情報セキュリティ

情報セキュリティ管理

情報セキュリティ管理の方針

DX(Digital Transformation)*1にともなうデータやクラウドサービス、AIの利活用が進み、また在宅勤務をはじめとして働き方が多様化しています。一方で、サイバー攻撃は高度化し、企業活動にもたらされる重大な被害は増加傾向にあり、サイバーセキュリティ対策の重要性が年々高まっています。
キオクシアグループは、情報セキュリティを重要な経営課題の一つと捉え、「個人情報、お客様・取引先の情報、経営情報、技術・生産情報など、事業遂行過程で取り扱うすべての情報」の財産価値を認識し、これらを秘密情報として管理するとともに、その不適正な開示・漏洩・不当利用の防止および保護に努めることを基本方針としています。

  • *1 企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること(出典:経済産業省「デジタルガバナンス・コード2.0」)
個人情報保護方針

情報セキュリティ管理の体制

キオクシアグループでは、情報セキュリティ担当執行役員を情報セキュリティ統括責任者(Chief Information Security Officer、以下CISO)に、サイバーセキュリティセンター長を情報セキュリティ管理の実施管理責任者に定めています。CISOは情報セキュリティ方針がグループ全社で遵守されているかを監督しています。拠点、関係会社ごとに、個人情報保護を含めた情報セキュリティ管理体制を構築しています。グループ全社の情報セキュリティの確保に関する事項については、情報セキュリティ委員会で審議します。
また、当社グループ役員に対して、各管理体制下の施策の実施状況、課題を半年に1回報告し、グループ全体での情報セキュリティレベルの標準化および向上を図っています。

キオクシアグループの情報セキュリティ管理体制図

キオクシアグループの情報セキュリティ管理体制図 キオクシアグループの情報セキュリティ管理体制図

情報セキュリティ対策

キオクシアグループは2022年度、以下4つの視点に基づき、ネットワークや社内システムの監視強化などによる情報セキュリティ対策を実施しています。

主な情報セキュリティ対策

対策区分

内容

(1)組織的対策:
体制をつくり、ルールをつくる
  • 情報セキュリティ関連規程類の定期的な見直し
  • 体制の構築と維持
  • 監査の実施

(2)人的、法的対策:
ルールを従業員等に守らせる
  • 就業規則における情報保護義務や罰則の規定
  • 定期的な従業員教育の実施
  • 委託先の情報セキュリティ評価や秘密保持契約の締結

(3)物理的対策:
ルールの具体化を物理的側面で支援
  • 情報機器の持出し管理
  • 施設立入り制限や、入退室(館)管理
  • 重要度の高い情報の施錠管理

(4)技術的対策:
ルールの具体化を技術的側面で支援
  • 情報機器のマルウェア対策やハードディスクの暗号化
  • 社外公開サーバー等の脆弱性診断と対策強化
  • 外部からの不正アクセスや情報漏洩を検知する仕組みの構築

情報セキュリティ管理に関する点検・監査および教育

キオクシアグループのすべての部門、組織では、毎年情報セキュリティの方針や社内ルールの遵守状況について自ら点検および監査、問題点の発見、改善を行い、情報セキュリティレベルの向上に努めています。
また、社内ルールの徹底を図るために、経営者から全従業員への情報セキュリティに関するメッセージ発信に加え、毎年1回全役員・従業員に対して教育を実施しています。また、当社グループのビジネスパートナー・委託先に対して、当社グループと同水準の教育を依頼し、従業員に受講いただいています。

情報の漏洩など事故発生時の対応

当社グループは、秘密情報の漏洩など、情報セキュリティ事故が発生した場合、情報セキュリティ事故報告体制に則り、迅速な対応に努めます。
また、法令などに違反するおそれのある重大な秘密情報の漏洩またはその可能性を認識した場合は、当社グループのリスク・コンプライアンス管理体制に基づき速やかな対応をします。

キオクシアグループの情報セキュリティ事故報告体制図

情報セキュリティ事故報告体制図 情報セキュリティ事故報告体制図

情報の漏洩など事故発生の状況

2022年度、キオクシアグループでは会社が保有する重要な情報の漏洩事故は発生していません。また、個人情報に関する外部当事者・規制当局などからの不服申立てなども発生していません。引き続き情報セキュリティにかかわる事故防止に向けて万全の態勢で取り組んでいきます。

製品のセキュリティ管理

製品セキュリティ管理の方針

キオクシアグループでは、社会で顕在化しているサイバーセキュリティリスクや、製品の安全性に関する顧客をはじめとするステークホルダーからの要請に迅速に対応しています。
当社グループでは、お客様に販売、提供する製品・サービスにおける、悪意を持った攻撃(情報漏洩、改ざん、想定外の動作停止)を防止することを「製品セキュリティ」と定めています。安心・安全な製品の提供を実現するために、製品セキュリティ管理体制を構築し、当社グループ製品に対するサイバーセキュリティリスクの低減を図ることを基本方針としています。
そして、この製品セキュリティの基本方針を、全役員・従業員に周知徹底しています。

キオクシアグループ行動基準 7.危機管理

製品セキュリティ管理の体制

キオクシアグループでは、キオクシア株式会社に情報セキュリティ統括責任者(CISO)を設置し、グループ全体に製品セキュリティ方針が遵守されているかを監督しています。各事業部において、品質管理体制と強固なつながりを持つ製品セキュリティ管理体制を構築しています。また、製品セキュリティの脆弱性や各種問い合わせに迅速に対応するための専門窓口としてPSIRT*2を設置しています。さらに、情報資産の事故や問い合わせに対応するCSIRT*3とも連携する体制を整備しています。

  • *2 PSIRT:Product Security Incident Response Team:製品セキュリティ事故の対応チーム
  • *3 CSIRT(Computer Security Incident Response Team):情報セキュリティ事故の対応チーム。

キオクシアグループの製品セキュリティ管理体制図

キオクシアグループの製品セキュリティ管理体制図 キオクシアグループの製品セキュリティ管理体制図

製品セキュリティ対策

当社グループは、前述の情報セキュリティの「組織的対策」、「人的、法的対策」に準じた施策に加え、以下を社内規程に定め、当社グループ製品のセキュリティ対策を実施しています。

対策区分

内容

(1)法令・規制対応
  • 当社グループ製品に関連するセキュリティ規制・法令等の調査、対応

(2)セキュア開発:セキュアな製品を提供するプロセスの整備
  • ライフサイクルを通じて一貫したセキュリティ対策の整備、強化活動
  • 製品に関わるサプライチェーンのセキュリティ対策の整備、強化活動

(3)インシデント体制整備:製品脆弱性や問い合わせ等への対応
  • PSIRTの設置
  • ステークホルダーからのセキュリティ要求や問い合わせへの対応

製品のセキュリティインシデント発生時の対応

キオクシアグループでは、製品の脆弱性等を狙ったサイバー攻撃によるセキュリティインシデントが発生した場合、製品セキュリティ管理体制および製品事故など発生時の対応体制に基づき、PSIRT並びに管理責任者が状況把握すると同時に、迅速な対応に努めています。

製品事故など発生時の対応体制

当社グループ製品の脆弱性対応など発生の状況

2022年度、当社グループ製品の脆弱性にともなう重大インシデントは発生していません。引き続き、製品の脆弱性にともなうリスク顕在化の未然防止、早期検知と対応に取り組んでいきます。