図1:情報セキュリティ推進体制図
企業情報
情報セキュリティ報告書
2022年3月31日版
1. はじめに
昨今、あらゆる分野でデジタル技術を駆使した新たなビジネスモデルが生まれ、社会はますますデジタル化しています。それにより、私たちの生活や仕事は便利になっていく一方で、サイバー攻撃や内部不正等の脅威は高度化・複雑化し、新たなリスクが生まれています。このような状況下で、ソフトバンクグループ株式会社(以下、当社)は、戦略的投資持株会社として安心・安全なデジタル社会を実現・牽引するために、当社およびグループ会社における情報セキュリティを推進しています。そのためには、リスクを特定・管理し、かつそれらに適切に対応する必要があります。
本ページでは、当社およびグループ会社における情報セキュリティに関する説明をしています。情報セキュリティに関する取り組みを理解していただくことで、本ページが読者の皆様との信頼関係をより強固にしていくための一助になれば幸いです。
2. 情報セキュリティ推進体制
当社は、自社における情報セキュリティを推進するだけでなく、グループ会社における情報セキュリティを管理・監督するために、以下のような情報セキュリティ推進体制を整備しています。
また、当社およびグループ会社の重大な情報セキュリティインシデントが発生した場合には、当社取締役でもあるCISO統制のもと担当部署が迅速かつ適切に対応・復旧を行っています。さらに、再発防止を徹底するために、情報セキュリティインシデントの発生原因を分析し、今後の課題を洗い出すとともに、情報セキュリティ戦略への反映や役職員へのセキュリティ教育内容の改善にも役立てています。
3. リスクマネジメント
当社は、情報セキュリティに関するリスクを把握・管理するために、リスクマネジメントプロセスを構築・運用しています。重大なリスクと認識されるものについては、リスクを引き起こす原因やその影響を分析したうえで方針を検討し、グループ会社にリスク対策の遂行を促しています。また、潜在的なリスクを早期に把握し顕在化を防止するために、グループ全体における情報資産の侵害につながる脅威・脆弱性に関する情報を収集し、グループ会社に共有しています。グループ会社によるリスク対策の遂行状況をモニタリングし、対策の有効性評価および改善を行うことにより、グループ全体における万が一の事態発生防止や影響の最小化を目指しています。
図2:リスクマネジメントプロセス
4. 情報セキュリティ対策方針
冒頭記載のとおり、社会のデジタル化により、新たなリスクが生まれています。当社は、このようなリスクに対しても可能な限り対応するために、組織的・物理的・技術的・人的という4つの観点で情報セキュリティ対策を実施し、重要な情報資産を保護しています。また、グループ会社と適切に連携し、情報セキュリティに関する有益な情報の共有や情報セキュリティインシデント発生時における報告プロセスを整備しています。
図3:情報セキュリティ対策方針概念図
5. 情報セキュリティ対策
当社およびグループ会社は、重要な情報資産を守るために、組織全体の適切な統制をとる「組織的対策」、物理的な情報資産の破壊・不正持ち出しを防止する「物理的対策」、サイバー攻撃や内部不正等の脅威に対する技術的な対策を行う「技術的対策」、役職員および外部委託従事者の情報セキュリティに関する意識や能力を向上する「人的対策」という4つ観点から、情報セキュリティ対策に取り組んでいます。また、社内外における環境の変化に基づき、情報セキュリティ対策が効果的かつ確実なものとなるように、継続的に評価および見直しを実施しています。
組織的対策
当社は、情報セキュリティを推進するために、情報セキュリティに関する最上位文書である情報セキュリティポリシーに基づき各種規程類を整備しています。さらに、情報セキュリティポリシーに基づいたグループ情報セキュリティガバナンス方針を用意し、グループ会社またはその役職員として遵守すべき各種ルールを定めています。グループ会社は、この方針に従い、各種規程類を整備しています。【情報セキュリティ推進体制】にて示した情報セキュリティ推進体制によりこれらを管理する事で、当社およびグループ会社は共通認識のもとで業務を行っています。
物理的対策
当社およびグループ会社は、建物内部への不正侵入や物理的な情報資産の破壊または不正な持ち出しを防止するために、セキュリティエリアの設置および入退室管理等の物理的対策を実施しています。また、災害発生時に備え、情報資産の保護や防災環境の整備等の対策を実施し、事業継続管理に努めています。
技術的対策
当社およびグループ会社は、高度化・複雑化しているサイバー攻撃や内部不正等の脅威に備え、安心・安全を担保するための技術的な対策を実施しています。当社は、クラウド利活用や働き方改革等の時代の流れに対応できるよう、業務の利便性および強固なセキュリティを兼ね備えたネットワークアーキテクチャを採用しています。ネットワークアーキテクチャは、信頼できる場合にのみアクセスを許可するという“ゼロトラスト”の考え方に基づいています。また、第三者のセキュリティ専門機関による脅威分析とセキュリティオペレーションセンターによる24時間365日のセキュリティ監視、および実践を模した本番環境への侵入テストを定期的に行っています。テストの結果により判明した脆弱性に適切に対処することにより、リスクの顕在化防止に努めています。さらに、内部の不正防止にも注力しています。役職員および外部委託従事者の情報システム操作記録を活用した行動分析を行い、リスクの高い行動の検知および対策を行っています。
人的対策
当社およびグループ会社は、役職員および外部委託従事者の情報セキュリティに関する意識や能力の向上を目的としたセキュリティ教育を継続的に行っています。当社は、役職員および外部委託従事者が、このセキュリティ教育を、場所・時間に制約を受けることなく受講できるように、eラーニング環境を整えています。また、当社が行っているセキュリティ教育に関する情報をグループ会社に共有することにより、グループ全体としても情報セキュリティに関する意識や能力の向上を図っています。さらに、当社およびグループ会社は、役職員および外部委託会社に対して、関連する法令や守秘義務の遵守を徹底しています。
6. NIST CSF準拠と外部機関評価
当社は、世界各国の組織や企業が採用しているサイバーセキュリティフレームワークである「NIST CSF※」に準拠した対策を実施しています。また、その安全性についての評価を、米国および諸外国でNIST CSFに関し知見を有する外部機関より受けています。
7. 今後の取組み
当社は、適切に情報資産を保護していくとともに、グループ会社が情報セキュリティのリスクを自律的かつ効率的に管理する仕組みを展開していきます。また、情報革命を通じてデジタル社会を安全に発展させていくために、情報セキュリティ分野からも貢献してまいります。
NIST CSF (Cybersecurity Framework)は、米国国立標準技術研究所 (NIST)が定める、サイバーセキュリティリスク管理の基準、ガイドライン、ベストプラクティスを集約したフレームワーク