当社グループは、サイバーセキュリティの企業文化を醸成し、日々、高度化・巧妙化するサイバー攻撃に対する対応能力を継続的に向上していきます。グループ一丸となったサイバーセキュリティ対策を通して、「”安心・安全・健康のテーマパーク”により、あらゆる人が自分らしい人生を健康で豊かに楽しむことのできる社会を実現する」というSOMPOのパーパス実現に取り組んでいきます。
サイバーセキュリティに対する基本的な考え方
当社では、サイバーセキュリティへの取組みにより安心・安全な社会を構築することが企業の社会的責任であるとの認識のもと、「グループサイバーセキュリティ基本方針」を定め、グループ全体として効率的かつ実効性のあるサイバーリスク管理態勢の整備に努めています。
サイバー攻撃に関するリスクは、当社グループにおいて重要な管理対象リスクと位置付けられており、経営のリーダーシップの下に、グループ一体でのサイバーセキュリティ対策を推進しています。
SOMPOグループサイバーセキュリティ基本方針
サイバーセキュリティ対策状況の可視化
当社グループでは、サイバーセキュリティを尊重する企業文化を確立すること、また日々高度化巧妙化するサイバー攻撃に対する対応能力を継続的に向上させることが何よりも重要と認識し、グループ一丸となってサイバーセキュリティ管理態勢の整備と維持に努めています。
当社では、NIST※ CSF(Cyber Security Framework)等のグローバル標準フレームワークをベースにサイバーセキュリティに対する基本的な考え方や基準を策定しており、グループ各社はそれぞれの役割と責任の下にサイバーセキュリティとレジリエンスへの対策と体制強化に取り組んでいます。これら取組みのPDCAを確実なものとするために、当社では、グループ各社のサイバーセキュリティ対策状況を定量的にモニタリングし可視化を行う「サイバーメトリックス」を構築し、各社の対策状況の把握と管理に活用しています。これら一連の継続的取組みを通し、セキュリティを自社グループの防御や事業上のリスク低減のみならず、サイバー保険やDX推進といった各種戦略とも結び付け、グループ経営における競争上の優位性にも転換していくことを目指しています。
- NIST : National Institute of Standards and Technology(米国国立標準技術研究所)
推進体制
横断的に活動するサイバー専門チーム
サイバーセキュリティには常に環境変化があり、先端技術に対する知識とその応用が求められる領域であることから、SOMPOホールディングス内にサイバーCOE(Center of Excellence)態勢を構築し、この専門チームが中心となり、各社と役割分担に基づいた実効的な態勢の強化を推進しています。その方針や方向性については、グループCIOをはじめとする関連役員による協議を踏まえ決定しており、特に部門横断での対応が求められるレジリエンスの強化に向けてはIT部門だけでなく、経営企画部やリスク管理部といった関係各部が相互に連携しながら対応にあたっています。同様にセキュリティインシデントの発生に備え、SOMPOホールディングス内にHD-CSIRT(Computer Security Incident Response Team)を組成し、事案発生時の情報連携や意思決定、フォレンジック調査といった有事の際に必要となる各種対応を適時迅速に行えるよう組織的な整備を行っています。業界他社やセキュリティに関わる関連団体との連携も行っており、当社グループだけでなくセキュリティコミュニティ全体での成熟度向上を目指し活動を行っています。
グローバルなリスク対応態勢
サイバーリスクに国境はありません。このグローバルなリスクに対応するために、当社では東京のほか海外にもサイバーセキュリティの対応拠点を設けています。この海外拠点におけるサイバー部隊には高度な知識と技術を有するホワイトハッカーが所属し、各種セキュリティテストや各社のセキュリティ人材のトレーニング、サイバー技術の調査研究などを行っています。また、国や地域によらずインターネット資産の監視を行うサイバーパトロール活動も行っており、平時からグループ内の資産の安全性をモニタリングし、当社資産の緊急の脆弱性の発見や情報漏洩の疑い、攻撃者の動向監視など、グループ全体への注意喚起や技術的対策支援を行っています。
サイバーセキュリティに対する主な取り組み
専門人材の育成
サイバーセキュリティ対策には、時に専門性が求められます。このため、SOMPOホールディングス内にサイバーセキュリティの研究開発の拠点である「サイバーラボ」を設置し、サイバーセキュリティに関する技術的研究とハンズオントレーニングなどを通した各社サイバー人材の教育支援や育成を行っています。
定期的に「Cyber Tech Talk」というサイバーセキュリティに関する知識共有を目的としたイベントを開催し、世界中のサイバー担当者がその知識と専門性を共有し、切磋琢磨するとともに将来の人材の育成にもつなげています。
この「Cyber Tech Talk」の取組みは、グローバル規模で広がるサイバーリスクに対応するためにはSOMPOグループに所属するサイバー人材同士がつながり、交流できるネットワークが必要であるという考えに基づいて行われており、所属する組織や国・地域の枠、言語を超えて情報交換できる環境づくりを目指しています。
新技術への対応
当社グループではAIやWeb3.0といった新しい技術も、積極的に取り入れ活用するための研究等を行っています。
セキュリティについても同様に、新技術を安全に活用するための手続きやルール、ガイドラインの策定について関連する各部門と連携し必要な対応を行い、安全な形での変革の実現に向けて取り組んでいます。
また新技術はビジネス面での応用のみならず、セキュリティにも活用していくことが考えられます。新技術の攻撃手法への応用などを研究するとともに、各種IT環境の変化に敏感に対応し、常に最新のセキュリティ対策を取り入れられるよう、日々研究と調査を進めています。
これらの研究と調査の拠点としても「サイバーラボ」が活用されています。通常の業務環境から隔離された専用のネットワーク環境を有するサイバーラボでは、安全に技術検証などを行うことが可能となっています。
セキュリティカルチャーの醸成とセキュリティ教育
サイバーセキュリティの確保に向けては、社員一人ひとりがサイバーセキュリティの重要性を理解し、安全にIT資産を利用するための意識を持つ「セキュリティカルチャー」の醸成が不可欠です。
当社では、従業員から経営層に至る複数の階層に向けた教育プログラムを実施しています。グループ会社向けにも、eラーニング、フィッシングメール訓練やサイバーインシデント演習の開催、ニュースレターの発信などを通し、サイバー攻撃に関する知識の習得と、注意喚起に取り組んでいます。
近年では、サイバーインシデント演習において、より実践的な要素を組み入れたランサムウェア攻撃のシナリオを導入するなど、事業全体や経営を含めたレジリエンスの強化に力を入れています。
社外からの評価、情報配信
SOMPOホールディングスではサイバーセキュリティを通じて、企業としての社会的責任を果たし、ステークホルダーからの信頼を得られるようサイバーセキュリティに関する取組みや情報開示を積極的に行っています。
有価証券報告書やサステナビリティレポートでの情報開示や国内外の外部IT企業主催のイベントへの登壇やメディア取材等を通じて当社の取組みや情報開示を行っています。
【2023年度以降の主な実績】
- 受賞歴
一般社団法人 日本IT団体連盟が実施した「日本IT団体連盟サイバーインデックス企業調査2023」において、「優れた取組姿勢および情報開示が確認できた企業」に認定
- イベント登壇
日経新聞社主催「NIKKEI MESSE PREMIUM CONFERENCE SERIES」(2023年5月)
ISC2主催「ISC2 Modernizing Security Operations」(2023年9月)
ISC2主催「ISC2 SECURE Asia Pacific」(2023年12月)
- メディア取材
弁護士ドットコム株式会社 UNITIS編集部(2024年1月)
株式会社コトラ(2024年3月)
