情報セキュリティ

考え方

当社は、日々深刻化する情報セキュリティへの脅威に対し、情報セキュリティを確保するための体制の構築、国内外グループ会社や船舶に対するセキュリティ強化、情報セキュリティ教育等、包括的な強化に努めています。


体制

当社は、情報セキュリティ体制を強化するために、チーフ・デジタル・インフォメーション・オフィサー(CDIO)を設置しています。CDIOは、セキュリティ責任者としてセキュリティ管理者に対し指示を行い、当社及びグループ会社の情報セキュリティ対策の実施、インシデント対応体制の構築、訓練・教育等のセキュリティ強化方針の策定及び推進を統括しています。また当社では、商船三井システムズ(株)が情報セキュリティ管理の機能を担っており、セキュリティ対策を強化するためのシステムとネットワークの構築、保守、及び維持など情報システムの分野で当社グループを支えています。
なお、取締役会は情報セキュリティの取り組みに関する監督責任を負っており、CDIOも取締役会により任命されます。

情報セキュリティ推進体制
  • *1 当社及びグループ会社の情報セキュリティ対策の実施、インシデント対応体制の構築、訓練・教育等のセキュリティ強化方針の策定及び推進を統括する。
  • *2 セキュリティ責任者の指示の元、セキュリティ強化を遂行する。
    • ①当社が管理する情報システムに関するマルウェア、不正アクセス、ハードウェア/ソフトウェアの脆弱性、脅威に関する情報を常に収集する。
    • ②当社のネットワーク、情報システム、PC等の機器等全般を対象にセキュリティ対策を推進する。
    • ③セキュリティインシデント発生時、対応の指示を行う。また発生したセキュリティインシデントに関する分析を行い、影響範囲や実施した対策、再発防止策等を取り纏めセキュリティ責任者に報告する。
    • ④当社役職員のセキュリティに関する理解向上のための教育・訓練を計画、実施する。

重大インシデント対策本部

情報セキュリティを含むICTインシデントに迅速かつ包括的に対応するため、重大ICTインシデント対応体制を組織し、グループ内での連絡体制整備だけでなくインシデント発生防止に向けた情報連携を行っています。グループ全体で統一的なICTインシデントの重大性に関する判断基準を定め、有事の際には基準に従って一定以上の規模のインシデント情報を本社に集めます。
これを受けインシデントの規模に応じて「重大ICTインシデント対策本部」を設置し、経営層をはじめ、経営企画、秘書・総務、コーポレートコミュニケーション、海上安全、人事、財務、情報システムの各部門が役割に応じた対策を速やかに実施します。
なお、重大ICTインシデント件数はサステナビリティデータ集のページをご覧ください。

重大ICTインシデント対策本部

サイバーセキュリティ対策チーム(CSIRT)

「MOL-CSIRT」という組織を立ち上げ、不正の疑いのあるメール、マルウェアとサイバー脅威に対する調査、それらに関係する注意喚起、セキュリティインシデントを教訓としたセキュリティ啓発活動を行い、ユーザーや国内外のグループ会社におけるサイバー攻撃リスクの低減を図っています。併せて国土交通省や民間団体である交通ISAC、日本CSIRT協議会、JPCERT/CC等の外部組織と連携することで日々のサイバーリスクや最新のセキュリティ動向の情報収集を行い、情報セキュリティ対策に取り入れています。


取り組み

国内外グループ会社での取り組み

国内外のグループ会社に対し、当社の定めるセキュリティポリシーを適用すべく、各社の対策状況を確認しながら、セキュリティ強化の施策とガバナンス強化を進めています。また、グループ会社のCIOや担当者を集めた定例会を開催し、経営層・担当者双方に昨今のセキュリティ状況を共有し、情報セキュリティへの意識向上に努めています。

船舶に対する取り組み

国際海事機関(IMO)が開催した第98回海上安全委員会において、船舶の運航に関する安全管理システム(SMS)*1 にサイバーリスクマネジメントを取り扱うことが推奨されました。
これを受け当社ではガイドラインを包含するサイバーセキュリティマネジメントシステム(CSMS)*2 の構築および、当社船隊を横断的に見たサイバーセキュリティの技術的対策・組織体制の構築に取り組んでいます。
また、船陸間通信の常時接続やサイバー攻撃のリスクを考慮した船舶のネットワークの構築、セキュリティ対策ツールやその運用に取り組んでいます。

  • *1 人為的ミスによる海難事故を防止するために作成された乗組員がとるべき行動の手順等を取り決めたもの
  • *2 船舶管理会社および船上でのサイバーセキュリティの方針を効果的に実行できるように構築、文書化されたマネジメントシステム

ランサムウェア対策

ランサムウェア攻撃による企業の損失は増加傾向にあります。当社もその攻撃対象となる可能性が高いことを認識し、ランサムウェア攻撃の予防措置及び被害軽減活動に取り組んでいます。外部セキュリティベンダーによるランサムウェア対策アセスメントの結果から、現状のリスク分析結果に基づくランサムウェア対策方針を定め、セキュリティ強化計画を推進しています。

情報セキュリティ教育

全従業員向け教育

契約社員・協力会社などを含んだ当社グループ役職員一人ひとりのセキュリティ脅威に対する意識向上を図ることを目的として、定期的なセキュリティ教育を実施しています。当社をはじめ国内外グループ会社と船舶を対象に、年1回、セキュリティに関するe-Learningと、標的型攻撃メール訓練を行っています。
なお、e-learningの受講率の実績は、サステナビリティデータ集のページをご覧ください。

インシデント対応訓練

近年ますます巧妙化するサイバー攻撃による重大なICTインシデントの発生を想定し、対策本部長(社長)、CDIO、対策班にあたる部門の部門長、グループ会社社長、システム管理者等が参加する対応訓練を実施しています。また、内閣サイバーセキュリティセンター(NISC)が開催する分野横断的演習に参加しています。