MENU

サイバーセキュリティリスク基本方針およびサイバーセキュリティ管理態勢

株式会社CCI グループおよびグループ各社は、サイバー脅威が日々深刻化・巧妙化する状況においても、お客さまの信頼に応え続けるため、経営方針における重要課題の一つであるサイバーセキュリティへのコミットメントを「サイバーセキュリティリスク管理方針」として定めています。
これをすべてのグループ会社に展開し、全社で一貫した方針のもと、経営主導によるサイバーセキュリティ管理態勢の強化をより一層推進してまいります。

基本方針

(1) 最先端技術の活用と着実な改善を両輪とした世界水準のサイバーセキュリティを追求し、ビジョナリーリージョンを実現する。
(2) 金融サービスの安定的な提供とサイバーセキュリティの維持を通じ、社会から求められる信頼と信用を確立する。
(3) すべての事業活動において、役職員・パートナーを含むステークホルダー全員がサイバーセキュリティ責任を共有し、リスク管理体制を構築する。
(4) 訓練やインシデントから得た教訓や、最新の技術・脅威動向を踏まえた評価を定期的に行い、サイバーセキュリティリスク管理体制の継続的な改善を行う。
(5) 各国・地域の法令・規制ならびに各業界の要求事項を遵守し、透明性の高い説明責任を果たすことで、企業としての社会的責任を果たす。

 

CCI グループのサイバーセキュリティ管理態勢

上記の基本方針に基づき、グループ全体で整合性のあるサイバーセキュリティ管理態勢を構築しています。
当社グループは、お客さまに安心してサービスをご利用いただくために、サービスを支えるシステムに関するリスク管理を経営の最重要課題の一つと位置付けています。経営のリーダーシップのもと、グル ープ各社の特性を踏まえたシステムリスク管理体制を整備し、サイバーセキュリティを含むシステムリスク管理の高度化に取り組んでいます。

サイバーセキュリティリスク管理体制

システム統括部担当役員を当社グループ全体のサイバーセキュリティを統括管理する責任者(以下、サイバーセキュリティ統括責任者)として任命し、サイバーセキュリティ統括責任者は当社グループ全体のサイバーセキュリティ管理に係る戦略・取組計画の策定・実行を行います。
グループ全体のサイバーセキュリティリスクを管理する部門として、システム統括部が、平時における人的・技術的・物理的サイバーセキュリティ対策を推進します。またサイバーセキュリティ統括責任者は、サイバーセキュリティリスク管理部門から定期的に報告を受け、サイバーセキュリティ管理態勢の整備に役立てます。尚、サイバーセキュリティ統括責任者はこれらの報告内容を、定期的かつ状況変化に応じて適宜取締役会に報告し、取締役会はその執行状況を監督しています。グループ内の報告体制、および社外との連携体制を構築し、日頃からコミュニケーションを密にすることで、セキュリティリスクへの対応を行っています。

セキュリティインシデント対応チーム(CSIRT)の設置

サイバー攻撃事案発生時における初動対応を迅速に行うための横断的組織として、CSIRT(Computer Security Incident Responce Team)を設置し、万一、サイバーセキュリティインシデントが発生した場合には、対策本部を設置し、グループを横断したCSIRTが早期に事態収束を図る体制としています。

また平時には、TLPT(脅威ベースの侵入テスト)や関係者が広く参加する各種演習・訓練を実施することで、CSIRTのスキル向上や組織のサイバーレジリエンス向上に取り組んでいます。この訓練には、経営陣、サイバーセキュリティ統括責任者および業務部門の責任者も参加し、結果や課題の把握、フォローアップに直接的に関与します。

例:
金融庁 Delta Wall、
NCO 全分野一斉演習
金融ISAC 共同演習危機対応トレーニング サイバークエスト
TLPT(脅威ベースの侵入テスト)

サービス稼働状況の常時公開

当社グループのサービスを安心してご利用いただくために、サービス稼働状況をホームページに常時公開しています。システム障害発生時には、代替手段のご提供と早期のシステム復旧により、お客さま への影響を最小限に抑えるよう全社をあげて努めています。また、システム障害情報の発信にともないお寄せいただきましたご意見・ご要望は、今後のサービス向上対策に反映していきます。

▼北國銀行ホームページ

サービス稼働目標と2024年度の稼働実績

当社が考えるサービスの重要性を基準とした「稼働目標」と年間の「稼働実績」を2021年度分から公開 しています。2024年度は、すべてのサービスにおいて稼働実績が稼働目標を上回る結果となりました。 引き続き、サービスの稼働実績やシステム障害情報を積極的に発信し、改善策を講じることで、サービ スの品質向上につなげていきます。

サードパーティ委託先等管理

クラウドサービスの利用や業務委託先に当社グループの情報を預ける際には、契約先・委託先への当社グループのセキュリティ基準についての準拠状況評価を、契約時だけでなく、年1回以上の頻度で定期モニタリングを行っています。

監査体制

クラウドサービスの利用や業務委託先に当社グループの情報を預ける際には、契約先・委託先への当社グループのセキュリティ基準についての準拠状況評価を、契約時だけでなく、年1回以上の頻度で定期モニタリングを行っています。

教育

当社グループは、日々脅威が増すサイバー攻撃からお客さまの大切な資産と情報を守るため、サイバーセキュリティに対する取組みを強化・推進しています。当社が目指す姿と今後の取組みを「セキュリティ戦略」として策定し、社員一人ひとりがそれぞれの立場で、主体的にセキュリティ対策に取り組む組織を目指しています。また、当社グループの取組みをお客さま、地域の皆さまと共有することで、地域社会のセキュリティ向上に貢献していきます。
当社デジタル・IT戦略を推進するにあたり、スピードや性能だけでなく、サイバー攻撃への対応等、セキュリティ面のスキルがより重要視されており、より高度なスキル・知見を持つ人材が必要であると認識しています。
経営陣を含むすべての役職員に対して、役割と責任に応じたサイバーセキュリティの意識向上に係る教育・研修を定期的に実施しています。(標的型メール訓練、Eラーニング形式による知識の定着と理解度の確認など)
また、セキュリティ専任社員だけでなく全社員に対して、自己啓発奨励金制度を活用した資格取得の支援を行っています。加えて、セキュリティ専任社員に対しては、セキュリティカンファレンスの参加等により、専任社員の知識・技量向上に取り組みます。

 

IPA  :情報処理安全確保支援士
ISC2 :CISSP(Certified Information Systems Security Professional)
ISACA :CISA(Certified Information Systems Auditor)

安心・安全なエコシステムの構築への貢献

関係官庁・組織・団体等との連携のもと、積極的な情報提供による情報共有や国内における 対話、人的ネットワーク構築を図ります。また、各種情報を踏まえた対策に関して注意喚起することによって、社会全体のサイバーセキュリティ強化に貢献します。
具体的には、金融庁、国家サイバー統括室、情報処理推進機構、警察等捜査機関等に適時適切に報告するとともに、金融ISAC、JPCERT/CC等を通じて情報交換し、社会全体のサイバーセキュリティ対策の強化に努めます。
また、当社グループの取組みをお客さま、地域の皆さまと共有することで、地域社会のセキュリティ向上に貢献していきます。