サイバーセキュリティ
基本方針
サイバーセキュリティは、お客さまの大切な資産、情報をお預かりする銀行として最も重視する分野の一つです。サイバー攻撃による情報流出やサービス停止などの事故は、お客さまに大きな不利益を与え業務継続に支障をきたすなど、当行グループの経営のみならず、社会全体に多大な影響を及ぼす可能性があります。当行は信頼される金融サービスを提供するため、情報システムを安定的に運用することが重要な経営課題の一つと捉え、当行グループ全体のサイバーセキュリティ体制の維持とリスク低減に努めています。
管理体制
当行では、セキュリティポリシー、システムリスク管理方針を定め、取締役会で承認されたリスクアペタイトに基づき、経営陣の積極的な関与のもと、サイバーセキュリティマネジメントを行っています。
サイバーセキュリティを所管しているチーフ・テクノロジー・オフィサー(CTO)のもと、ITコントロール部をシステムリスク全般統括部とし、専門部署のサイバーセキュリティ対策室を設置し、専門性の高い要員の配置、体制整備、モニタリング、有事の対応を行う体制としています。また、関係部署・グループ会社横断のサイバーセキュリティ対応協議会(あおぞらCSIRT)を設置し、サイバーセキュリティの動向や当行内のリスクを共有し、訓練を繰り返すことで、当行グループ全体で有事の対応に備えています。
サイバーセキュリティ管理体制
セキュリティ向上の取り組み
多層的な技術対策と有効性検証
- 不正侵入防止の入口対策
- 情報漏洩防止の出口対策
- 内部ネットワークへの攻撃を想定した内部対策
- 外部専門家の侵入テストによる技術対策の有効性検証
サイバーレジリエンス強化
- 経営層を含めたサイバーセキュリティ演習の定期的な実施
- インシデント発生を前提とした実機による復旧テストの実施
脅威動向の分析
- 脆弱性、攻撃手法、他社の被害事例等を情報収集
- 自社への影響調査とリスクに応じた計画的な対応
役職員のセキュリティ教育
- 標的型メール訓練による不審メールの見極め、開封時の対応力向上
- 標的型メール訓練結果、脅威動向を踏まえたeラーニング、動画、オンラインセミナーによる研修