サイバーセキュリティ

基本的な考え方

デジタル化が加速し、金融サービスを取り巻く環境が変化する中、サイバー脅威はますます深刻化しています。SMBCグループではお客さまへのより安全・安心なサービスの提供と、サイバー脅威に強い社会の実現を目指して、サイバーセキュリティのさらなる強化を推進していきます。


サイバーセキュリティ管理体制

  • 管理体制の構築
    サイバーセキュリティリスクを経営上のトップリスクの一つとして掲げ、「サイバーセキュリティ経営宣言」の下、経営主導でサイバーセキュリティに対する取組を継続的に推進しています。
    「サイバーセキュリティ経営宣言」は、ステークホルダーの皆さまへのご案内および従業員への周知徹底を目的として、以下のリンクを通じて公開しています。

  • サイバーセキュリティリスクは、全社的なリスク管理の枠組の中で管理しており、サイバーセキュリティ専任部署であるサイバーセキュリティ統括部が中心となって、外部環境や経営戦略等を踏まえながら、サイバーセキュリティ管理に関する基本方針を策定しています。
    グループ経営会議では、基本方針に基づき、さらなる体制強化に向けたサイバーセキュリティ管理について定期的に議論しています。また、取締役会やリスク委員会、監査委員会等の内部委員会においても、定期的にサイバーセキュリティ管理について議論を行い、取締役による監督を実施しています。
    実効性のあるセキュリティ対策推進の役割を明確化するため、当社では、グループCIO・CROの下に、グループCISO*1を設置しています。グループCISOは、サイバーセキュリティ統括責任者として専門的な見地から、グループおよびグローバルでの体制整備や各所の施策推進における監督・指導を担っています。さらに、グループCISOの下には、グループ副CISOおよび地域CISOを設置しており、グループCISOのリーダーシップのもと、グループおよびグローバルベースで700名以上*2のセキュリティ専門スタッフによるサイバーセキュリティ管理体制を確立しています。
  • *1Chief Information Security Officer
  • *22025年3月末時点
SMBCグループのサイバーセキュリティ体制 拡大画像を表示する
  • サイバーセキュリティリスクの特定
    当社はサイバーセキュリティに関する体制評価等を通じて、サイバーセキュリティリスクの特定を行っています。
    具体的には、国際基準に基づき、定期的に第三者によるセキュリティ対策の成熟度評価を実施しています。
    また、脅威インテリジェンスを積極的に活用して最新のサイバー脅威に対処しており、攻撃者の動向、脆弱性に関する情報、地政学情報等を収集・評価し、当社のサイバーセキュリティ環境に適用しております。
    加えて、脆弱性を悪用した攻撃による被害を抑止するため、定期的に脆弱性診断を実施し、さらに外部のセキュリティ専門家が実際にシステムに侵入してセキュリティ対策状況を評価する脅威ベースのペネトレーションテストも実施しています。
    このように内部・外部環境分析を踏まえ、当社に関連するサイバー脅威を特定した上で、セキュリティ対策のさらなる強化に努めています。
  • サイバー攻撃の防御および検知
    不正アクセスや大量アクセス等、さまざまなサイバー攻撃に備えるため、各種セキュリティ対策サービスやシステムの運用を通じて、外部からの不審な通信を検知・遮断し、多層的な防御体制を構築しています。
    また、ネットワークの監視および分析を行う専門組織であるSOC*3を設置し、24時間365日の監視体制を確立しています。さらに、欧米やアジア地域に設置したSOCと密に連携し、グループおよびグローバルベースのセキュリティ監視を一層強化しています。
  • *3Security Operation Center
  • サイバーインシデントの対応および復旧
    当社では、万が一サイバーインシデントが発生した際に備えて、CSIRT*4を設置しています。また、国内のセキュリティ機能および人材を集約したサイバーフュージョンセンター(CFC)を設置することで、管理体制の効率化を図り、迅速なインシデント対応が可能な環境を整備しています。
SMBCグループのサイバーセキュリティ体制 拡大画像を表示する
  • CSIRTは、攻撃者の手口や脆弱性に関する情報をグループ内外から積極的に収集し、各国当局や米国のFS-ISAC*5、日本の金融ISAC等の外部機関とも連携しています。
    また、万が一の攻撃に備えた対応として、外部の専門家による擬似攻撃演習や、金融庁・金融ISAC等が主催するサイバー攻撃対応演習への定期的な参加を通じて、サイバーレジリエンスのさらなる強化に取り組んでいます。
  • *4Computer Security Incident Response Team
  • *5Financial Service Information Sharing and Analysis Center

サイバーセキュリティに関する啓発活動および専門人材

  • 啓発活動
    当社では、セキュリティ対策への意識を高めるカルチャーを醸成するため、役割と責任に応じた啓発活動を実施しています。
    経営陣に対しては、サイバーセキュリティにおける経営上の留意事項等に関する勉強会を定期的に開催しています。 また従業員に対しては、経営陣からのサイバーセキュリティに関するメッセージを定期的に配信しています。さらに啓発マンガの配信や標的型攻撃メール訓練等を通じてセキュリティ意識を向上させるとともに、システム企画者向けの研修等を通じてセキュリティ・バイ・デザインの理念を浸透させています。
    なお啓発マンガについては以下のリンクを通じて公開していますので、ぜひご覧ください。
  • 専門人材
    中長期的なサイバーセキュリティ管理体制の維持に向けて、専門人材の育成を重要課題と認識し、内外のコンテンツの活用、資格取得支援制度の導入、国内外の大学院への派遣、専門組織・業界団体への参画等を通じて、中心的な役割を担う人材の育成に注力しています。
    また、キャリア採用等による専門人材の確保に努める一方で、新卒採用においてはサイバーセキュリティコースを設置し、継続的な体制強化を図っています。