当社グループは、適切なITガバナンスの実践とサイバーセキュリティの企業文化醸成を通し、ITプロセスの成熟度と日々高度化・巧妙化するサイバー攻撃への対応能力を継続的に向上していきます。グループ一丸となったIT・サイバー戦略を通して、「”安心・安全・健康”であふれる未来へ」というSOMPOのパーパス実現に取り組んでいきます。
ITガバナンスに対する基本的な考え方
KGIモニタリングによるPDCAサイクル
グループ各社のシステム構築と運用にあたり、その前提として各国、各業界のレギュレーションに沿ったプロセスが求められます。その他の管理プロセスも国際標準に沿って整備しており、グループ各社のKGIモニタリングによるPDCAサイクルを通して改善活動を繰り返しながら、ITプロセスの最適化を行い、グループ全体の経営戦略とIT戦略を支えています。
サイバーセキュリティに対する基本的な考え方
グループ一体でのサイバーセキュリティ対策の推進
当社グループでは、サイバーセキュリティへの取組みにより安心・安全な社会を構築することが企業の社会的責任であるとの認識のもと、「SOMPOグループ サイバーセキュリティ基本方針」を定め、グループ全体として効率的かつ実効性のあるサイバーリスク管理態勢の整備に努めています。サイバーセキュリティに関するリスクは、当社グループERM委員会において重大リスクと位置づけられています。その対策にあたってはグループCIOが責任者となり、グループ一体でのサイバーセキュリティ対策を推進しています。
SOMPOグループサイバーセキュリティ基本方針
サイバーセキュリティ対策状況の可視化
当社グループでは、サイバーセキュリティを尊重する企業文化を確立すること、また日々高度化・巧妙化するサイバー攻撃に対する対応能力を継続的に向上させることが何よりも重要と認識し、グループ一丸となってサイバーセキュリティ管理態勢の整備と維持に努めています。当社では、NIST* CSF(Cyber Security Framework)などのグローバル標準フレームワークをベースにサイバーセキュリティに対する基本的な考え方や基準を策定しており、グループ各社はそれぞれの役割と責任のもとにサイバーセキュリティとレジリエンスへの対策と体制強化に取り組んでいます。これら取組みのPDCAを確実なものとするために、当社では、グループ各社のサイバーセキュリティ対策状況を定量的にモニタリングし可視化を行う「サイバーメトリックス」を構築し、各社の対策状況を把握するとともにKPIを策定し管理しています。これら一連の継続的な取組みを通し、サイバーセキュリティを自社グループの防御や事業上のリスク低減のみならず、サイバー保険やDX推進といった各種戦略とも結びつけ、グループ経営における競争上の優位性にも転換していくことを目指しています。
- NIST : National Institute of Standards and Technology(米国国立標準技術研究所)
推進体制
横断的に活動するサイバー専門チーム
サイバーセキュリティには常に環境変化があり、先端技術に関する知識とその応用が求められる領域であることから、SOMPOホールディングス内にサイバーCoE(Center of Excellence)態勢を構築し、情報処理安全確保支援士やCISSP(Certified Information Systems SecurityProfessional)などのサイバーセキュリティ関連の資格を取得したサイバーセキュリティ人材が中心となり、グローバルレベルで各社と役割分担に基づいた実効的な態勢の強化を推進しています。
その方針や方向性については、グループCIOをはじめとする関連役員による協議をふまえて決定しており、特に部門横断での対応が求められるレジリエンスの強化に向けてはIT部門だけではなく、経営企画部やリスク統括部といった関係各部が相互に連携しながら対応にあたっています。また、対策の有効性/実効性の観点から、ITインフラやサイバーセキュリティ、データプライバシーをテーマとした内部監査あるいは情報セキュリティマネジメントシステムの規格審査(ISO27001)を含む第三者による確認等を通し継続的な管理態勢の向上に努めています。業界他社やセキュリティに関わる関連団体との連携も行っており、当社グループだけでなくセキュリティコミュニティ全体での成熟度向上を目指し活動を行っています。
グローバルなリスク対応体制
サイバーリスクに国境はありません。このグローバルなリスクに対応するために、当社では国内グループ会社のみではなく、海外グループ会社とも連携しながらサイバーリスクへの対応にあたっています。サイバーCoEに所属するセキュリティエンジニアがグループ横断の視点から、各種セキュリティテストの支援や各社のセキュリティ人材のトレーニング、サイバー技術の調査研究などを行っています。
緊急対応体制
セキュリティインシデントの発生に備え、SOMPOホールディングス内にHD-CSIRT(ComputerSecurity Incident Response Team)を組成し、事案発生時の情報連携や意思決定、フォレンジック調査といった有事の際に必要となる各種対応を適時迅速に行えるよう組織的な整備を行っています。また、事業継続のための危機対応マニュアルやインシデント対応ガイドラインを整備するとともに、マルウェア感染等の具体的なシナリオを想定した実践的なサイバーインシデント演習を定期的に実施し、レジリエンスの強化に努めています。
取組み
保護対策の実施
当社グループでは、組織体制やルールといった管理面での対策に加え、システムとデータの機密性・完全性・可用性確保の観点から多層防御を前提とした総合的な技術的対策を実施しています。特にネットワークに関しては、働き方やシステム構成の変化に対応するため、あらゆる通信に対し安全性の検証を行う「ゼロトラストセキュリティ」の考えのもと、セキュリティの統合モデルであるSASE基盤(Secure Access Service Edge)の導入やSOC(Security Operation Center)での監視などを通し安全性の確保に努めています。その他、クラウドの設定ミスを防ぐセキュリティガードレールの適用、国や地域によらずインターネット資産の監視と保護を行うサイバーパトロール活動、国内外グループ会社のIT資産を対象とした脆弱性診断、侵入テストの実施といった各種の対策を実施しており、平時からグループ内の資産の安全性をモニタリングし、当社資産の緊急の脆弱性の発見や情報漏洩の疑い、攻撃者の動向監視など、グループ全体への注意喚起や技術的対策支援を行っています。
専門人材の育成
サイバーセキュリティ対策には、ときに専門性が求められます。このため、SOMPOホールディングス内にサイバーセキュリティの研究開発の拠点である「サイバーラボ」を設置し、サイバーセキュリティに関する技術的研究とハンズオントレーニングなどを通した各社サイバー人材の教育支援や育成を行っています。定期的に「Cyber Tech Talk」「Global Cyber Tech Forum」というサイバーセキュリティに関する知識向上を目的としたオンライン型/集合対面型イベントを開催し、世界中のサイバー担当者がその知識と専門性を共有し、切磋琢磨するとともに将来の人材の育成にもつなげています。これらの取組みは、グローバル規模で広がるサイバーリスクに対応するためには当社グループに所属するサイバー人材同士がつながり、交流できるネットワークが必要であるという考えに基づいて行われており、所属する組織や国・地域の枠、言語を超えて情報交換できる環境づくりを目指しています。
新技術への対応
当社グループではAIや耐量子計算機暗号といった新しい技術についても、積極的に取り入れ活用するための研究・調査を行っています。セキュリティについても同様に、新技術を安全に活用するための手続きやルール、ガイドラインの策定について関連する各部門と連携し必要な対応を行い、安全な形での変革の実現に向けて取り組んでいます。また新技術はビジネス面での応用のみならず、セキュリティにも活用していくことが考えられます。新技術の攻撃手法への応用などを研究するとともに、各種IT環境の変化に敏感に対応し、常に最新のセキュリティ対策を取り入れられるよう、日々研究と調査を進めています。これらの研究と調査の拠点としても「サイバーラボ」が活用されています。通常の業務環境から隔離された専用のネットワーク環境を有するサイバーラボでは、安全に技術検証などを行うことが可能となっています。
セキュリティカルチャーの醸成とセキュリティ教育
サイバーセキュリティの確保に向けては、社員一人ひとりがサイバーセキュリティの重要性を理解し、安全にIT資産を利用するための意識を持つ「セキュリティカルチャー」の醸成が不可欠です。当社グループでは、従業員から経営層に至る複数の階層に向けた教育プログラムを実施しています。グループ会社向けにも、eラーニング、フィッシングメール訓練やサイバーインシデント演習の開催、ニュースレターの発信などを通し、サイバー攻撃に関する知識の習得と、注意喚起に取り組んでいます。近年では、サイバーインシデント演習において、より実践的な要素を組み入れたランサムウェア攻撃のシナリオを導入するなど、事業全体や経営を含めたレジリエンスの強化に力を入れています。
クラウドシフトの推進
当社グループでは、SOMPOホールディングス内にクラウドCoE(Center of Excellence)態勢を構築し、刻々と変遷するビジネスに柔軟に対応し、競争に打ち勝っていくためのひとつの手段として、クラウドシフトを推進しています。クラウドCoEでは、パブリッククラウドを安心・安全に利活用するためのガイドラインの整備や、グループ各社がクラウド化やAI利活用を推進するための要員支援、ナレッジ支援を実施しています。クラウドシフトすることでコスト削減、スケーラビリティやサービスの可用性の確保、共通セキュリティ機能によるセキュリティの確保などを実現するほか、クリーンエネルギーへのコミットと投資を行っているパブリッククラウドを積極的に採用することで炭素排出量の削減にも貢献しています。
サードパーティリスクへの対応
現代のビジネスはさまざまな外部業者(サードパーティ)と連携する必要があり、複雑なサプライチェーンのなかで成り立っています。近年このサプライチェーンを狙ったサイバー攻撃が増加しており、ある一社が攻撃を受けると、その影響が取引先全体に波及する可能性があります。当社グループにおけるサイバーセキュリティ対策だけでなく、取引先である代理店や委託先における対策も不可欠であることから、当社グループにおいては、契約時のセキュリティチェックや定期的なモニタリングを行っています。サプライチェーンを意識した取組みを実施することで、セキュリティリスクを最小限に抑え、顧客情報等の大切な情報資産を守るとともに、安定した事業運営を追求しています。
社外からの評価、情報配信
SOMPOホールディングスではサイバーセキュリティを通じて、企業としての社会的責任を果たし、ステークホルダーからの信頼を得られるようサイバーセキュリティに関する取組みや情報開示を積極的に行っています。
有価証券報告書やサステナビリティレポートでの情報開示や国内外の外部IT企業主催のイベントへの登壇やメディア取材等を通じて当社の取組みや情報開示を行っています。
【2024年度以降の主な実績】
- 受賞歴
一般社団法人 日本IT団体連盟が実施した「日本IT団体連盟サイバーインデックス企業調査2024」において、「優れた取組姿勢および情報開示が確認できた企業」に認定
2023年から2年連続の認定(2025年1月)
- イベント登壇
弁護士ドットコム株式会社 UNITIS主催「Security Innovation Conference 2024 Summer」(2024年7月)
ISC2主催「ISC2 SECURE Asia Pacific」(2024年8月)
- メディア取材
一般社団法人 金融財政事情研究会(2024年7月)
