティ管理をグローバルに展開

日本国外のグループ会社については、米国国立標準研究所(National Institute of Standards and Technology, NIST)が発行するサイバーセキュリティフレームワークに基づく規定改訂を実施し、サイバー脅威への対応と共に情報セキュリティ管理の強化に努めています。

日本の親会社から日本国外のグループ会社に対してビジネスチャネルによる展開を行うとともに、セキュリティガバナンスを徹底することで、セキュリティ対策の徹底を図っています。

日立建機製品の稼働データを含む当社が保有するデータの保護と利活用をグローバルに推進するために、情報セキュリティ委員会の下部組織として、2021年に「製品・サービスデータガバナンス小委員会」を設置し、活動を開始しました。この組織において、グローバルポリシーの策定、製品・サービスに実装するデータ保護措置の統一基準の策定・運用のモニタリング・実効性の評価等に取り組む方針です。

これらの活動を通じて、データに関する適切なリスク管理とステークホルダーの信頼の確保を図るとともに、データを活用した製品開発やソリューションサービスの提供に、より一層取り組んでまいります。

 

情報セキュリティ監査・点検の徹底

日立建機の情報セキュリティは、情報セキュリティマネジメントシステムのPDCA サイクルにより推進しています。日立建機では、グループ会社および部門で年に1 回、情報セキュリティおよび個人情報保護の自己監査を実施しています。

日本国外のグループ会社についてはグローバル共通のセルフチェックを実施し、日立建機全体として監査・点検に取り組んでいます。また、職場での自主点検として、「個人情報保護・情報セキュリティ運用の確認」を1 年に1 回実施しています。

 

情報セキュリティにおけるBCP(IT-BCP)

日立建機では、近年増加傾向にあるサイバー攻撃や自然災害による被災に備えて、情報セキュリティの事業継続計画(IT-BCP)の構築を推進しています。被災ポテンシャルを減らすための対策としては、グループ会社を含めて、基幹システムの集約、仮想サーバーやクラウドへの移行を進めています。実際に被災を受けた場合への備えとしては、所定の時間内で復旧するための運用設計を行うとともに、年に1回の復旧訓練を実施しています。

また、サイバー攻撃への耐性を向上させるため、サーバーの堅牢化や、工場ネットワークの分離対策を推進しています。