サイバーセキュリティ

基本きほん的てきな考かんがえ方かた

2023年ねんは不正ふせいアクセスによる企業きぎょうの個人こじん情報じょうほう流出りゅうしゅつやフィッシングによる不正ふせい送金そうきん被害ひがい額がくが過去かこ最高さいこう額がくを記録きろくする等ひとし、サイバー攻撃こうげき手口てぐちの高度こうど化かによる被害ひがいが拡大かくだいしています。〈みずほ〉では、お客きゃくさまに安心あんしんしてサービスをご利用りよういただけるよう、「サイバーセキュリティ経営けいえい宣言せんげん」に基もとづいて、継続けいぞく的てきにサイバーセキュリティ対策たいさくを推進すいしんしています。

サイバーセキュリティ経営けいえい宣言せんげん

ガバナンス体制たいせい

〈みずほ〉では、当社とうしゃグループ・グローバルのサイバーセキュリティ管理かんり業務ぎょうむ全体ぜんたいを統括とうかつするグループCISO^※を設置せっちしています。グループCISOをグループCIOに対たいする2線せん機能きのうにおける牽制けんせい機能きのう明確めいかく化かの観点かんてんから、グループCIOおよびグループCROに対たいして報告ほうこくするダブルレポーティング体制たいせいをとることで、サイバーセキュリティ態勢たいせい強化きょうかを図はかっています。グループCISOはサイバーセキュリティリスク管理かんりや各種かくしゅ対策たいさくの推進すいしんにおける責任せきにん者しゃとして経営けいえい会議かいぎ・取締役とりしまりやく会かいに報告ほうこくし、経営けいえいと一体いったいとなりサイバーセキュリティに関かんする方針ほうしんや資源しげん配分はいぶんを適時てきじ適切てきせつに見直みなおしています。

また、子会社こがいしゃにおいてサイバーセキュリティ責任せきにん者しゃを設置せっちし、連絡れんらく体制たいせいを整備せいびすることにより、子会社こがいしゃにおけるサイバーセキュリティ対策たいさく状じょう況きょうの把握はあくやインシデント発生はっせい時じの迅速じんそくな情報じょうほう集約しゅうやくを実現じつげんしています。

• ※Chief Information Security Officer

インシデント発生はっせい時じの体制たいせい

〈みずほ〉ではSOC^※1およびMizuho–CIRT^※2等ひとしの専門せんもん部隊ぶたいを設置せっちし、外部がいぶの専門せんもん機関きかんとも連携れんけいのうえ、インシデント対応たいおうを行おこなっています。SOCは24時じ間あいだ365日にちの監視かんし体制たいせいでインシデントの予兆よちょうとなる不審ふしんなログ等とうを検知けんちしており、Mizuho–CIRTはSOCの検知けんち情報じょうほうをもとに、社内外しゃないがいへの情報じょうほう連携れんけいやインシデント発生はっせい時じの対応たいおう・調査ちょうさ・復旧ふっきゅう等とうを実施じっしします。

これら専門せんもん部隊ぶたいは、有事ゆうじに備そなえ、日頃ひごろからサイバー攻撃こうげき手法しゅほうごとの対応たいおうフローを制定せいていし、手続てつづきに沿そった対応たいおうができるよう社内外しゃないがいで訓練くんれん・演習えんしゅうを行おこなっています。

• ※1Security Operation Center（企業きぎょう等とうの組織そしきにおいて、情報じょうほうシステムに対たいする脅威きょういの監かん視しや分析ぶんせき等とうを行おこなう役割やくわりや専門せんもんチーム）
• ※2Cyber Incident Response Team（組織そしき内ないの情報じょうほうセキュリティ上じょうの問題もんだいを専せん門もんに扱あつかうインシデント対応たいおうチーム）

海外かいがいにおける監視かんしの様子ようす

サイバーセキュリティ対策たいさくの取とり組くみ状況じょうきょう

〈みずほ〉ではグループ・グローバルおよびサプライチェーンを含ふくめたサイバーセキュリティ対策たいさくを推進すいしんしています。サイバーセキュリティリスクの特定とくてい・発現はつげんの未然みぜん防止ぼうしのため、公的こうてき機関きかんや信頼しんらいできるコミュニティ・メディア等とうから脅威きょういインテリジェンスを収集しゅうしゅうし、当社とうしゃに与あたえうる影響えいきょうを踏ふまえて、優先ゆうせん度どをつけた対策たいさくを実施じっししています。

近年きんねんのシステムは絶たえ間まなく多種たしゅ多様たようなセキュリティの脅威きょういにさらされるため、システムの企画きかく工程こうていから開発かいはつ工程こうてい、運用うんよう工程こうていまで含ふくめたすべてのシステム開発かいはつライフサイクルにおいて一貫いっかんしたセキュリティを確保かくほするための対策たいさくを行おこなっています。

当社とうしゃシステムでは、ウイルス解析かいせきや多層たそう的てき防御ぼうぎょ体制たいせい等とうを導入どうにゅうしており、これら技術ぎじゅつ的てきな対策たいさくの有効ゆうこう性せいや対応たいおうプロセスの実効じっこう性せいをテストするためにTLPT^※1を実施じっしする等ひとし、レジリエンス態勢たいせいの強化きょうかに取とり組くんでいます。

〈みずほ〉では、これらサイバーセキュリティ対策たいさくの成熟せいじゅく度どを評価ひょうかするため、FFIEC^※2 Cybersecurity Assessment Toolによる第三者だいさんしゃ評価ひょうかの実施じっしやNIST^※3のCybersecurity Framework等とうを参考さんこうにしています。

• ※1Threat-Led Penetration Testing（攻撃こうげき対象たいしょうの脅威きょういを分析ぶんせきのうえ、実際じっさいの攻撃こうげきを模もした攻撃こうげきを行おこない、システムや対応たいおうプロセスを評価ひょうかする）
• ※2Federal Financial Institutions Examination Council（米国べいこく連邦れんぽう金融きんゆう機関きかん検査けんさ協議きょうぎ会かい）
• ※3National Institute of Standards and Technology（米べい国立こくりつ標準ひょうじゅん技術ぎじゅつ研究所けんきゅうじょ）

サイバーセキュリティ人材じんざいの育成いくせい

〈みずほ〉では、サイバーインシデント等とうが発生はっせいした場合ばあいに組織そしき的てきに適切てきせつな対応たいおうが取とれるかを定期ていき的てきに検証けんしょうし、認識にんしきした課題かだい等とうを確実かくじつに解消かいしょうすることで個人こじんおよび組織そしき的てきなインシデント対応たいおう力りょくを強化きょうかしていくことが大切たいせつであると考かんがえています。

経営けいえい層そうを含ふくめたインシデント対応たいおう訓練くんれんや役職やくしょくレイヤーごとのサイバーセキュリティ研修けんしゅう、全ぜん役員やくいん・社員しゃいん向むけに半年はんとしに1回かい以上いじょうフィッシングメール訓練くんれんを実施じっしする等ひとし、社内外しゃないがいの研修けんしゅう・訓練くんれん・演習えんしゅうを通とおして必要ひつような意識いしき、知識ちしき、スキル等とうを役員やくいん・社員しゃいん一いち人にんひとりが身みにつけています。

また、専門せんもん資格しかく取得しゅとくに向むけた積極せっきょく的てきな支援しえんや専門せんもん機関きかんのプログラム受講じゅこうによる社員しゃいん育成いくせいのほか、キャリア採用さいようを積極せっきょく的てきに進すすめるとともに、新卒しんそつ採用さいようではITシステムコースを設立せつりつする等ひとし、高度こうどな専門せんもん性せいを持もつ人材じんざいを獲得かくとく・育成いくせいしています。