サイバーセキュリティ

環境認識・リスク認識

サイバーセキュリティは、お客さまの大切な資産、情報をお預かりする銀行として最も重視する分野の一つです。サイバー攻撃による情報流出やサービス停止などのセキュリティに関する事故は、お客さまに大きな不利益を与え業務継続に支障をきたすなど当行グループの経営に重大な影響を与えるだけではなく、社会全体に対して多大な影響を及ぼす可能性があります。当行は信頼される金融サービスを提供するため、情報システムを安定的に運用することが重要な経営課題の一つと捉え、当行グループ全体のサイバーセキュリティ態勢の維持とリスクの低減に努めています。

サイバーセキュリティマネジメント

当行では、セキュリティポリシー、システムリスク管理方針を定め、取締役会に承認されたリスクアペタイトに基づき経営陣の積極的な関与のもとサイバーセキュリティマネジメントを行っています。チーフテクノロジーオフィサー（CTO）がサイバーセキュリティを所管し、取締役会、各種経営会議に対し定期的にリスクの状況と評価、リスク低減に向けた計画の進捗状況を報告し、適切な指示を受けています。
また、重大インシデントへの実効性・即応性のある対応を取れるよう定期的に経営層を含めたサイバーセキュリティ演習を実施しています。

あおぞらCSIRT体制

当行ではCTOのもと、ITコントロール部をシステムリスク全般の統括部署とし、サイバーセキュリティに関する専門部署としてITコントロール部内にサイバーセキュリティ対策室を設置して、専門性の高い要員を配置し、体制整備、モニタリング、有事の対応を行う体制としています。また、CTOを委員長、ITコントロール部サイバーセキュリティ対策室を主管部署とする、関係部署・グループ会社横断のサイバーセキュリティ対応協議会（あおぞらCSIRT）を設置し、他社のサイバーセキュリティ事案や当行内におけるリスクを共有し、訓練を繰り返すことで、当行グループ全体での有事の対応に備えています。

サイバーセキュリティ管理体制

セキュリティの継続強化

不正侵入防止の入口対策、内部ネットワークが攻撃されることを想定した検知などの内部対策、情報漏えい防止の出口対策など多層的な技術的対策を実施しており、その対策の有効性を外部専門家による侵入テストなどにより検証しています。あわせて全役職員を対象としたeラーニング教育、業務内容に応じたオンラインセミナー形式の研修、標的型メール訓練などを実施し、セキュリティ意識向上を図っています。ランサムウェアの被害を想定したシステム復旧訓練など、インシデント発生時に柔軟な対応ができるよう、当行グループ全体のサイバーレジリエンス強化に取り組んでいます。
システムの脆弱性公表や、社会的に影響の大きなインシデントが他社で発生した際は、自社への影響を速やかに調査し、適宜、対処を行い、必要に応じ計画に織り込むとともに経営に報告しています。また、経営層を含めたサイバーセキュリティ演習を実施しています。
管理態勢の成熟度については、定期的に第三者による評価を受けることを計画しており、適切性を確認するとともに、必要な対応を進めていきます。
インシデント発生時における金融庁、警察宛て速やかな報告のほか、金融ISAC、JPCERT/CC、JC3宛て情報共有など、官公庁・関係組織などと連携を図り、積極的な情報発信・情報共有を行うことで当行グループのセキュリティ向上に取り組むとともに、社会全体のセキュリティ向上に努めています。