本文への移動 カテゴリーメニューへの移動
  1. ホーム
  2. サステナビリティ
  3. ガバナンス - サイバーセキュリティ
フォントサイズ

サイバーセキュリティ

日本におけるインターネット金融サービスのパイオニアとして成長を遂げてきたSBIグループにおいて、サイバーセキュリティの強化は経営上の最重要課題の一つと捉えています。
証券・銀行・保険といった金融業を営む会社をグループ内に抱える当社では、グループ全体の規範となる「SBIグループセキュリティスタンダード」を定めています。本規範の制定に当たっては、金融機関がシステムを構築する際の安全対策基準(FISC安全対策基準)や、米国国立標準技術研究所(NIST)、国際的なサイバーセキュリティ規格であるCIS Controls等の各種フレームワークを参考としており、包括的なサイバーセキュリティ対策の強化を行っています。

SBIグループのサイバーセキュリティ体制

当社グループのサイバーセキュリティ体制は、当社執行役員をグループ情報セキュリティ管理責任者とし、IT統括部が核となって業務を行っています。更に、IT統括部の事務局のもとにSBIグループCSIRT(Computer Security Incident Response Team)を設置しています。SBIグループCSIRTは連絡会を毎月開催しており、サイバーセキュリティの知見を有する外部有識者との対話や社内関係部署・子会社との連携、金融業界のサイバーセキュリティに関する情報連携機関である金融ISACやサイバー犯罪に対する産学官の連携機関である日本サイバー犯罪対策センター(JC3)との情報連携を通じ、最新の脅威動向把握によるセキュリティインシデントの未然防止や、迅速なインシデント対応による被害極小化等のレジリエンスの高度化に努めています。
また、グループ各社の情報セキュリティ責任者や情報セキュリティ管理担当者が出席するサイバーセキュリティ連絡会を年に4回開催し、グループ全体でのサイバーセキュリティに関する施策や動向等を共有しています。当社グループは会社毎に事業規模や事業分野が大きく異なることから、同連絡会を通してのグループ全体でのサイバーセキュリティの底上げを図ることが重要と認識しています。
社内関連部署との連携については、IT統括部とグループリスク管理統括部とで、週次で情報共有を行っています。インシデントが発生した場合には共同で対策を行う体制としており、両部は日常的に密接な連携を行っています。サイバー攻撃への対処などIT分野に特化して対応するIT統括部と、リスク全般を管理するグループリスク管理統括部が連携することで、多層的かつ総合的なセキュリティ管理の強化を図っています。

<サイバーセキュリティ体制図>

サイバーセキュリティ強化に向けた人材育成

当社グループでは、セキュリティ対策としては、IT専門部署だけではなく従業員全員がサイバーセキュリティの重要性を理解し、日常的に対策していくことが不可欠と考えています。こうした考えの下、経営層や管理職、システムの開発や運用担当者、サービスの企画推進や事務、営業にかかわる従業員それぞれに、サイバーセキュリティに関わる教育プログラムを実施しています。経営層に対しては外部有識者を招聘し研修を実施する他、取締役会においても定期的に議題に挙げ議論を行っています。また、グループ子会社のシステム運用管理・担当者に対しては、外部講師によるセミナーを定期的に開催する他、サイバーセキュリティに関する専用の情報共有ポータルを通じて、脆弱性の注意喚起や対応策の周知を行い、会社の規模や分野によって偏りがちな知識の平準化を行っています。さらに、全従業員に対しては、フィッシングメール訓練やサイバー攻撃への注意喚起を周知する他、サイバーセキュリティに関するeラーニングを必修とし、倫理感の醸成や最新のサイバー犯罪およびその対策・対処法に関しての知識の共有化を図っています。

グループ全体を包括するサイバーセキュリティの整備

先進的かつ多様な事業を推進し、規模や成熟度も様々な会社が存在するSBIグループにおいては、サイバーセキュリティに関しても体制や人的リソース、知識の蓄積等の状況が不均衡である場合があり、その平準化を図ることがグループの課題と捉えています。また、デジタル化の進展とともに、サイバー攻撃は巧妙化・高度化しており、従来の対策だけでは、インシデントを完全に防ぐことは難しくなっています。それら課題への解決に資する施策として、当社グループではゼロトラストといわれるセキュリティの考え方を取り入れたグループ共通のセキュリティプラットフォームを構築しています。このプラットフォームを利用することで各社のインシデントの予兆やそのリスクに対して機動的に対応できる環境を整備しています。こうした管理体制整備は、非連続の成長を続ける当社グループのサイバーセキュリティ体制構築に有効な方法と認識しています。

このような取り組みが評価され、一般社団法人 日本IT団体連盟が2023年12月8日に公表した「サイバーインデックス企業調査2023」(※)において、「優れた取組姿勢及び情報開示が確認できた企業」44社にも認定されています。

※参照:サイバーインデックス企業調査2023 (一般社団法人 日本IT団体連盟)

関連情報

個人情報保護方針
個人情報の取り扱いについて
SBI新生銀行グループ サイバーセキュリティ経営宣言

SBIグループのサステナビリティ
環境(Environment)
社会(Social)
ガバナンス(Governance)

ページの上部へ