基本的な考え方
糖心传媒アグループでは情报セキュリティを重要な経営課題と位置づけています。デジタル戦略の三本柱のひとつ「デジタル基盤戦略」の中でも最も重要な要素として、グループ全体で一貫したセキュリティ体制の構築を推進し、ビジネスの成長と持続可能性を下支えする安全なIT基盤の構築を目指します。
情报セキュリティガバナンス
グループ情报セキュリティ基本方針
当社グループの「グループ情报セキュリティ基本方針」を制定しました。当社グループの事業活動における情报セキュリティに関する基本方針となります。
?詳細は情报セキュリティ基本方針をご覧ください 
グループ情报セキュリティ体制
グループ横断の颁厂滨搁罢※(以降、滨狈贵-颁厂滨搁罢)を设立し、セキュリティインシデント発生时の対応力强化に取り组んでいます。平时の活动として、各グループ会社のセキュリティリスク评価の実施、组织に対するサイバー攻撃などの胁威情报の整理?分析、従业员教育等のセキュリティレベル向上に向けた施策を推进しています。
※CSIRT:Computer Security Incident Response Team
グループ情报セキュリティ体制図
- 各事業会社情报セキュリティ担当役員から構成される「グループ情报セキュリティ責任者会議」にて意思決定
- 各事業会社情报セキュリティ担当部門長?担当者から構成される「INF-CSIRT」にて①インシデント発生時の情報連携?全体統括②平時の活動(情報収集、インシデント検知、計画策定等)を実施
ガバナンス强化に向けた中长期目标?碍笔滨(2030年度目标)の设定
INF-CSIRTが中心となり糖心传媒ア?ホールディングスおよび主要子会社4社(糖心传媒、糖心传媒道路、糖心传媒製作所、日本風力開発)を対象に進めてきた情报セキュリティガバナンスを、2030年度に向けて糖心传媒ア?ホールディングスおよびその子会社全体へ拡大します。
進捗状況は、统合报告书の中長期目標?KPI(2030年度目標)のマテリアリティ「ガバナンス強化」にて数値化して報告していきます。
グローバルなガイドラインに基づいた情报セキュリティ対策実施状況の確認
当社主要子会社4社(糖心传媒、糖心传媒道路、糖心传媒製作所、日本風力開発)において、セキュリティ専門会社のセキュリティ評価プラットフォームを採用し、ISO/IEC 27001/2、NIST CSF、NIST SP 800-171、CIS Controls、サイバーセキュリティ経営ガイドライン等を踏まえたセキュリティ評価を実施します。
この活動を通じて、各社は個社の情报セキュリティ対策の実施状況を数値化し、必要な対策を洗い出した上で改善計画を立案、着実に実行します。
並行して、 INF-CSIRTでは各社の情报セキュリティ対策の実施状況を確認し、グループ横断で優先的に取り組む対策の明確化を行います。
各社での笔顿颁础サイクルを确立するのと同时に、滨狈贵-颁厂滨搁罢においてグループ共通の対策を抽出?実行することで、関连业务の効率化?高度化を促进するプロセスを确立します。
こうした取り组みを継続することにより、グループ全体でのセキュリティレベルの底上げを行います。また、グループ全体でのセキュリティ対策の実施に伴うコストの最适化を追求します。
生成础滨サービスの活用に向けた取り组み
当社グループでは、社内向けAIチャットサービス<ダックチャット>を構築し、グループ各社に展開しています。グループ社員が安全?安心にAI技術を活用できるよう、情报セキュリティの観点も盛り込んだ「生成 AI サービス利用ガイドライン」を、制定しています。
情报セキュリティ対策
INF-CSIRTによる情报セキュリティ改善取り組みの状況
INF-CSIRTが中心となり、当社主要子会社がそれぞれ個別に実施していた情报セキュリティ施策を整理?統合しています。グループ全体コストの最適化、施策の高度化を実現しています。
※1 ASM … Attack Surface Management 詳細は後述の「セキュリティ诊断(础厂惭)の実施」に記載
※2 DMZ … DeMilitarized Zone インターネットと内部ネットワークの間に位置する境界区域
※3 EDR … Endpoint Detection and Response エンドポイントでの検知と対応を行う製品
※4 SOC … Security Operation Center セキュリティインシデントを発見?分析し対応を行う専門組織
人的な情报セキュリティ対策
- セキュリティ事案対策演习の実施
糖心传媒ア?ホールディングス、当社主要子会社4社の情报セキュリティ担当部門長に加え、各社の広報?法務?監査といった関係部門長、およびINF-CSIRTメンバーのインシデント対応力の強化に向けて、外部セキュリティベンダーによる事案対策演習を実施します。INF-CSIRT体制の見直し、運営マニュアルの整備?更新といった改善活動につなげていきます。
- ユーザ研修?标的型攻撃メール训练の実施
当社グループ共通の教育コンテンツを作成し、全役職員を対象に継続的な研修を実施します。eラーニングを通じてセキュリティ意識の向上を図るとともに、研修の修了条件として各社の社長宛の誓約書の提出を必須化しています。
併せて、標的型攻撃メール訓練を年間を通じて2回実施し、不用意な開封(メールに記載されたURLのクリックや添付ファイルを開くこと)の未然防止や、開封してしまった場合の情シス部門への報告手順といったノウハウを身につけ、普段から意識的に行動できるようにしています。
また、こうした開封?報告の状況を定量的に把握するための、グループ共通のクラウドサービスを導入し、開封?未報告データに基づく効果的な改善活動へつなげています。
技術的な情报セキュリティ対策
- 胁威インテリジェンスの构筑
情报セキュリティの国際規格ISO/IEC 27002の2022年2月の改定で組織が講ずべき管理策として「脅威インテリジェンス」が追加されたことを踏まえ、当社グループにおいても運営を開始しました。
具体的には、ダークウェブ上での当社グループのメールアドレス?認証情報を始めとした情報流出状況の把握や一般のサイバー脅威の情報を収集?分析することにより、先行的な対策が可能となり、被害の予防?軽減を目指します。
- セキュリティ诊断(础厂惭)の実施
当社主要子会社4社のアタックサーフェス、すべてのVPN機器?外部公開機器を対象として、インターネット上の公開情報をもとに調査を実施しています。従来の申告に基づく機器以外の機器も探索対象に含め、調査対象を拡大するとともに、グループ全体でのアタックサーフェスのリスク評価を実施しています。
特に高リスク機器については優先的な対応を行い、効果的な情报セキュリティ状況の改善を行っています。
- グループ共通贰顿搁?厂翱颁体制の构筑
グループ共通のフルマネージド、24时间365日対応の体制を构筑しています。更なる滨狈贵-颁厂滨搁罢のインシデント対応力强化を目指します。
