サイバーセキュリティ

ここ数年、重要インフラサービスに深刻な影響を与えるサイバー脅威のリスクに対応するため、SMBCグループはセキュリティ対策を大幅に強化しています。トップリスクのひとつにサイバーリスクを掲げる、「サイバーセキュリティ経営宣言」を策定するなどして、さまざまな努力を重ねています。特に、「サイバーセキュリティ経営宣言」は、ステークホルダーの皆さまへの案内、並びに従業員への周知徹底も意図し、以下のリンクを通じて公開しています。

https://www.smfg.co.jp/cybersecurity.html

経営主導の態勢強化のため、グループCIO（Chief Information Officer）・CRO（Chief Risk Officer）の下に、システムセキュリティ統括部長を「CISO（Chief Information Security Officer）」という専門的な責任者として配置し、サイバーリスクに対する戦略推進の中心を担うCISOの役割・責任を明確化するとともに、「CSIRT（Computer Security Incident Response Team）」「SOC（Security Operation Center）」を設置し、常時緊密に連携を図っています。

情報セキュリティの３要素である機密性・完全性・可用性に加えて、真正性・責任追跡性・否認防止・信頼性の確保を意識したセキュリティポリシーを策定した上で、不正アクセスやDDoS攻撃といったサイバー攻撃に加え、それらに起因するデータ不正(改竄、暗号化、消去)や不正送金といった事案等をリスクと認識し、グループ内外から積極的に収集する脅威情報や観測事象の分析を実施、推進中のセキュリティ対策の有効性評価と合わせて、定期的に取締役会および経営会議の場で議論することで、進展するサイバー脅威に適合したレベルの獲得に努めています。

SMBCグループのサイバーセキュリティ体制

CSIRTは、サイバーセキュリティを専担とするシステムセキュリティ統括部が中心となって構成する組織で、サイバーインシデントの発生に備え、各国当局や外部機関とも連携し、攻撃者の手口や脆弱性情報等を適宜相互に共有しています。これらの情報を活用し、最新の脅威を踏まえた対応計画を策定した上、サイバー攻撃等の内部・外部の脅威に対応しています。また、SMBCグループ各社で実際サイバーインシデントが発生した際には、システムセキュリティ統括部がインシデント対応について支援を実施します。

SOCは、日本総合研究所を中心に組織しており、グループ各社監視体制の一元化推進、グローバルベースでの24時間365日監視体制構築等、高まるサイバー脅威へのリスクに備えるべく、引き続きセキュリティ監視の強化に努めています。具体的には、欧米・アジア地域にそれぞれSOCを保有し、グローバルで連携しながら監視体制を組成しています。

システムリスク管理

SMBCグループは、金融に限らずビジネスの領域が拡大するにつれ、新たな観点を加えたリスクの洗い出しとリスクの多寡に見合った管理態勢の整備・運用を実施しております。規模によらず高度なリスク管理が求められる会社から取引先を含むサプライチェーンまで、リスクの高い領域から支援を拡大しています。

様々なテクノロジーの進化を積極的かつオープンに取り込み、お客さまの利便性向上や新規ビジネスの創造、生産性向上・効率化等、あらゆる分野でデジタライゼーションを推進していくなかで想定されるリスクに対しても、環境の変化に応じて管理態勢を強化しています。AI・クラウド・RPA・APIなどのテクノロジーの活用に伴い、導入時の遵守事項や定期的なモニタリング要領等に関してガイドラインを策定し、グループ全体のITガバナンスを強化できるよう取り組んでいます。

SMBCグループの主要企業の一つである三井住友銀行では具体的な管理運営方法として、公益財団法人金融情報システムセンター（FISC）の安全対策基準等を参考にリスク評価を実施し、リスク評価結果をもとに安全対策を強化しています。銀行のシステム障害によって引き起こされる社会的影響は大きく、また、IT技術の進展や事業分野の拡大等によりシステムを取り巻くリスクが多様化していること等を踏まえ、情報システムにおいては、安定的な稼働を維持するためのメンテナンス、各種システム・インフラの二重化、東西コンピュータセンターによる災害対策システムの設置等の障害発生防止策を講じています。加えて、コンティンジェンシープランの作成や障害発生時を想定した訓練の実施により、不測の事態にも備えています。また、お客さまのプライバシー保護や情報漏洩防止のために、重要な情報の暗号化や外部からの不正アクセスを排除する対策を実施する等、万全を期しております。

サイバーセキュリティ・システムリスクの施策・態勢について、年間を通じて複数回の内部監査・外部監査/脆弱性評価を実施しております。

従業員に対するサイバーセキュリティに関する研修・教育

SMBCグループでは、これまでサイバーセキュリティに関する専門知識や業務経験を必ずしも有していない従業員に対して、今後デジタル化等に関わる機会を見据えた知識習得や日々の安全習慣を身に着けるために、継続的に教育を実施しております。
具体的には、以下のような研修を年次～複数回（／年）実施しております。

●業務推進に必要とされるサイバーセキュリティに関する基礎知識理解を目的とした新人研修
●従業員における習得知識の定着や活用を目的とした啓発用冊子配布・e-ラーニングコンテンツ提供
●役職員をターゲットとしたスピアフィッシングに対する意識向上を目的としたメール訓練
●最新のサイバー脅威に係る知見向上、サイバーセキュリティにおける経営上の留意事項理解を目的とした役員向け研修
●組織全体のインシデント対応力や判断力向上を目的としたサイバー演習・訓練
●CSIRT・SOCのインシデント対応力や技術的な課題発見を目的としたレッドチーム演習（※1）

※1 攻撃側（レッドチーム）と防御側（ブルーチーム）に分かれ、攻撃側が行うサイバー攻撃に対し、防御側が検知し、分析及び対処を実施する演習

従業員の教育に加えて、お客様に向けた啓発マンガをホームページ内の以下のリンクを通じて公開しております。

https://www.smbc.co.jp/kojin/special/stop_phishing_crime/

また、重要インフラサービスに深刻な影響を与えるサイバー脅威のリスクに対し、サイバーセキュリティに関する専門人材の育成についても重要な課題と認識しており、内外部のコンテンツの活用や資格取得支援の制度導入等を通じ、日々スキルの高度化に取り組んでおります。

万が一従業員が不審メールを受信した等、サイバーセキュリティ上の課題を発見した際、従業員が従うべき明確なエスカレーションプロセスを策定しており、このプロセスについても従業員教育に含めております。
具体的には、窓口であるSOCに即時報告し、マルウェアに感染したパソコンをネットワークから隔離する等を実施しております。また、年次で実施している演習で習熟度や実効性を確認しております。