急速なデジタル化に伴い、競争力強化のためのデジタルデータ活用が求められている中、全世界でサイバー攻撃による被害が年々増加しており、攻撃手法も巧妙化しています。
このような環境下で、自動車産業固有のサイバーセキュリティリスクを考慮した情報セキュリティ対策を実現するため、ミツバグループでは「ミツバグループ情報セキュリティ基本方針」を定め、情報セキュリティのレベルアップに取り組んでいます。
ミツバグループは、豊かな車社会づくりに貢献するために輸送用機器関連事業(※1)を主体とした経営活動を通して、取り扱っている情報資産(お客さまよりお預かりしている情報、知的財産を含む開発情報など)を故意または偶然の脅威から保護することは極めて重要な責務であると考えます。
ミツバグループは、基本理念(※2)にうたう「世界の人々に喜びと安心を提供する」ために、情報資産を保護することによって、社会の期待に応え、信頼される企業を目指し、ここにミツバグループ情報セキュリティ基本方針を定め、これを遵守します。
(※1) 輸送用機器関連事業:自動車や自動二輪車などの電装品を中心にそれらの技術を応用した商品等からなる事業
(※2) ミツバ基本理念:ミツバは、ミツバを愛しささえる人々とともに、社会と環境に調和した技術の創造を通して、世界の人々に喜びと安心を提供する
業務活動に関わる情報および要員を対象とし、適用を以下とします。
・ミツバグループで扱う情報資産および顧客から預かる情報資産に適用します。
・ミツバグループの役員、従業員、派遣社員に適用します
情報セキュリティ・マネジメントにおける推進・運用のための組織と責任者を明確にし、情報資産の適切な管理を実施します。
情報セキュリティ・マネジメント推進上関連する法令および各種規範に基づき、社内規定を整備し遵守します。
職務や業務に応じたセキュリティ教育を定期的に実施し、情報資産の重要性を認識させ、 情報資産の適正な利用を行うように周知徹底を図ります。
機密情報の紛失、破壊、改ざん、漏えい、予期しないサービス停止等の脅威によって引き起こされるさまざまなリスクに対して、適切な人的・物理的・技術的施策を講じます。
本基本方針や関連する社内規定等について継続的な改善を行います。
ミツバグループは、情報セキュリティの責任者(情報システム統括執行役員)の下、「グループ情報システム管理規定」で定める体制でミツバおよび国内外関係会社のセキュリティを含むグループ全体の情報システムを管理・運用しています。
ミツバは、情報セキュリティ強化の取り組みの一環として、ミツバ研究開発センターを対象にTISAX認証(※)を取得しています。また、ミツバグループにおいても、各社の事業特性や必要性を判断したうえで、情報セキュリティ体制の強化を目的にTISAX認証取得に向けた取り組みを進めています。
(※) ドイツ自動車工業会が策定した情報セキュリティ評価基準に基づき、外部審査機関の審査を受け、認証を取得する制度
ミツバは、マルウェアや不正アクセスなどのサイバー攻撃に対し、早期検知と速やかな対応が行えるようSOC(Security Operation Center)を構築し、運用しています。
SOCでは、国内外関係会社を含むグループ全体の情報機器、ネットワークを対象に24時間365日のセキュリティ監視を行い、異常を検知した場合は、分析と対応を行っています。また、独立行政法人情報処理推進機構(IPA)やJPCERT/CC(※)といったコンピューターセキュリティの情報が掲載されたサイトや、脆弱性対策情報データベース(JVN)などを活用し、新しい情報セキュリティリスクを調査するとともに、必要に応じてリスク低減やセキュリティツールの導入を図ることで、情報セキュリティのレベルアップに取り組んでいます。
(※)一般社団法人JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center)の略称
ミツバは、ランサムウェアなどのマルウェアや、外部からの社内ネットワークやシステムへの不正アクセスなどによる情報漏えい防止策として、ウイルス対策ソフト、ファイアウォール、Webサイトのフィルタリングなど多層防御でのセキュリティ施策を実施するとともに、教育や啓蒙活動を行っています。
また、外部のクラウドサービスを利用する際は、サービス利用開始前にチェックシートを用いた評価を実施し、安全に利用できるかの確認を行っています。
ミツバは、国内外関係会社を含むグループ全体の情報を扱う要員に対して、情報資産(特にデータ)や情報ネットワーク、情報セキュリティへの重大な影響を防止し、情報インフラを適切かつ円滑に利用するために、「グループ情報インフラ利用ガイドライン」を定めています。
ミツバは、国内外関係会社を含むグループ全体の情報を扱う要員に対して、e-ラーニングによる情報セキュリティ教育を定期的に実施しています。教育内容には、情報機器の利用方法に加えて、情報漏えい対策の重要性・近年増加している攻撃手法の紹介と対策・マルウェア感染時の初動対応などを盛り込んでいます。
教育を通じて、マルウェア感染時の初動対応手順を習得するとともに、情報セキュリティに対する意識向上を図っています。
また、ミツバでは管理職向けの情報セキュリティ教育を実施しています。教育内容には、機密情報の取り扱いなどを盛り込み、管理職として求められる役割の理解と対応力の強化を図っています。
ミツバは、日本自動車工業会(JAMA)、日本自動車部品工業会(JAPIA)が共同で策定した「自動車産業サイバーセキュリティガイドライン」のチェックシートを用いて自己評価を実施しています。同様に、お取引先さまに対しても、チェックシートを展開し自己評価の依頼を行い、評価しています。 また、各部門および国内外関係会社に対して、規定に基づき定期的に情報セキュリティ監査を実施しています。
監査では、チェックシートを用いて監査事務局が実施状況を確認し、基準を満たしていない項目については、是正措置を講じています。 監査を通じて、各社のセキュリティ対策の実効性が確認されるとともに、改善点の明確化や対策の共有が進み、グループ全体で情報漏えいリスクの低減、ならびにセキュリティ意識の向上を図っています。
| ミツバグループ 情報セキュリティ監査実施率 (2024年度) | 100 % |
|---|
ミツバグループは、インシデント発生時における迅速な情報共有と対応を可能にするため、緊急連絡網を整備しており、関係者間で速やかな連絡・指示が行える体制を構築しています。
さらに、ミツバは、緊急事態発生時の被害を最小限に抑えるための計画・手順として、「情報システム運用継続計画(IT-BCP)」および「情報セキュリティインシデント管理規定」を定めており、これらの実行性を維持改善していくため、標的型攻撃メール訓練などを計画に沿って実施しています。
また、セキュリティインシデントが発生した際に適切かつ迅速な対応ができる組織体制としてCSIRT(※)を設置しています。
サイバー攻撃による生産停止などの極めて重大な情報セキュリティインシデント発生時には、直下型地震などの自然災害時と同様、ミツバにおける「事業継続計画(BCP)規定」に基づき、災害対策本部を立ち上げることで、有事の際の経営判断を行えるよう定めています
(※) Computer Security Incident Response Teamの略称。マルウェア感染や不正アクセスなどのセキュリティインシデントが発生した際に対処するための組織の総称
検索