alt

情報セキュリティ

基本的な考え方

ITインフラの成熟化に伴い、全世界でサイバー攻撃やウイルス感染が急増しています。2018年1月に世界経済フォーラム(WEF)が発表した「グローバルリスクレポート2018」では、サイバーリスクは異常気象や自然災害と並ぶほど、大きな脅威として認識されています。

自動車産業においては、機密情報の漏洩やコンピューターウイルス感染等の従来のリスクに加え、自動運転・IoT等の「つながる社会」への進化に伴いあらたなリスクが発生しつつあり、サイバーセキュリティの強化が不可欠となっています。

こうした中、デンソーでは2016年に「デンソーグループ情報セキュリティ基本指針」を制定し、情報保護・管理強化に取り組んでいます。

デンソーグループ情報セキュリティ基本指針

デンソーグループは「世界と未来をみつめ 新しい価値の創造を通じて 人々の幸福に貢献する」を基本理念に掲げ、地球環境の維持、安心・安全な社会を目指して、クルマの利便性・喜びを世界中の人々に届けるための事業活動に取り組んでいます。
安心・安全に欠かせない情報セキュリティの分野においては、従来のリスクに加え、製品や工場に対するサイバー攻撃の高度化・巧妙化など、新たなリスクが日々増加しております。
自動運転やIoT等、「つながる社会」への変化が加速する中、世界中のお客様へ安全で信頼性の高い製品をお届けすること及び、お客様からお預かりしている情報資産を様々な脅威から保護することは、経営上の最重要課題であると認識しております。
よって私たちは、ここに情報セキュリティ基本指針を定め、CISO(最高情報セキュリティ責任者)のもと、全社一丸となって情報セキュリティの一層の強化を図ってまいります。

  1. 情報セキュリティに関する法令、国が定める指針、その他の社会的規範を遵守します。

  2. 経営者の下、情報セキュリティに関する管理体制を構築します。

  3. 情報セキュリティリスクを識別し、人的・組織的・技術的に適切な対策を実施します。

  4. 情報セキュリティに関する教育・啓発活動を継続的に行います。

  5. 情報セキュリティ問題に対しては、その原因を迅速に究明し、その被害を最小限に止めるとともに再発防止に努めます。

  6. 情報セキュリティに関する管理体制および取り組みについて点検を実施し、継続的に改善・見直しを行います。

目指す姿

デンソーは、「製品」と「会社」の2つの側面から情報セキュリティ活動を進めています。

  • security-img-objectives

「製品」

今後、クルマが社会とつながることにより、利便性・快適性が格段に向上します。反面、「つながる」ことでサイバー攻撃やウイルスなどのサイバーリスクの脅威に晒されることになります。デンソーは、自動運転やコネクティッドカー等を注力分野と位置づけており、それを支える統合プラットフォームを開発していきます。それらを実現するためには、何より安全であることが大前提です。デンソーは、情報セキュリティ上安全な製品を提供していくことにより、安心安全なクルマ社会に貢献していきます。

「会社」

デンソーは、生産工場・グループ会社をネットワークで繋ぐ、いわゆる「IoT」を進めています。これにより、開発・生産の効率化を図っていく予定ですが、反面、例えば一工場のウイルス感染が瞬時に全グループ会社へ波及するといった負の側面も想定されます。こうしたことが起こらないよう、社内ネットワークや生産工場に情報セキュリティ対策を講じることにより、安定的な製品供給を実現していきます。

また、企業の社会的責任のひとつとして、情報セキュリティ対策を徹底することで、デンソーが保有する情報資産を守っていきます。

推進体制

CISO(情報セキュリティ最高責任者)のもと、デンソー本社に情報セキュリティを統括する専門部署を置き、世界6地域に本社と同様の専門組織を設置しています。
また、デンソー各部門・各グループ会社に、情報セキュリティ責任者を置き、デンソーグループ一丸となった情報セキュリティ活動を推進しています。

具体的な取り組み

サイバー攻撃リスクへの対応

製品に関する具体的活動としては、コネクテッドや高度運転支援・自動運転等の車載製品に関し、サイバー攻撃から守るための技術を開発し、製品に確実に搭載するべく独自の仕組みの構築を進めています。
生産工場については、製造を停止させないための情報管理・運用を徹底するとともに、サイバー攻撃を防ぐべく外部とのネットワークを論理的に分離する防衛策を進めています。

以上の通り、デンソーでは様々な情報セキュリティ活動を推進・強化していますが、新種のサイバー攻撃や未知のウイルスは日々発生しており、それらを100%防御することは困難です。
そうした新種・未知のサイバーリスクに対する「製品」「会社」の対策としては、ネットワークや機器を監視し異常を検知する、あるいは異常を検知したら瞬時に遮断する等の施策を施していきます。

社員への意識向上

情報セキュリティ対策を進めるにあたり最も大切なのは社員の意識です。
デンソーでは、例えば、社員に擬似的なウイルスメールを送る等の訓練や定期的な教育など、一人一人のセキュリティ意識を高めると同時に、万一の場合に即応できる体制を構築しています。

【TOPICS】(株)デンソーでの取り組み

年に一度、全社員を対象に不定期に疑似的な攻撃ウイルスメールを送る「標的型攻撃メール対応訓練」を実施しています。
不審な相手から送信されてきたメールに対して、「不用意に添付ファイルやリンクを開かない」「セキュリティ窓口へ通報する」ことを意識づけて、万一の場合に適切に対処できるようにしています。
また、毎年3月を機密管理強調月間と定め、全社員を対象に最新の情報漏洩リスクと対処方法の教育や、小集団での話し合いを実施して、社員一人ひとりが情報管理の砦となれるように意識付けを行っています。

今後の取り組み

「つながる社会」の進展に伴いさまざまな情報資産が社内に集まり、多くの部門で利活用することが想定されます。
情報資産の利活用方法により、情報提供者の権利や利益などを損ねることがないように、契約条件・法令遵守をはじめ、あらゆる角度からリスクを想定し、ルールの策定や管理・運用体制の構築など、ガバナンスを強化していきます。