情報セキュリティ
基本方針
世界は、以前にも増して多くの深刻なサイバー攻撃にさらされ様々な被害を受けています。インターネットに公開されたシステムを見つけ出す技術が進歩し誰もが弱点を容易に見つけ攻撃することが可能になっており、未知の脆弱性を悪用した攻撃や脆弱性公表から数日以内での攻撃など、想定すべき脅威や攻撃手法はますます高度になっています。
そういった環境において、富士通グループは、イノベーションを通じて社会に信頼をもたらし、世界をより持続可能にしていくことをパーパスに掲げ活動しています。富士通は多くのお客様とともに社会に対する価値創造を行っており、富士通が一度被害を受ければその影響は自社全体に留まらず、お客様・社会にまで影響を及ぼすものと理解しています。そのため、セキュリティ対策は富士通における重要な経営課題であり、経営層から現場部門まで全社一体となって取り組んでいます。また、そのための全社セキュリティリスクマネジメントスキームを構築しています。
<セキュリティリスクマネジメントの考え方>
富士通は、2021年以降、複数の重大なセキュリティインシデントに見舞われ、その対応に追われる現場では社内の様々な問題に直面しました。これらの問題を解決していく中で、富士通を攻撃者にとって「攻撃しにくい会社」にしそれを維持していくことが必要であると認識しました。「攻撃しにくい」とは、富士通への攻撃が容易ではない、すなわち攻撃が成功しにくいと攻撃者に思わせる状態を意味します。
「攻撃しにくい会社」を実現するためには、特に、インターネットに面したアセットの脆弱性など、外部からの攻撃の起点となるセキュリティリスクを徹底的に排除します。これにより、攻撃者は攻撃口を発見すること自体が困難になり、仮に攻撃口を発見できたとしても、その後の攻撃実行も極めて困難となる状態を目指しています。
<攻撃しにくい会社を実現するセキュリティリスクマネジメント>
富士通の従来のセキュリティリスクマネジメントでは、一般的なリスクマネジメントの考え方に基づき、インシデント発生後の事後対応による被害最小化を重視していました。その結果、現場部門が認識しないまま潜在的なリスクが徐々に拡大し、インシデント発生後に初めてその深刻さが露呈するという事態が起こりました。
このような状況を踏まえ、攻撃者の視点でより早い段階で潜在的なリスクを自ら顕在化させ、攻撃者よりも先に対応することで被害を抑制することが必要であるという考えに至りました。特に、昨今のサイバー攻撃におけるリスク発見から攻撃までの時間が極めて短くなっていることを考えると、潜在的なリスクの早期顕在化と迅速な対応を実現するマネジメントが不可欠です。
潜在するリスクの様々なケースを想定しそれに対応する顕在化の仕組みを構築することで、潜在的なリスクを網羅的に特定しリスクに対応すべき現場部門を把握できるようになっています。リスクの対応にあたっては、特定されたリスクを分析(攻撃難易度等)・評価(発生確率と被害規模)することで対応方針・優先度などを決定しています。優先度の高いリスクについては、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)の下で全社セキュリティ統制を担う組織(以下、CISO組織)が直接現場に対して対応を指導することも行っています。

<セキュリティ対策のスコープ>
パーパスの実現を支えるために、攻撃者が富士通自身だけでなく、パートナー企業あるいは富士通のクラウド基盤上のSaaSなど、サプライチェーン全体を通じて、国内外問わずお客様の情報を狙っているものと想定したセキュリティ対策に取り組んでいます。富士通のお客様への価値提供のためのシステム(ビジネスシステム)や事業活動をささえるシステム(社内システム)に対するサイバーセキュリティ対策はもちろん、適切に情報を扱う・保護するための情報管理、富士通の提供する製品そのものやサプライチェーンを担うパートナー企業に対するセキュリティ対策もスコープとして活動しています。

全社セキュリティリスクマネジメントスキーム
富士通は、過去の事案への対応経験・その分析を通して、現場の一部門のセキュリティインシデントが自社全体に留まらずお客様・社会に影響を及ぼす可能性があること、潜在リスクの早期顕在化と迅速な対応を実現する現場実行力を高めるには経営の関与が必須であることを認識しています。この認識のもと、経営層・現場層・CISO組織(統制層)が一体となって経営課題としてセキュリティ対策に取り組むための全社セキュリティリスクマネジメントスキームを構築しています。
<スキームの概要>
このスキームは、経営層・現場層・CISO組織(統制層)が一体となってセキュリティ対策に取り組んでいくためのものであり、リスクの可視化とその共通認識化が各層の連携した取り組みを生む鍵となっています。
CISOは、セキュリティリスクを経営層に適切に開示し、経営層と現場層の共通認識を形成させることでトップダウンの統制(外側ループ)とボトムアップの改善(内側ループ)を促します。また、CISO組織では、現場層で自立的に取り組むべき活動の規程/基準の確立、重大かつ緊急性の高い脆弱性が顕在化した際には現場部門に対する直接的なセキュリティ統制を実施することで、富士通グループ全体で統一的な活動によるセキュア化を推進しています。
経営層は、可視化されたリスク情報をもとに意思決定を行う役割を担います。現場層でリスク対応を行う場合に、現場層が業務効率化やコスト削減、お客様要求の実現といったセキュリティ対応と相反する要求のために板挟みとなり、対応のスピード感が損なわれる場合があります。このため、経営層が可視化されたリスクをもとに意思決定を行い、現場層では解決できない・実行したくともできない環境の改善を行います。
現場層は、平時においてはCISO組織が定めた全社規程/基準に沿って活動を行います。リスクが顕在化した有事の際には、自部門内で暫定対処を行いつつCISO組織からの通知・指導に従って対策を実施しています。また、可視化されたリスクに基づいて自立的に自部門を改善する活動に取り組んでいます。

-
外側ループ(濃い青色の矢印)
セキュリティリスクを可視化し経営層が把握できるようにすることで経営層の関与を強めるとともに、CISO組織によるセキュリティガバナンスを効かせてリスクマネジメントを行うためのループ
-
内側ループ(薄い青色の矢印)
可視化されたリスク情報に基づき、現場部門が自らリスクを評価し、自主的にリスク対応を行うためのループ
<スキームに沿った全社レベルのセキュリティリスクマネジメント>
本スキームでは、CEOを委員長とするリスク・コンプライアンス委員会とCEO、CRMO(Chief Risk Management Officer:最高リスクマネジメント責任者)、CISO、CQO(Chief Quality Officer:最高品質責任者)、各現場層責任者による品質セキュリティ会議の2つの会議を通して、経営層と統制層、経営層・統制層と現場層の間でリスクの状況とセキュリティ対策の進捗状況について共通認識をもち、全社のセキュア化を推進しています。
例えば、セキュリティ対応を行うことを現場層責任者の責務に含めることもこれらの会議を通して決定されました。また、緊急性の高い脆弱性への対応が遅れている部門を特定し、必要に応じてCISOがトップダウンで現場部門責任者に働きかける対応も実施しています。このようなコミュニケーションは、現場層責任者がセキュリティ対応を担当者任せにするのではなく、自ら主体的にセキュリティ強化を推進することにもつながっています。
リスクの状況やセキュリティ対策の進捗状況は継続してモニタリングされており、経営層と現場層は自部門の対応状況を定量的に把握できるようになっています。このモニタリングの結果は、対応が遅れている場合にその緊張感を高め、危機意識を醸成する役割を果たしています。セキュリティ対策の遅延や不備が発生するとCISOからの直接的な指導が行われる場合もあり、現場層責任者は、セキュリティ対策の遂行における自身の責任の重さを改めて認識し、現場レベルでの対策実施が徹底されるようになりました。
<セキュリティ対策実行レベルの体制とコミュニケーション>
CISO組織の統制する規程/基準やセキュリティ対策を現場レベルに浸透させるためのガバナンス体制の構築も行っています。CISO組織からの指示に基づいて、現場の各本部において本部長の指名する「情報セキュリティ責任者」「情報管理責任者」「PSIRT責任者」(注1)を配置し、現場の自立的な活動を推進しています。これらの現場体制に対し、CISO組織の本部長・施策責任者が対峙する形で本部長レベル・責任者レベルでのコミュニケーションを実施しています。
具体的には、本部長の一人ひとりに対し、事案の情報を含む「富士通が置かれている現実」とその「組織のリスク状況の現実」を伝え、危機感を共有するとともに自組織のセキュリティ対応を自分事とするための対話を集中的に実施しています。また、CISO組織のセキュリティ施策責任者と現場層における各責任者の対話の場として責任者会議やその分科会を定期的に開催し、全社の規程/基準やセキュリティ対策の現場浸透を行っています。これらにより、セキュリティ対応に関わる本部長のリーダーシップと各責任者による現場への展開を確かなものとし、現場におけるセキュリティ対応の実行性を高めています。なお、海外については、本社方針と各国固有のセキュリティ要件をアラインメントする必要があり、リージョンごとにリージョンCISOを配置する体制を整えています。
注1:
- 情報セキュリティ責任者:情報システムセキュリティの維持・管理を統率する責任者
- 情報管理責任者:情報の管理・保護を統率する責任者
- PSIRT責任者:製品に関する脆弱性管理を統率する責任者

<規程/基準>
富士通では、グローバルスタンダードであるNIST(注2)の「SP800-37」(注3)を参考に、富士通グループを対象とするセキュリティリスク管理の枠組みである「リスクマネジメントフレームワーク」を策定し、組織および情報システムが持つセキュリティリスクを識別し組織的かつ適切に管理するためのプロセス群を規定しています。これにより、各組織における定期的なリスクマネジメントと各情報システムの開発フェーズおよび運用フェーズにおけるリスクマネジメントをルール化するとともに、これらのプロセス群を業務プロセスに組み込むことで周知・浸透を図っています。
また、NISTの「CSF」(注4)、「SP800-53」(注5)および「ISO/IEC27002」を参考に、富士通グループにおけるセキュリティ対策の基準となる「富士通グループ情報セキュリティ対策基準」を策定しています。この対策基準は165の管理策から構成されており、情報システムの重要度等に応じた管理策の適用がルール化されています。更に、これら管理策の適用を推進するため、マニュアルおよびガイドラインを整備し全社に展開しています。
注2:NIST : National Institute of Standards and Technology
注3:SP800-37:NIST SP800-37 Rev.2 Risk Management Framework
注4:CSF:Cybersecurity Framework
注5:SP800-53:NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations
<セキュリティリスクの可視化>
富士通では、リスクモニターや情報管理ダッシュボード等の各種ダッシュボードを構築し、情報システムの残存脆弱性や情報の不適切な管理状態などのリスクをデジタル(機械的)に可視化しています。
「リスクモニター」では、富士通本社およびグループ会社の各部門を俯瞰してリスクに関する数値を可視化しています。前述の脆弱性スキャンなどの施策により検出したリスクについて、重要度別の是正残数をヒートマップやグラフで表示し重要度の高いリスクを優先した対応が可能となっています。
「情報管理ダッシュボード」は、デジタル化された情報管理台帳です。秘密情報の管理者、管理場所、共有範囲などを管理する台帳をデジタル化し管理運用しています。さらに、実際の情報管理の状態(ストレージサービスの監視ログなど)との整合性をチェックし、不備などを検出した場合は管理部門へアラート通知し早期是正を可能にしています。
これらのダッシュボードは、経営層・統制層と現場層で共有され現場部門への統制ツールとして機能するとともに、現場部門で自組織の状態を把握し自立的に改善するためのツールとしても活用しています。
サイバーセキュリティ対策
富士通では多層防御によるサイバーセキュリティ対策を導入しています。侵入に対する防御として所有するシステムのITアセット管理情報を基軸に脆弱性のマネジメントを実施しています。また、侵入された場合に備えて監視の徹底を実施しています。さらに、万が一情報が搾取された際の対応として、重要情報の暗号化を実施しています。
ITアセットの一元管理と連動した施策
<ITアセット一元管理・可視化による自律的な是正>
富士通では、お客様の安心安全でサステナブルな事業活動を支えるため、グローバルに展開しているお客様向けITシステム(ビジネスシステム)および社内ITシステムのITアセット管理情報を一元化し可視化することで、グループ全体のセキュリティリスクの特定と是正を速やかに実施しています。平時からのリスク管理を強化するとともに、CISO組織によるリスク監査と結果の可視化により、各部門における適切な現状把握と自律的な是正を促進しています。

<脆弱性の検出と是正>
ITアセット管理情報を基軸に、インターネットから直接アクセス可能となっているシステムに対して脆弱性スキャンをかける仕組みを構築することで、システムを管理する各部門による、自律的な定期スキャンと脆弱性の検知をトリガーとした是正対応を可能としています。この仕組みを利用した定期的検査を毎年1回行うことで、脆弱性対応が確実に実施されていることを確認し、さらにリスクの高い脆弱性を検知した際はCISO組織の関与により迅速で確実な是正対応を行います。
また、インターネットから直接アクセスできないシステムであっても、インターネット表出システム経由でのラテラルムーブメントにより侵害を受け、被害が拡大する可能性があります。これに対応するため、脆弱性検知ならびに管理手段として、ITアセット管理情報を定期的に最新化し脆弱性データベースと突合することで脆弱性の検知と是正を行っています。
本取り組みを富士通グループ全体で実施し管理されたアセットに対する脆弱性の早期潰し込みを徹底することで、外部に表出した脆弱性の新規検知数は大幅に減少しています。その中でも、ポート開放などの高リスクの脆弱性検知は数件程度までに削減しています。

<脅威インテリジェンスの活用とアタックサーフェスマネジメント>
インターネット表出システムの脆弱性検知と対応を迅速化するため、脅威インテリジェンスの活用を積極的に進めています。脅威インテリジェンスでは、世の中の脅威動向や脆弱性に関する情報、富士通グループのインターネット表出システムにおける脆弱性の情報など、攻撃者の視点に立って実際に攻撃を行う初期段階の情報収集を行います。入手した脅威インテリジェンスに対し、インパクトを分析し、迅速な是正対応を実現しています。
さらに、ITアセット管理情報を基軸とした、インターネット表出システムの脆弱性スキャンと組み合わせ、攻撃者の視点からシステムの脆弱性をモニタリングするアタックサーフェスマネジメントを実施しています。
<緊急時の脆弱性対応プロセスの整備>
緊急時に限らず平時から脆弱性対応を迅速に実行できる状態を整備しておくことが必要であり、国内においては、サービス停止を判断する責任者の明確化、緊急時の脆弱性対応プロセスについての整備を完了しています。
また、昨今では、ソフトウェアの脆弱性に対するサイバー攻撃が脆弱性発見後極めて短時間に行われており、日々、サイバー攻撃のスピードは加速しています。このような状況下、富士通はお客様の大切なデータを守るとともにお客様に安定したサービスを継続提供することを目的に、特に緊急性の高い脆弱性に対して富士通の判断でサービス中断を行う場合があります。お客様や富士通の情報資産を守るためにサービス停止を伴う対処を迅速に判断・実行する必要がある場合に行う措置であり、 結果的にセキュリティリスクだけでなくビジネス影響の最小化にもつながると考えています。
監視の徹底
サイバーセキュリティを取り巻く環境は常に変化し、攻撃の手口は複雑かつ巧妙化の一途を辿っています。富士通グループではこのような状況下においても、「サイバー攻撃による侵入を100%防ぐことはできない」というゼロトラストな考え方を前提としたセキュリティ監視の強化に取り組んでいます。
セキュリティ監視に対する社内のガイドラインを整備し、定期的なシステム点検を行うことで現状把握と可視化を行うとともに、サイバー攻撃に対する検知能力向上と早期対処に向けた監視の健全化に取り組んでいます。さらに重要システムに関しては、CISO直轄組織による第三者点検を実施することで監視を徹底するように進めています。
重要情報の保護
富士通では、お客様との契約を伴う開発/運用等の秘密情報を取り扱う活動について、情報セキュリティ対策の強化およびシステム品質確保を目的にFujitsu Developers Platformの適用を原則としています。
Fujitsu Developers Platformは情報管理の不備を抜本的に改善する機能を実装しており、プロジェクトメンバー限定での情報共有機能による複数プロジェクト間のデータ混在防止、利用期限の強制機能によるプロジェクト終了後の不適切な情報保有の抑止を実現しています。これに加え、ファイルの秘密度ラベルに対して格納先フォルダが不適切な場合にアラート通知を行うことで、機密度に応じた適切な情報管理も実現しています。さらに、ダウンロードなど情報持ち出しを監視する機能により、侵入後の情報流出を早期に検知し被害拡大を防ぎます。
Fujitsu Developers Platform上の重要情報は暗号化することをルールとしており、非暗号化状態の情報がある場合はダッシュボードに可視化することで是正を促します。様々なビジネス活動における大切な情報資産をセキュリティリスクから守り、安心・安全な業務遂行を実現します。
インシデント対応
セキュリティインシデントの発生を未然に防ぐ取り組みは行っていますが、万が一インシデントが発生した場合にはすぐさま対応し被害を最小限に抑える必要があります。そのため、平時においてセキュリティインシデントの発生を前提とした体制および対応手順を予め整備し、有事の際に組織としてエスカレーション・対応・復旧・通知という一連の活動を迅速に実施できるよう取り組んでいます。
①エスカレーション
各部門で管理しているシステムや個人用端末においてセキュリティインシデントによる被害の発生を確認した場合、予め準備された手順に従い事象や被害範囲を確認し、すぐに実施可能な応急処置を行うとともに、被害が発生した旨のエスカレーションを行います。エスカレーション後は、セキュリティ統制部門からインシデント対応を支援する専門チームがアサインされ、連携してインシデント対応を行います。
②インシデント対応
インシデント対応では、セキュリティ統制部門とシステムを管理する部門が連携し被害の拡大を防止するため、インシデントが発生したシステムの停止や特定機能の無効化などを行った後、インシデントの発生原因を調査し根絶(一例として脆弱性に対する修正パッチ適用など)を行います。
③復旧
インシデント発生原因の根絶の後、システムや業務関連のデータを正常な状態に戻し、システムや業務を復旧します。
④通知
公的機関、被害を受けたお客様やお取引先などのステークホルダーに対する説明責任を果たすべく、インシデント情報の共有・報告を行います。
なお、上記の対応手順などを定義したインシデント対応ハンドブック・ガイドラインを策定し、富士通および国内グループ会社に展開しています。また、海外グループ会社については、各国特有の要件などアラインメントを行っています。

<インシデント対応の高度化>
セキュリティインシデントに対応するには、ログ分析・マルウェア解析・ディスクフォレンジックなど技術的観点で事象を正確に理解する必要があります。加えて迅速かつ適切に対応するにあたり、全体の方針を決め社内外関係者と連携し、インシデント対応を行う必要があります。
富士通では、技術的な専門家と、解決までの道筋をリードするメンバーが連携し、エスカレーションプロセスなど各種プロセスに則り、セキュリティインシデントに対応しています。
さらに、攻撃者のツール、プロセス、アクセス手法などの情報を蓄積するとともに、メンバーの継続的なトレーニングにより技術的な知識やスキルを向上させています。また、グローバルを含めたインシデント対応の振り返りを行い、体制・ルール・プロセスの改善やノウハウ蓄積を含め、インシデント対応力を継続的に改善していくことで、迅速な対応と影響の極小化ができるよう取り組んでいます。
富士通製品・サービスにおけるリスクの未然防止
<SIRT体制>
富士通の製品やサービスをご利用いただくお客様を守るため、製品構成情報、ITアセット情報、および脆弱性情報を含む脅威インテリジェンス情報の一元的な管理に加え、各部門において脆弱性対応を担当する情報セキュリティ責任者やPSIRT責任者の配置による xSIRT(注6)体制を整備し、製品やサービスの脆弱性に起因するリスクに対してスピーディーでプロアクティブな対応を可能としています。
注6:SIRT:Security Incident Response Team
企業内の製品・サービスを対象としてインシデント対応を行う組織や体制
<プロセス策定>
製品やサービスに与えるリスクの見積りおよび製品やサービスに対するリスクを踏まえた脆弱性への対策検討・実行を迅速に遂行するために、脆弱性を起因とするリスクに対する対応基準やプロセスを策定しています。また、統計解析や実際の対応実績を基にプロセスの継続的な改善を実施しています。
これらの体制やプロセスに基づいて、脆弱性対応に係る期間を短縮し早期解決を図ることで、お客様における二次被害を防止し、お客様の事業継続への影響を極小化します。
なお、本施策による成果の一例となりますが、世界中で被害や影響が拡大しCISA(注7)から重大リスク警告が発せられた脆弱性起因のサイバー攻撃発生の際に、富士通では該当システムの特定と対処を迅速に実施した結果、情報搾取被害を回避しています。
注7:CISA:Cybersecurity and Infrastructure Security Agency
アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁

情報管理
富士通および国内グループ会社では、個人情報を含む当社秘密情報および他社秘密情報を適切に保護するため、情報保護マネジメントシステムの運用として、「①役割の定義」から「⑦見直し」に至るまでのPDCAサイクルを回しています。守るべき情報資産を明確にするために、情報の分類をグローバルで統一しつつ、部門ごとの自律した情報保護活動(業種・業態による規制等)において、お客様、お取引先の状況に応じた適切な管理を設定し、情報を保護する取り組みを実施しています。また、適切な情報管理を支援するため、情報管理ダッシュボードなどを活用した様々な支援ツールを提供し、実効性と安全性を兼ね備えた運用の実現に向け、改善も随時行っています。なお、社内の一部の組織ではISMS認証を取得しています。情報保護マネジメントシステム運用における主な活動内容は以下の通りです。

①役割の定義
CEOの下、CISOを中心としたグローバルなネットワークで、秘密情報・個人情報を管理・保護する体制を構築し、各部門においては、部門ごとの情報管理責任者を任命するとともに役割を明確化し、適切な秘密情報・個人情報の取り扱いを推進しています。
②方針・規程
秘密情報・個人情報を正しく取り扱うため、必要な規程(情報管理規程・他社秘密情報管理規程・個人情報管理規程)や手順を定め、年間の活動計画を立てています。
また、法改正への対応を含めた方針・規程の見直しを定期的に行っています。
③教育・マインド醸成
社員一人ひとりの意識とスキル向上のため、立場や役割に応じて必要な情報を提供するとともに、テレワーク等の環境変化に応じた様々な教育や情報発信を行っています。
年に一回以上、役員を含む全社員を対象とした情報管理教育(eラーニング)の実施と、いつでも受講可能な情報管理の教材を社内に公開しています。
(参考)受講者実績37,234名

④現場点検
保有している情報資産を特定、分類し、さらにリスク分析を行い、定期的な棚卸しを行っています。
⑤インシデント対応
情報管理インシデントへの対応を迅速かつ適切に行うための体制や、エスカレーションルート、手順等をグローバルで整備しています。
⑥監査
部門ごとの情報管理の状態を情報管理監査部門が第三者観点で確認し、是正や改善の指示・提案を行っています。
⑦見直し
監査結果・インシデント・苦情を含む外部からの意見、法改正、環境の変化等を考慮し、情報保護マネジメントシステムの改善・見直しを図っています。

個人情報の保護

富士通では、グローバルでの個人情報保護体制を構築し、個人データ保護の強化を図っています。CISO直轄組織と法務部門主導の下、各リージョンおよびグループ会社と連携し、GDPR(注8)を含む各国の法令に準ずる対応を行っています。個人情報の取り扱いに関しては各国の公開サイトにてプライバシーポリシーを掲載し公表しています。
注8:GDPR:General Data Protection Regulation / 一般データ保護規則
2018年5月25日に施行された個人データ保護を企業や組織・団体に義務づける欧州の規則で、個人データの欧州経済領域外への移転規制やデータ漏えい時の72時間以内の報告義務などが規定されています。
日本では個人情報の保護を目的とし、2007年8月に一般財団法人日本情報経済社会推進協会よりプライバシーマーク(注9)の付与認定を受け、現在も継続的に更新し、個人情報保護体制の強化を図っています。国内グループ会社でも、必要に応じて各社でプライバシーマークを取得し、個人情報管理の徹底を図っています。また、部門ごとの情報管理の状態を情報管理監査部門が第三者観点で確認し、是正や改善の指示・提案を行っています。2024年度は全部門にて内部監査を実施しています。
注9:プライバシーマーク
JIS Q 15001に適合した個人情報保護マネジメントシステムの下で、個人情報を適切に取り扱っている事業者に付与されるものです。
なお2024年度、富士通社内に設置した「富士通お客様相談センター個人情報保護総合窓口」へ寄せられたお客様プライバシーに関する相談・苦情はありませんでした。また、個人情報保護法令に基づいた政府や行政機関へのお客様情報の提供実績もありませんでした。
情報セキュリティ/情報システムの認証取得
富士通グループは、情報セキュリティの取り組みにおいて、第三者による評価・認証の取得を積極的に進めています。
現場層の自立化に向けた取り組み
全社セキュリティリスクマネジメントスキームに従い、統制層を中心により「攻撃しにくい会社」を実現する取り組みを推進していますが、統制層からの通知・指導をきっかけに現場層で対応を開始するのでは攻撃者のスピードに遅れてしまう可能性があります。攻撃者より先にリスクを顕在化し攻撃されるより前に是正を完了させることを確実にしていくためには、組織が自立的にセキュリティ基準を遵守し迅速にセキュリティ対応を実行していくことが必要になります。
組織成熟度の可視化
<成熟度モニター>
富士通では、組織における脆弱性の発生状況や、脆弱性を是正するまでの対応速度といった要素をデジタルにスコアリングし、組織の成熟度として可視化しています。富士通本社およびグループ会社の各部門の成熟度を月単位で可視化することで、現在の状態や目標との差異を把握し具体的な施策や是正対応を現場部門自ら実行する風土の醸成を目指しています。
セキュリティ成熟度評価の指標は、国内外で実績のあるサイバーセキュリティ能力成熟度モデルC2M2(注10)や、セキュリティインシデントマネジメントの成熟度モデルSIM3(注11)を参考にした上で、成熟度スコアをセキュリティ施策におけるデータから機械的にスコアリングする方法を独自に取り入れて評価しています。評価の内容については、ガバナンス、人的セキュリティリスク管理、システムセキュリティリスク管理、情報資産リスク管理、インシデント検知・対応力、組織風土・マインドのカテゴリー別に6軸で成熟度をスコアリングしています。
なお、これら富士通内部のメータリングに加え、社外のセキュリティレーティングなども利用しており、第三者から見た客観性のある富士通のセキュリティ対応状況のスコアリングについて継続的に確認し、サイバーセキュリティ対応力強化を図っています。
注10:C2M2:Cybersecurity Capability Maturity Model
注11:SIM3:Security Incident Management Maturity Model


<第三者評価>
グローバルにITサービスを提供する企業として、富士通グループではセキュリティ対策の継続的な実施とステークホルダーの皆様へのセキュリティ健全性に関する説明責任を重視しています。その一環として、客観的なセキュリティ評価を可能とするセキュリティレーティングSecurityScorecard およびBitsightを導入しています。これらのサービスでは攻撃者視点でのリスク評価や公表されたセキュリティインシデントを加味したセキュリティの健全性をスコアとして表しています。セキュリティレーティングを活用したセキュリティ対策を行うことで、SecurityScorecardおよびBitsightにおいていずれも高水準の達成・維持を実現しております。
SecurityScorecard:Aランク、 Bitsight:Advancedランク(2025年5月時点)
富士通グループでは、今後もセキュリティレーティングを通じた客観的な評価に基づき、セキュリティ対策の継続的な改善に努めていきます。これらの取り組みを通して、ステークホルダーの皆様からの信頼を獲得し、パートナーシップの強化やお取引先の拡大などのビジネス面での好影響にもつなげていきたいと考えています。
セキュリティに関わる人材の育成
現場層の自立化に向けて、最新のセキュリティ脅威の動向だけでなく富士通で発生したインシデントの実態とその対応から学んだ教訓を活かした教育・訓練を実施し、役員・社員一人ひとりのセキュリティマインドの醸成とスキル強化に取り組んでいます。
<セキュリティ教育、訓練>
サイバーセキュリティおよび情報管理に関する基本的な教育に加え、最新動向や富士通の事案対応から学んだ実態と教訓を周知徹底しています。システム管理者向けにはシステム監視のガイドラインを発行するなど、専門人材のスキルアップにも取り組んでいます。また、インシデントを完全に防ぐことは難しいため、「有事を起こさないための取り組み」から「有事が起こることを前提とした取り組み」へ見直し、全社のインシデント対応力強化に取り組んでいます。
その1つとして、富士通グループでは、役員・社員を対象にした全社訓練を半年に1回の頻度で実施しています。具体的には、社会的インパクトのあるインシデントが発生した際の迅速な対応と影響の極小化を目的に、役員や各部門が参加するインシデント訓練、ビジネスや社内業務に携わるSE・セールスを対象に実践的なシナリオを想定した訓練を実施しています。これらの訓練での気づきは、「インシデント対応」の項目でご紹介した「インシデント対応ハンドブック・ガイドライン」に適宜反映し、全社で共有しています。さらに、従業員一人ひとりのセキュリティマインドの醸成を目的とした標的型メール訓練も継続的に実施しています。
注:2024年度の訓練実施回数:全社訓練1回、標的型メール訓練2回
<セキュリティ体制強化と人材育成>
富士通グループに向けてCISOおよびCISO組織から定期的に情報発信を行うとともに、各部門に配置したセキュリティ責任者を通じてセキュリティ施策を展開し、セキュリティに関する考え方や行動の変革に取り組んでいます。
2023年には富士通グループとしてのセキュリティ人材像を再定義し、セキュリティに関わるプロフェッショナル認定制度の見直しを行いました。全社・各部門のセキュリティ向上に貢献する人材としての姿を明確にしたうえで、プロフェッショナルとなる教育の実施とプロフェッショナルに見合った報酬制度の整備を行っています。これらの取り組みでセキュリティ人材を拡充し、各部門のセキュリティ体制の強化を推進しています。