情報セキュリティマネジメント
基本的な考え方
デジタル技術の活用範囲は様々な分野に及び、情報・データの量が劇的に増加するとともに、その保持・利用の形態は多様化し続けています。そのような事業環境では、情報が不適切に取り扱われてしまうことによる情報漏洩や法令違反のリスクに加え、サイバー攻撃の巧妙化により、サプライチェーン上のオペレーションを止めてしまうなどのリスクが高まっています。NSKグループは、情報セキュリティマネジメントを重要な経営課題の一つと位置づけ、情報セキュリティ基本方針を定めるとともに、関連する法規制への対応強化を含む各種リスク低減に取り組んでいます。また、高度化するサイバー攻撃に対し、ネットワーク対策をはじめとする、より強固な仕組みや組織体制の強化に向けた取り組みも推進しています。
◆基本方針と管理基準・管理規定
NSKグループでは情報セキュリティ基本方針を定めるとともに規程類を整備し、法規制等の新たな施行・改訂や環境変化に応じて見直しや拡充を行っています。また、その周知・教育・啓発および浸透状況の定期的なチェックを通じて、情報セキュリティに関するルールやリスク対策の組織内への徹底を図っています。
主な情報セキュリティ関連規定類
| NSKグループ 情報セキュリティ基本方針 | NSKグループの情報セキュリティの目指すべき姿(情報セキュリティの取り組み、情報資産の取り扱い、法令・規則・契約への対応、教育、継続的改善)を定めるもの。 NSKグループ 情報セキュリティ基本方針 |
|---|---|
| NSKグループ 情報セキュリティ管理基準 | NSKグループにおける情報セキュリティの最上位規程。情報セキュリティ管理レベルを統一し、向上させるための原則を定めるもの。 |
| NSKグループ 情報セキュリティ管理規定 | NSKグループで統一して遵守すべき情報資産の取り扱い方法など、情報資産を守るための対応を定めるもの。 |
体制
◆情報セキュリティマネジメント体制
NSKグループではデジタルの力で経営資源を強化し、事業変革を起こし続けることを中期経営計画MTP2026において重要課題に掲げ取り組んでいます。デジタル技術の安全な活用を可能とし、デジタル技術とサイバーセキュリティの関連性を考慮した情報セキュリティ強化施策をグローバルに展開していくため、グループ本社である日本精工株式会社デジタル変革本部の下に情報セキュリティ統括部門(ITガバナンス部情報セキュリティ推進グループ)を設置しています。また、情報セキュリティに関するリスクはコーポレートリスク管理体制の下で監督され、取締役会においてもグループ全体の課題の一つとして討議しています。情報セキュリティ統括部門は、グローバル会議を定期的に開催し、日本、米州、欧州、中国、アセアン・オセアニア、インド、韓国の各地域に設置された情報セキュリティ委員会と強力に連携しながら、NSKグループ全体の情報セキュリティ管理レベルの向上、セキュリティ施策の企画・実行に取り組んでいます。
さらに、サイバー攻撃に対する迅速かつ適切な対応を組織的に行い、被害拡大防止と迅速な復旧を図るための対応体制としてCSIRT※体制を構築し、外部団体である一般社団法人日本シーサート協議会に加盟しています。
※ CSIRT:Computer Security Incident Response Teamの略で、コンピューターセキュリティに関するインシデントに対処するための組織の総称
目標と実績
◆中期経営計画2026(MTP2026)目標と各年度の目標・実績
| 方針 |
| |||
|---|---|---|---|---|
| MTP2026 | 目標 |
|
|
|
| 2023年度 | 目標 |
|
|
|
| 実績 |
|
|
| |
| 2024年度 | 目標 |
|
|
|
※公的なガイドライン:世界的に採用されている、サイバーセキュリティに関する専門的な団体が策定しているガイドライン・フレームワーク
取り組み
◆情報セキュリティマネジメントの強化
サイバーセキュリティに関する専門的な団体が策定している、世界的に採用されているガイドライン・フレームワーク(NIST Cyber Security Framework 2.0やCIS Controls等)を活用し、「人・組織」「プロセス」「技術」の3つの観点でバランス良く態勢を構築するとともに、サイバーレジリエンスの考え方を取り入れ、その強化に取り組んでいます。
ISO27001などの認証状況
NSKでは、情報セキュリティマネジメントシステムとして定期的に情報資産の棚卸とリスク評価を実施し、リスク課題があればその対応計画の策定と改善を実行するといったPDCAサイクルを確立し、その結果として国際規格であるISO/IEC27001認証を取得・維持しています。
インシデント対応力の向上
情報機器やネットワーク通信などにおける不審な動きや、セキュリティの脅威を把握する技術的施策の推進、検知したインシデント情報を分析し対策を講じるセキュリティオペレーションセンター※1による対応など、迅速なインシデント対応を可能にする仕組みを構築しています。加えて、セキュリティレーティングサービス※2やアタックサーフェスマネジメント(ASM)※3を運用し、NSKグループ全体に影響を及ぼす脆弱性のモニタリングを実施しています。
また、近年のセキュリティインシデントによるサプライチェーンへの大きな影響を鑑み、取引先への情報セキュリティ点検を実施し、セキュリティレベルの向上に向けて取り組んでいます。自社においても、工場のインシデント対応体制を強化し、ITだけでなく、OT領域※4のインシデントにも対応できるよう取り組みを進めています。
※1 セキュリティオペレーションセンター:サイバー攻撃の検知や分析を行い、対策を講じる専門組織
※2 セキュリティレーティングサービス:企業のセキュリティ対策状況を数値化し、外部や内部でのリスク評価や対策に役立てることができるサービス
※3 アタックサーフェスマネジメント:組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスのこと
※4 OT(オペレーショナルテクノロジー):工場等の制御システムのこと。ITは情報を取り扱うのに対し、OTは物理環境と相互作用する点が特徴的とされる
サイバー攻撃に対する訓練
サイバー攻撃によるインシデントの発生を想定した訓練を毎年実施しています。2024年度は、日本シーサート協議会が主催する「NISC/NCA連携演習※」に参加し、実際の事案発生時に対応体制が有効に機能するかどうかを確認しました。また、パソコンを利用する全従業員を対象にした標的型攻撃メール訓練を各地域のシステム管理部門と連携して実施しています。
工場においても、工場内のシステムやOTシステムのダウンを想定したインシデント対応訓練を実施し、有事の際における生産活動の継続のための対応確認を行い、発見された課題に対して改善を進めています。
※ NISC/NCA連携演習:NISC(内閣サイバーセキュリティセンター)、NCA(日本シーサート協議会)の連携によるサイバー演習。NISCが毎年12月に実施する重要インフラ事業者を対象とした全分野一斉演習(サイバー机上演習)をNCA会員向けに実施するもの。
標的型メール訓練のイメージ
従業員が不審なメールに対して望ましくない行動をとった場合に、適切な対応が取れるよう教育コンテンツを表示し、理解を徹底しています。
◆情報セキュリティ意識の向上
情報漏えいの防止と情報セキュリティ教育
NSKグループでは、情報資産の機密度に応じて情報を分類して適切に取り扱うルールを定め、機密情報の取り扱いに細心の注意を払い、情報漏えいの防止に努めています。教育・啓発として、日本および海外地域の従業員を対象とした定期的なeラーニング、役員やシステム管理部門メンバーなどの従業員カテゴリー別や入社・海外赴任時などの研修、定期的な啓発情報の発信等により、従業員の情報セキュリティに対する意識の維持・向上に取り組んでいます。