情報セキュリティポリシー

丸三証券株式会社(以下、当社という)は、情報セキュリティについて下記の方針で取り組みます。

1.基本的な考え方

 当社は、お客様第一主義の経営理念に基づき、お客様の安全、安心な有価証券取引及び資産運用のために、コンピュータ、データベース及びネットワークなどの情報システム全般(以下、情報資産という)の機密性・完全性・可用性を維持し、安全対策の措置を講じるとともに、その継続的な改善に努めます。

 深刻化、高度化するサイバー攻撃の脅威に対して、情報資産の安全確保を確保するため、その態勢を整備し、必要な対策を講じます。また、従業員の教育・啓発を図り、情報セキュリティに関する高い意識を養うとともに、法令遵守の徹底を図ります。


2.サイバーセキュリティの体制

 当社は、監理本部長をサイバーセキュリティの責任者として組織内CSIRT(CSIRT : Computer Security Incident Response Team)を含めた組織的管理態勢を構築し、役割と責任を明確にします。

 サイバーセキュリティインシデントに備え、連絡体制やマニュアルを整備し、訓練・演習を定期的に実施します。また、サイバーセキュリティインシデントが発生した場合、サイバーセキュリティ責任者の指揮のもと組織内CSIRTを中心に、迅速に対応し被害拡大の防止に努めます。


  ● 当社のCSIRT体制図


3.サイバーセキュリティの対策

当社は、サイバーセキュリティの対策として、攻撃に対する検知・対応能力の向上に努めるとともに、新たな脅威に対応するため、以下を実施します。

    
 ①  管理態勢の構築
・経営陣のリーダーシップの下、当社の規定に基づき、サイバーセキュリティ管理態勢を整備します。
・サイバーセキュリティ管理態勢についての取組計画の策定、及び実行を進めます。
・担当部署の役割、責任、権限を明確化します。
リスク特定
  ・情報資産について、システムの重要度、経済的影響度、個人情報の重要度を評価しており、定期的に見直しを行います。
・金融ISAC等の外部機関から、脅威情報、脆弱性情報等の情報を収集します。
・金融ISAC、NISC等が主催する業界横断的な演習・訓練に参加します。
 
 
サイバー攻撃の防御
  ・各種権限・認証情報のルールを明確化しており、また定期的に見直しを行います。
・主要システムの認証・認可、ログの記録について適切に実施します。
・インターネットとの接続点において、不正侵入防止策を講じます。
 
検知
  ・金融ISAC等から提供される情報を利用した監視・分析・報告のプロセスを実施します。
・サーバ等のログを監視し、不審なアクセスがないかを確認します。
 
サイバーインシデント対応と復旧
  ・サイバーインシデント発生時の対応と復旧の手順等を含めたCP(Contingency Plan)を定めます。
 
サードパーティリスクの管理
  ・サードパーティの重要度に基づくリスク評価のプロセス等、リスク管理の方針を策定します。
・サードパーティについて、取引開始時にリスク評価を実施しており、また、リスク評価を定期的に実施します。
 


4.サイバーセキュリティを支える人材育成

  • 当社では、サイバーセキュリティ態勢強化の推進とサイバー攻撃の防衛実践のため、必要とされる専門知識と経験を踏まえた育成計画を定め、中堅・若手の育成を図ります。
  • 経営陣を含めた役職員が、外部機関主催のインシデント対応訓練など、社外の取り組みにも積極的に参加し、専門知識とともに、経験を積み重ね、態勢を強化します。
  • すべての役職員を対象に、標的型攻撃メール訓練などを実施し、社内の研修・訓練を通して必要な意識、知識、スキル等を役員・社員一人ひとりが身につけます。

以上