ページの先頭です
本文の先頭です

サイバーセキュリティ

基本的な考え方

2023年は不正アクセスによる企業の個人情報流出やフィッシングによる不正送金被害額が過去最高額を記録する等、サイバー攻撃手口の高度化による被害が拡大しています。〈みずほ〉では、お客さまに安心してサービスをご利用いただけるよう、「サイバーセキュリティ経営宣言」に基づいて、継続的にサイバーセキュリティ対策を推進しています。

サイバーセキュリティ経営宣言

ガバナンス体制

〈みずほ〉では、当社グループ・グローバルのサイバーセキュリティ管理業務全体を統括するグループCISOを設置しています。グループCISOをグループCIOに対する2線機能における牽制機能明確化の観点から、グループCIOおよびグループCROに対して報告するダブルレポーティング体制をとることで、サイバーセキュリティ態勢強化を図っています。グループCISOはサイバーセキュリティリスク管理や各種対策の推進における責任者として経営会議・取締役会に報告し、経営と一体となりサイバーセキュリティに関する方針や資源配分を適時適切に見直しています。

また、子会社においてサイバーセキュリティ責任者を設置し、連絡体制を整備することにより、子会社におけるサイバーセキュリティ対策状況の把握やインシデント発生時の迅速な情報集約を実現しています。

  1. Chief Information Security Officer
ガバナンス体制のイメージ図

インシデント発生時の体制

〈みずほ〉ではSOC※1およびMizuho–CIRT※2等の専門部隊を設置し、外部の専門機関とも連携のうえ、インシデント対応を行っています。SOCは24時間365日の監視体制でインシデントの予兆となる不審なログ等を検知しており、Mizuho–CIRTはSOCの検知情報をもとに、社内外への情報連携やインシデント発生時の対応・調査・復旧等を実施します。

これら専門部隊は、有事に備え、日頃からサイバー攻撃手法ごとの対応フローを制定し、手続きに沿った対応ができるよう社内外で訓練・演習を行っています。

  1. ※1Security Operation Center(企業等の組織において、情報システムに対する脅威の監視や分析等を行う役割や専門チーム)
  2. ※2Cyber Incident Response Team(組織内の情報セキュリティ上の問題を専門に扱うインシデント対応チーム)
写真

海外における監視の様子

サイバーセキュリティ対策の取り組み状況

〈みずほ〉ではグループ・グローバルおよびサプライチェーンを含めたサイバーセキュリティ対策を推進しています。サイバーセキュリティリスクの特定・発現の未然防止のため、公的機関や信頼できるコミュニティ・メディア等から脅威インテリジェンスを収集し、当社に与えうる影響を踏まえて、優先度をつけた対策を実施しています。

近年のシステムは絶え間なく多種多様なセキュリティの脅威にさらされるため、システムの企画工程から開発工程、運用工程まで含めたすべてのシステム開発ライフサイクルにおいて一貫したセキュリティを確保するための対策を行っています。

当社システムでは、ウイルス解析や多層的防御体制等を導入しており、これら技術的な対策の有効性や対応プロセスの実効性をテストするためにTLPT※1を実施する等、レジリエンス態勢の強化に取り組んでいます。

〈みずほ〉では、これらサイバーセキュリティ対策の成熟度を評価するため、FFIEC※2 Cybersecurity Assessment Toolによる第三者評価の実施やNIST※3のCybersecurity Framework等を参考にしています。

  • ※1Threat-Led Penetration Testing(攻撃対象の脅威を分析のうえ、実際の攻撃を模した攻撃を行い、システムや対応プロセスを評価する)
  • ※2Federal Financial Institutions Examination Council(米国連邦金融機関検査協議会)
  • ※3National Institute of Standards and Technology(米国立標準技術研究所)

サイバーセキュリティ人材の育成

〈みずほ〉では、サイバーインシデント等が発生した場合に組織的に適切な対応が取れるかを定期的に検証し、認識した課題等を確実に解消することで個人および組織的なインシデント対応力を強化していくことが大切であると考えています。

経営層を含めたインシデント対応訓練や役職レイヤーごとのサイバーセキュリティ研修、全役員・社員向けに半年に1回以上フィッシングメール訓練を実施する等、社内外の研修・訓練・演習を通して必要な意識、知識、スキル等を役員・社員一人ひとりが身につけています。

また、専門資格取得に向けた積極的な支援や専門機関のプログラム受講による社員育成のほか、キャリア採用を積極的に進めるとともに、新卒採用ではITシステムコースを設立する等、高度な専門性を持つ人材を獲得・育成しています。

ページの先頭へ