1. ホーム
  2. ガバナンス
  3. サイバーセキュリティ態勢

サイバーセキュリティ態勢

English »

基本的な考え方

近年のデジタル技術の著しい発展により、インターネットやスマートフォンを利用した取引が増加しており、当行においてもデジタルチャネルによるサービスの拡充を推進しています。
一方、サイバー攻撃手法の高度化・巧妙化も進んでおり、金融機関を取り巻くサイバーリスクが高まっています。
当行では、サイバー攻撃によるリスクを経営上のトップリスクのひとつと位置づけ、経営主導によるサイバーセキュリティの継続的な強化に取り組んでいます。

ガバナンス態勢

当行では、経営主導によるサイバーセキュリティ態勢強化のため、代表執行役社長、サイバーセキュリティ担当役員(CISO:Chief Information Security Officer)の下、専門組織(サイバーセキュリティ対策部)を設置し、取締役会や経営会議に対する定期的かつ随時のレポーティングを通じて、環境の変化に応じた適時適切な経営判断ができるガバナンス態勢を整備しています。
サイバーセキュリティを含むシステム管理状況等については、取締役会の諮問機関である「リスク委員会」にて、定期的に審議しているほか、少なくとも年に一回取締役会へ報告しており、取締役会は、サイバーセキュリティ対応に関する監督機能を有しています。

サイバーセキュリティ経営宣言

当行は、日本郵政グループの一員として、サイバーセキュリティ経営宣言を表明しています。

管理体制

サイバーセキュリティ専門組織として、サイバーインシデントの予防および発生時の対応を行う「ゆうちょCSIRT(Computer Security Incident Response Team)」、セキュリティ機器、ネットワーク機器等のログを監視し、サイバーインシデントの予兆を検知、分析する「ゆうちょSOC(Security Operation Center)」を設置し、日々、サイバー攻撃の防衛に努めています。
事案発生時に、情報連携、意思決定、広報、対策などを的確かつ迅速に行えるよう、定期的に訓練や演習を実施しています。また、FFIEC-CAT(Federal Financial Institutions Examination Council - Cybersecurity Assessment Tool)に基づく第三者からの評価及び提言を受け、サイバーセキュリティ態勢を強化しました。2025年度からは、国際的に活用されているCRI Profile(Cyber Risk Institute Profile)を基に、最新のセキュリティ動向を反映した高度な対策に取り組んでいます。
加えて、官公庁や業界他社、関連団体との連携を通じて、新たな攻撃手口の分析や対策を行うなど、多層的な検知・防御対策を整備しています。

図:サイバーセキュリティ専門組織

※1:

取締役会には少なくとも年に一回報告。

※2:

監査部門において、一線部署および二線部署に対しサイバーセキュリティ管理態勢に関する内部監査を実施。

サイバーセキュリティを支える人財育成

クラウドサービスやAIなどのデジタル活用が進展する現在、事業活動のあらゆる場面において、サイバーセキュリティリスクを意識した対応が不可欠となっています。
当行では、「一層信頼される銀行となるための経営基盤の強化」を図るため、サイバー専門人財を配置するとともに、必要なスキルを体系的に整理し、担当業務やスキルにあわせた人財育成を計画的に推進し、専門性の向上に努めています。
また、経営層を含めた社員一人ひとりが、サイバーセキュリティに関する意識を高め、対策の実施に求められる基礎知識等を積極的に身に付けています。

サイバー専門人財の育成

サイバーセキュリティ態勢強化の推進とサイバー攻撃の防衛実践のため、必要とされる専門知識と経験を踏まえた育成計画を定め、スキルアップ講義や資格取得支援を行うとともに、年に一度インシデント対応訓練などを実施しています。さらに、金融業界の情報連携組織「金融ISAC」や金融庁・警視庁主催の各種訓練など、社外の取り組みにも積極的に参加し、専門知識とともに、経験を積み重ね、実行態勢を強化しています。

サイバーセキュリティ教育

サイバーセキュリティに関する意識や基礎知識の向上を図るため、経営層向けのサイバーセキュリティ研修やすべての役員・社員(非正規社員を含む)向けの標的型攻撃メール訓練などを実施しています。
加えて、定期的なサイバー攻撃への注意喚起や対応策(サイバー攻撃の脅威への必要な対策に加え、社員がサイバーセキュリティ上の問題を発見した場合の対応を含む)を周知する社内情報誌の発行、基礎知識から最新の専門知識まで学べるeラーニングコンテンツを提供し、社員教育を行っています。

サイバーセキュリティに対する主な取り組み

当行では、デジタルチャネルを通じて提供するサービスを、お客さまにより安心・安全にご利用いただけるよう、本人確認・当人認証の強化、ウイルス対策、脆弱性対策、脅威動向の分析、サイバー攻撃の検知や不正な取引のモニタリングなどに取り組んでいます。

  • 本人確認の強化
    お客さまになりすました不正登録を防止するため、eKYC(electronic Know Your Customerの略。本人確認書類のIC情報と登録時に撮影する顔の情報を照合し、オンラインで本人確認を完結させる技術)を導入
  • 当人認証の強化
    送金時等、重要な取引時の当人認証のさらなる強化のため、FIDO(Fast IDentify Onlineの略。オンライン認証の国際標準規格)に準拠した「ゆうちょ認証アプリ」、一度しか使えないパスワード(ワンタイムパスワード)を生成する機器「トークン」を導入
  • ウィルス対策
    お客さまの暗証番号等を詐取する攻撃を検知する不正送金対策ソフト「PhishWall プレミアム」を無料配布
  • 脆弱性対策
    日々のサイバー攻撃の脅威や脆弱性情報の収集・対策、攻撃によるシステムへの侵害に対する能力を高めることを目的としたTLPT※3(脅威ベースのペネトレーションテスト)を実施
  • 不正な取引のモニタリング
    インターネットバンキングシステムにおける不正なアクセスの監視、不正送金等被害を防止
  • なりすましメール対策
    DMARC(Domain-based Message Authentication, Reporting and Conformanceの略。なりすましや改ざんメールであると判断された際に、受信者側にメールを届けるかどうかを送信者が設定するしくみ)等の送信ドメイン認証技術の導入や、メールにブランドロゴを表示することで、不審なメールに対する対策を実施
  • サイバーインシデント発生時の報告プロセス周知
    社員がサイバーインシデント(またはそれを疑うような事象)が発生した場合には被害の拡大を防ぐため速やかにサイバーセキュリティ対策部等関係部署に連絡するよう規定

※3:

TLPT・・・Threat-Led Penetration Testing