ガバナンス
シスメックスは、グループ全体のセキュリティガバナンスを強化するため、セキュリティレベル向上に取り組んでいます。お客様やパートナー企業の皆さまに対して、より安全で信頼性の高いサービスを提供することを目指し、「情報セキュリティポリシー」を定め、グループの基本理念・基本方針を公開しています。
さらに、情報セキュリティ統括責任者である上席執行役員・飯塚健介の統括・管理の下、グローバル情報セキュリティ委員会を設置しています。委員会は、グループ全体の情報セキュリティに関する方針の策定や事業継続計画の策定、日々の課題対応を進めるうえでの中心的な役割を担っています。グループ全体の情報セキュリティマネジメント体制を構築することで、情報資産をさまざまな脅威から保護し、事業継続性の確保に取り組んでいます。
シスメックスでは、Sysmex-Computer Security Incident Response Team(Sysmex-CSIRT)を設置し、マネージド型SOC(Security Operation Center)を活用することで、情報・サイバーセキュリティの取り組みを強化しています。予防対策としては、SOCからのアラートやJPCERT/CCなどの外部機関による脅威情報(脅威インテリジェンス)を活用し、情報漏えいやデータ侵害の未然防止に取り組んでいます。万一インシデントが発生した場合には、迅速な検知と初動対応を行うとともに、被害の拡大を防ぎ、業務の早期復旧を図る体制を整えています。
また、自社のIT資産を守るための手法として、ASM(Attack Surface Management:アタックサーフェスマネジメント)を導入し、脆弱性を継続的に検出・評価する一連のプロセスにより継続的にIT資産のリスク管理を行っています。
外部団体との連携では、一般社団法人 日本シーサート協議会、FIRST(Forum of Incident Response and Security Teams)に加盟するなど、有事や重大インシデントに対する脅威情報の共有を行っています。
その他具体的な施策としては、情報へのアクセス権限管理の徹底と定期的な棚卸し、セキュリティパッチの定期的更新、会社貸与パソコン・モバイル機器の生体認証(顔認証・指紋認証)によるログイン制限、導入アプリケーションの審査など継続的な運用・管理を実施しています。さらに、ランサムウエア対策(エンドポイント技術対策)のため、PC・サーバー端末に対するEDR(Endpoint Detection Response)を導入しています。また、インシデント、もしくは疑わしい事象が発生した場合、従業員から情報セキュリティ統括部門への迅速なエスカレーションプロセスを確立しています。2024年度の重大なインシデントは0件でした。
シスメックスでは、お客様に提供する分析装置のセキュリティ強化を推進するため、「製品セキュリティポリシー」を定め、製品サイバーセキュリティ委員会を設立し、お客様に安心して製品をご使用いただけるようセキュリティ強化活動を継続しています。
また、Product Security Incident Response Team (PSIRT)を設置し、製品の設計・製造、および市販後の脆弱性管理を行うとともに、お客様や研究開発・実験にご協力いただいた方々からお預かりした機微情報(個人・患者・被験者情報含む)や、製品に関する高度な独自技術や知的財産などについては、経営上の重要な情報資産と捉え、情報の外部漏えい防止や、内部不正を未然に防ぐための対策を講じています。
シスメックスでは、グループ全従業員に対して、情報セキュリティ教育のeラーニング、標的型メール訓練(BEC・フィッシング詐欺)に加え、メールの取り扱いに関する講習会など、情報セキュリティ意識向上の取り組みを実施しています。
当社Sysmex-CSIRTメンバーに対しては、インシデント対応強化のため、グローバル資格(ISC2 CISSP、SANS GIAC、CompTIA)の取得を推奨しています。
シスメックスでは、情報セキュリティ管理を強化するために、情報セキュリティマネジメントシステム(ISMS)に関する国際規格ISO 27001 の認証を取得しています。