サイバーセキュリティ基本方針
当社グループ(おきなわフィナンシャルグループ)は、高度化・巧妙化するサイバー攻撃を経営上のトップリスクとして認識し、お客さまが安心してサービスをご利用いただくためにサイバーセキュリティ管理態勢を構築します。
- 経営陣による主体的な関与
経営陣自らがサイバーセキュリティリスクと向き合いリーダーシップの発揮により、グループ全体を俯瞰したサイバーセキュリティ管理態勢の構築及び組織風土の醸成を自らの責任で取り組みます。 - 法令及び関係主体等からの要求事項への対応
サイバーセキュリティに関わる法規制を遵守し、関係主体等(お客さま、地域社会、株主、当局等)からの要求事項への対応に努めます。 - サイバーセキュリティ対策の実施
サイバーセキュリティの維持及び改善のためにサイバーセキュリティ管理態勢を構築し、高度なセキュリティ対策を実施します。また、外部専門家によるレビューを受けた上で、取締役会等で十分な検証と議論を行います。 - 継続的な改善活動
サイバーセキュリティ対策の取り組みを定期的に評価、見直すことにより、継続的な改善活動を実施します。
サイバーセキュリティへの取り組みについて
ガバナンス体制
当社グループのサイバーセキュリティ管理業務全体を統括するグループサイバーセキュリティ責任者を設置しています。
グループサイバーセキュリティ責任者はサイバーセキュリティリスク管理や各種対策の推進における責任者として経営会議・取締役会に報告し、経営と一体となりサイバーセキュリティに関する方針や資源配分を適時適切に見直しています。
また、グループ各社においてサイバーセキュリティ責任者を設置し、連絡体制を整備することにより、グループ各社におけるサイバーセキュリティ対策状況の把握やインシデント発生時の迅速な情報集約を実現しています。
※CSIRT…CSIRT(Computer Security Incident Response Team)は、サイバーセキュリティインシデントの検出、対応、復旧を行うチームです。主な役割は、インシデント対応、被害の最小化、システムの復旧、また平常時からインシデント防止(情報収集、対策強化、教育)などを行います。
※SOC…SOC(Security Operations Center)は、組織のIT インフラを24時間体制で監視し、サイバーセキュリティの脅威を検出、分析、対応する専門チームです。主な役割は、リアルタイムの脅威監視、インシデント対応、セキュリティ対策強化、そして脅威情報の共有です。
インシデント発生時の対応
SOC およびCSIRT 等の専門部隊を設置し、外部の専門機関とも連携のうえ、インシデント対応を行っています。SOC による監視体制でインシデントの予兆となる不審なログ等を検知しており、CSIRT はSOC の検知情報をもとに、社内外への情報連携やインシデント発生時の対応・調査・復旧等を実施します。
これら専門部隊は、有事に備え、日頃からサイバー攻撃手法ごとの対応フローを制定し、手続きに沿った対応ができるよう訓練・演習を行っています。
サイバーセキュリティ対策の状況
グループおよびサプライチェーンを含めたサイバーセキュリティ対策を推進しています。サイバーセキュリティリスクの特定・発現の未然防止のため、公的機関や信頼できるコミュニティ・メディア等から脅威インテリジェンスを収集し、当社に与えうる影響を踏まえて、優先度をつけた対策を実施しています。
サイバーセキュリティ人材の育成
経営層を含めたインシデント対応訓練や役職レイヤーごとのサイバーセキュリティ研修、全役員・社員向けに半年に1 回以上フィッシングメール訓練を実施する等、社内外の研修・訓練・演習を通して必要な意識、知識、スキル等を役員・社員一人ひとりが身につけています。
また、専門資格取得に向けた積極的な支援や外部研修による社員育成のほか、新卒採用ではシステム人材を積極的に採用する等、専門性を持つ人材を獲得し、中長期で育成しています。
以上