近年のデジタル技術の著しい発展により、インターネットやスマートフォンを利用した取引が増加しており、当行においてもデジタルチャネルによるサービスの拡充を推進しています。
一方、サイバー攻撃手法の高度化・巧妙化も進んでおり、金融機関を取り巻くサイバーリスクが高まっています。
当行では、サイバー攻撃によるリスクを経営上のトップリスクのひとつと位置づけ、経営主導によるサイバーセキュリティの継続的な強化に取り組んでいます。
当行では、経営主導によるサイバーセキュリティ態勢強化のため、代表執行役社長、サイバーセキュリティ担当役員(CISO:Chief Information Security Officer)の下、専門組織(サイバーセキュリティ対策部)を設置し、取締役会や経営会議に対する定期的かつ随時のレポーティングを通じて、環境の変化に応じた適時適切な経営判断ができるガバナンス態勢を整備しています。
サイバーセキュリティを含むシステム管理状況等については、取締役会の諮問機関である「リスク委員会」にて、定期的に審議しているほか、少なくとも年に一回取締役会へ報告しており、取締役会は、サイバーセキュリティ対応に関する監督機能を有しています。
当行は、日本郵政グループの一員として、サイバーセキュリティ経営宣言を表明しています。
関連情報
サイバーセキュリティ専門組織として、サイバーインシデントの予防および発生時の対応を行う「ゆうちょCSIRT(Computer Security Incident Response Team)」、セキュリティ機器、ネットワーク機器等のログを監視し、サイバーインシデントの予兆を検知、分析する「ゆうちょSOC(Security Operation Center)」を設置し、日々、サイバー攻撃の防衛に努めています。
事案発生時に、情報連携、意思決定、広報、対策などを的確かつ迅速に行えるよう、定期的に訓練や演習を実施するとともに、金融庁や警視庁主催の訓練・演習への参加など、社外の活動にも積極的に参加しています。また、金融機関向け管理態勢評価ツールとして国際的に活用されているFFIEC-CAT(FFIEC(米国金融機関検査協議会)が金融機関向けに作成したサイバーセキュリティの成熟度評価ツール。Federal Financial Institutions Examination Council - Cybersecurity Assessment Toolの略)に基づく、第三者による評価および提言を受けて、サイバーセキュリティ態勢の強化に取り組んでいます。
加えて、官公庁や業界他社、関連団体との連携を通じて、新たな攻撃手口の分析や対策を行うなど、多層的な検知・防御対策を整備しています。
※1:
取締役会には少なくとも年に一回報告。
クラウドサービスやAIなどのデジタル活用が進展する現在、事業活動のあらゆる場面において、サイバーセキュリティリスクを意識した対応が不可欠となっています。
当行では、「一層信頼される銀行となるための経営基盤の強化」を図るため、サイバー専門人財を配置するとともに、必要なスキルを体系的に整理し、担当業務やスキルにあわせた人財育成を計画的に推進し、専門性の向上に努めています。
また、経営層を含めた社員一人ひとりが、サイバーセキュリティに関する意識を高め、対策の実施に求められる基礎知識等を積極的に身に付けています。
サイバーセキュリティ態勢強化の推進とサイバー攻撃の防衛実践のため、必要とされる専門知識と経験を踏まえた育成計画を定め、スキルアップ講義や資格取得支援を行うとともに、年に一度インシデント対応訓練などを実施しています。さらに、金融業界の情報連携組織「金融ISAC」や金融庁・警視庁主催の各種訓練など、社外の取り組みにも積極的に参加し、専門知識とともに、経験を積み重ね、実行態勢を強化しています。
サイバーセキュリティに関する意識や基礎知識の向上を図るため、経営層向けのサイバーセキュリティ研修やすべての役員・社員(非正規社員を含む)向けの標的型攻撃メール訓練などを実施しています。
加えて、定期的なサイバー攻撃への注意喚起や対応策(サイバー攻撃の脅威への必要な対策に加え、社員がサイバーセキュリティ上の問題を発見した場合の対応を含む)を周知する社内情報誌の発行、基礎知識から最新の専門知識まで学べるeラーニングコンテンツを提供し、社員教育を行っています。
当行では、デジタルチャネルを通じて提供するサービスを、お客さまにより安心・安全にご利用いただけるよう、本人確認・当人認証の強化、ウイルス対策、脆弱性対策、脅威動向の分析、サイバー攻撃の検知や不正な取引のモニタリングなど、サイバーセキュリティ態勢強化の推進とサイバー攻撃の防衛に日々取り組んでいます。
※2:
TLPT・・・Threat-Led Penetration Testing
関連情報
ゆうちょダイレクトのセキュリティ対策