Comments
Description
Transcript
ダウンロード [ PDF : 3.93MB ]
富士ゼロックス 情 報セキュリティ報告書 2011 年度 CONTENTS トップメッセージ ..................................... 2 基本情報 富士ゼロックスと情報セキュリティ........... 3 告書の対象期間、対象範囲などは、以下の通りです。 特集 ApeosWare Management Suiteで セキュリティを管理 ................................... 5 富士ゼロックスが本報告書を発行している目的と本報 本報告書の目的 本報告書は、富士ゼロックス株式会社(以下、富士ゼロックス) の情報セキュリティへの取り組みをステークホルダー 1)の皆様に 情報セキュリティガバナンス..................... 7 説明し、事業への信頼性を高めていただくことを目的として発 社内の情報セキュリティ......................... 10 阻害しない範囲で、ステークホルダーの皆様に開示することが 行しています。本報告書の内容は、情報セキュリティの効果を 適当であると判断した情報を記載しています。 お客様への安全のご提供 ....................... 13 取引先と連携した情報セキュリティ ........ 16 第三者評価・認証 ................................... 17 本報告書の対象期間 本報告書が対象とする期間は、2010年4月1日~2011年3月 31日とします。 本報告書の対象範囲 本報告書が対象とする組織は、富士ゼロックスおよび関連会社2) (以下、全社) とします。 本報告書の責任部署・お問い合わせ先 〒107-0052 東京都港区赤坂九丁目7番3号 富士ゼロックス株式会社 総務部 リスクマネジメントグループ TEL : 03-6271-5145 総務部(代表) 1) 本報告書における「ステークホルダー」 とは、お客様、従業員、取引先、 株主、地域住民、その他の利害関係者とします。 2) 「関連会社」 とは、富士ゼロックスが議決権の過半数を直接または間接 に保有する会社とします。個々の関連会社については、http://www. fujixerox.co.jp/company/about/japan.htmlをご参照ください。 1 トップメッセージ 富士ゼロックスが考える情報セキュリティ このたび の 東日 本 大 震 災 により被 災された皆 様 には 、 イチェーン全 体で考えたとき、緊 密な連 携を取らなけれ 心からお見 舞いを申し上げます。富 士ゼロックスは統 合 ばならない取引先との信頼関係を築き、情報セキュリティ 対 策 本 部を立ち上げ 、お客 様そして地 域の復旧・復 興の の確保に取り組みます。 ご支 援 、従 業員や家 族の安 全と健 康の確 保に、地 震 発 生 以来取り組んでいます。 さらには、社会的存在として正しく振る舞える企業を目 指し、従業員の情報セキュリティ意識の醸成、ダイバーシ 今 、地 球や企 業を取り巻く状 況がグローバルレベルで ティ (働き方の多様化)を支えるICT活用と情報セキュリ 急激に変化し、環境、人権・労働、企業倫理などへの関心 ティの両立、社内で成果のあった実践事例のお客様への が高まるなか、CSR(企業の社会に対する責任)への取り ご紹 介・ご提 供(「 言 行 一 致 」活 動 )を、経 営トップの強い 組みがますます重要になっています。そのなかでも、情報 リーダ ーシップのもと、全 社をあげて積 極 的に推 進して セキュリティは重要なキーワードであり、CSRの一環とし まいります。 て企業の果たすべき責務の一つです。2011年度、富士ゼ ロックスは、 「 Go for the Next」の旗印のもと、 「 成長に 本報告書で、富士ゼロックスの情報セキュリティの考え 挑む」と「 変 化に挑む」を合 言 葉に、お客 様の経 営 課 題の 方 、取り組みの実 践 事 例をご覧いただき、忌 憚ないご意 解 決に果 敢に取り組み、お客 様の満 足 度を高め、お客 様 見をお聞かせください。お客様から頼られるベストパート からいつでも頼られるパートナーを目指します。そのため ナーとなるためにも、継続して、ステークホルダーの皆様 には、富 士ゼロックスのソリューション・サービスのビジ 方と対話を進め、情報セキュリティの改善をさらに図って ネスにおいて、個 人 情 報やお客 様からお預かりする機 密 まいります。 情報などの重要な情報資産を、漏えい、改ざんなどの脅威 から確実にお守りすることが最重要課題と考えています。 変化への対応が重要である一方で、いつの時代にも大 切なことは、企 業 理 念や経 営の原 点を大 切にすることで す。富士ゼロックスは、 「 コミュニケーションを通して、人 間社会の相互理解と調和の増進に寄与する」ことをビジ ネスの目的とし、お客様、従業員、取引先、株主等のステー クホルダ ーとの対 話を大 切に、信 頼される企 業を目指し ます。お客様との信頼関係を高め、安心してソリューショ ン・サービスをご利用いただき、情報資産を預けていただ けるように、お客様視点で物事を発想し、課題を把握し解 決するプロフェッショナル集団として、情報セキュリティ のレベルアップを図ります。また、富 士ゼロックスおよび 関連会社による情報セキュリティの推進と同時に、サプラ 富士ゼロックス株式会社 常務執行役員 日比谷 武 2 富士ゼロックスと情報セキュリティ 富士ゼロックスは、商品・サービスを提供することを通じて、お客様、そしてその先にある社会に貢献し続けたいと考 えています。安心して商品・サービスをお使いいただくためには、情報セキュリティの確保が重要であるとの考えのも と、取引先を含めた情報セキュリティの維持・改善に努めています。 取引先と連携した情報セキュリティ… … p16 ガイドラインの策定 取引先 ▶ 調査票によるヒアリング ▶ 取引先のモニタリング ▶ 富 士ゼロックスがお客 様に安 全・安 心な 商品・サービスをご提供するためには、サプ ライチェーン全体での情報セキュリティを考 えなければなりません。 そのためには、富士ゼロックスのサプライ チェーンの一部を担う取引先と連携しての 情報セキュリティ確保が必要です。 富士ゼロックスは、取引先の選定、管理な どを適切に行い、情報セキュリティの確保に 努めています。 ●●●●●● ●● ●● ●● Business Partner 取引先のオフィス、情報の授受に かかわる情報セキュリティの確保 ApeosWare…Management…Suiteでセキュリティを管理 … … p5 ……… 社内の情報セキュリティ………………………………………………………… p10 情報管理… ▶ 情報リスクへの対応… ▶ 情報セキュリティ教育 ▶ 情報セキュリティに関する規程、ガイドラインの整備 ▶ 重要区画の分離… ▶ 3 従業員の入退室管理… ▶ PCログ管理 ▶ お客様への安全のご提供 … ……… p13 お客様 紙文書の情報漏えい抑止 ▶ ドキュメントセキュリティ: …■… ApeosWare Management Suite 富 士 ゼロックスは 、ドキュメント・ライフ サイクルのセキュリティ課題に対応した安全・ 安心な商品・サービスを提供しています。 ま た 、ソリューション・サービスビジネス では、お客様に安心して情報を富士ゼロック スにお預けいただけるよう、徹底した情報セ キュリティの対策を講じています。 お客様や社会に貢献できるよう、さまざま な商品・サービスを開発し、提供していきた …■… 入退室管理・就業管理・PCセキュリティ 電子文書化によるセキュリティ強化: ▶ DocuWorks ネットワークセキュリティ対策 ▶ セキュアネットワークアウトソーシングサービス: …■… beat …■… Webセキュリティ いと考えています。 住民 票 Customer お客様のオフィスや店舗に向けた 情報セキュリティソリューションの提供 富士ゼロックス 富士ゼロックスは、販売会社・関連会社と 一 体となって、オール富 士ゼロックスで 情 報セキュリティ活動を行っています。 そのなかで、さまざまな規程やガイドライ ンを定め、情報資産の適切な保護・管理に努 めています。 人的・組織的対策、物理的対策、技術的対 策を総合的に講じ、PDCAサイクルを回すこ とにより、情報セキュリティの継続的な改善 に取り組んでいます。 FUJI XEROX 富士ゼロックスのオフィスや外出先に おける情報セキュリティの確保 4 特 集 ApeosWare Management Suite で オフィスの機器とドキュメントの運用を統合的に支えるApeosWare Management Suiteは、オフィスの機器とド キュメントをトータルにマネジメントすることにより、 「 機器管理機能」 「 ユーザー管理機能」 「 ログ管理機能」 「 プリン ト管理機能」の四つの機能が安全なセキュリティ環境を提供します。高い利便性のもとにあらゆるオフィスのセキュリ ティの強化を実現します。 富士ゼロックス 横浜みなとみらい事業所での活用事例 富士ゼロックスは、社内のプリント出力環境を統合管 理する仕組みを、本社をはじめ、各事業所へ順次展開し 1 情報漏えいリスクを軽減 ています。各事業所をイントラネットで結び、一元管理 することで高いセキュリティ環境を実現しています。 2010年3月に横浜みなとみらい地区に竣工した「富 士ゼロックスR&Dスクエア」においても、複合機環境を 横浜みなとみらい事業所における複合機は、ICカード 機能が付いた従業員証をかざすことによって、本人認証 を行っています。 一元管理し、 「 ICカード認証」 「どこでもプリント」 「 ペー データセンターに設置されている認証サーバーは、本 パ ーレスファクス機 能 」によりセキュリティの 向 上を 社事業所(東京ミッドタウン)を含め、複数拠点の認証を 図っています。この取り組みは、富士ゼロックスの実際 担っています。 の業務環境で機能、性能、使い勝手などを確認し、そこ ユーザーが出力指示したプリントジョブを、いったんプ で得た成果をお客様にサービスとしてご提供する「言 リントサーバーに蓄積し、出力を指示した本人がICカー 行一致」活動の一環です。 ドで認証した複合機から出力します。それによって、目の 届かない場所で出力される“放置プリント”を抑止し、情 報漏えいリスクを軽減しています。 〈プリント時の認証の徹底〉 1 プリント 指示 2 出力されずに 蓄積 3 認証後 プリント実行 認証ユーザー自身のジョブのみを表示 5 セキュリティを管理 ApeosWare Management Suite 2 3 利用者・利用状況を管理 万一のシステム障害への備え 横浜みなとみらい事業所では、毎月の利用状況をイ 横浜みなとみらい事業所では複合機の使用に際し ントラネットで社内に公開しています。複合機に蓄積 て、常に認証を行っています。そのための認証サーバー されているコピーやプリント、ファクス、スキャンなど は、万一の障害発生に備えて、冗長化を確保していま の操作(誰が、いつ、 どのような処理をしたか)のジョブ す。プライマリーの認証サーバーに障害が発生すると、 ログデータは、定期的にログ管理サーバーに収集・蓄 セカンダリーサーバーに自動的に切り替わり、複合機 積しています。 を継続して利用できます。 また、プリントジョブを蓄積するプリントサーバーの ログ管理の主な目的 障害発生時でも、別のサーバーに切り替わるように冗 ・情報セキュリティの強化 長化しています。さらに、認証サーバー、ネットワーク、 ・利用部門への課金 プリントサーバーの障害による緊急時には、この複合 ・環境負荷測定(紙の使用状況) 機内の認証キャッシュデータにより認証し、複合機の ・業務分析 ログデ ータは、部 門 別 、機 種 別などに集 計し、集 計 データは、表やグラフで分かりやすく表示することがで きます。集計データを正確に把握することで、情報管理 利用ができます。認証キャッシュデータは、一度認証し たユーザー情報を複合機の本体内に蓄積するため、緊 急時の認証・利用が可能となります。 の強化に役立つとともに、従業員のセキュリティ意識向 上に向けた啓発のためのデータとしても活用できます。 〈システム障害への対応〉 〈ジョブログデータの収集・蓄積〉 通常は、 プライマリー サーバーで認証 複合機などの 1 ジョブログの サーバー障害時は セカンダリー サーバーで認証 自動収集 ネットワーク障害時や プライマリー・ セカンダリーサーバー 障害時は 認証キャッシュデータ で認証 ジョブログ 2 Webブラウザで集計・ 分析レポートを閲覧 サーバー障害 プライマリーサーバー 3 サーバー障害 セカンダリーサーバー CSV形式 での出力 ネットワーク障害 認証キャッシュデータ 6 情報セキュリティガバナンス 富士ゼロックスの情報セキュリティガバナンスは、全社を統括する情報セキュリティ推進体制と、この体制のもとに、 営業(国内、海外)、研究・開発・生産、関連会社等の各領域を統括する情報セキュリティ推進体制(部門の情報セキュ リティ)との二階層から構成されています。 情報セキュリティガバナンス体制 全社を統括する情報セキュリティ推進体制は、本社 総務部リ 的対策を重層的に組み合わせた総合的なセキュリティ対策を推 スクマネジメントグループが、全社リスクマネジメントの一機能 進しています。そのために、総務部リスクマネジメントグループ として担当しています。全社の情報セキュリティ推進にあたって は、ITガバナンスを担当する情報通信システム部および富士ゼ は、体制整備、方針・計画策定、ルール整備、教育・啓発、モニタ ロックス情報システム(株) ( FXIS)と連携して、全社の情報セ リングなどの人 的・組 織 的 対 策と、ファシリティのゾーニング、 キュリティを推進しています。 認証、アクセス制御、暗号化、 フィルタリングなどの物理的・技術 全社の情報セキュリティ 本部・部門・関連会社の情報セキュリティ 社長 全社共通の情報セキュリティ方針・ 規程の策定 ● ● 上記に基づく全社統制、モニタリン グ、統制環境の整備等 全社のIT戦略の策定とITガバナンス の推進 ● ● 社内実践事例の構築・ノウハウの蓄 積による成果の全社およびお客様 への展開(「言行一致」活動) ITセキュリティにかかわる方針・規程 の策定と順守状況のモニタリング ● 情報通信システム部 FXIS ● ITシェアードサービス会社として情 報システムのシステム主管を担当 ● 全社の社内システムの企画・開発・運 用とネットワークインフラの企画・運 用管理 関連会社 情報通信システム部およびFXIS 生 産・開 発 関 連 会 社 総務部リスクマネジメントグループ 研 究・開 発・生 産 本社 情報通信システム部および FXIS 海外販売会社 本社 総務部 リスクマネジメントグループ 国内販売会社 情報システム担当役員 海外営業 国内営業 情報セキュリティ担当役員 本部・部門および関連会社の役割 ● 共通課題を抱える複数の組織の集 合体(国内営業や海外営業など)や 関連会社ごとの体制の整備 ● 組織ごとの情報セキュリティ施策の 推進 情報セキュリティガバナンス体制 情報セキュリティにかかわる会議体 情報セキュリティなどリスクマネジメントにかかわる最高意 CSR会議の下部機関として情報セキュリティ委員会を設置 思決定機関は、富士ゼロックスの社長が議長を務めるCSR会 し、情報セキュリティマネジメントにかかわる各種施策につい 議です。ここでは、全社にとって重要なリスクテーマについての ての審議・決定・展開や情報セキュリティ事故に対する対策・再 審議・決定や、リスクが顕在化した場合の対応方針の審議・決 発防止策の審議・決定・進捗管理を行います。 定を行います。 7 情報セキュリティガバナンス 情報セキュリティにかかわるルール体系 富士ゼロックスは、情報の機密区分、コンプライアンス、情 報倫理など、さまざまな観点から情報セキュリティにかかわ ・ 情報セキュリティ規程 ・ 会社情報取扱規程 ・ 個人情報管理規程 規程 … る全社共通ルールを制定しています。 情報セキュリティの方針および普遍的なルールを定めた 「規程」、具体的な管理策を定めた「ガイドライン」、ならびに 情報セキュリティガイドライン ・ 基本・行動編 ・ 情報システム編 ・ 顧客接点業務編 ガイドライン は、おおむね1年に1回見直しを行い、最新の状況を取り入れ、 更新しています。 マニュアル/解説書類 ・ 情報セキュリティ事故対応手順 ・ 個人情報保護ハンドブック … 「ガイドライン」および「マニュアル/解説書類」について … 「マニュアル/解説書類」の三つから構成されています。 情報セキュリティにかかわるルール体系 情報セキュリティ実態調査 これらのルールに対して現場部門の理解度や順守状況を把 以下は、質問と回答集計結果の一例です。 握し、情報セキュリティの推進計画に反映させるため、2004年 度から1年おきに全従業員の約2割(無作為抽出)を対象として、 「情報セキュリティ実態調査」を実施しています。 調査内容としては、ルールの理解度や共通セキュリティ対策 の実施率など、基本的な事項について定点観測を行うとともに、 Q. 会社が行っているWebフィルタリングにより、 あなたの業務へ支障 がありますか? (一つ選択) 339 108 適宜新しい要素を取り入れています。また、調査の結果、ルール の理解度や施策の実施率が不十分だった点については、情報セ キュリティ教育に重点的に盛り込むようにしています。 2,255 大いに支障がある 多少支障がある 1,756 (単位:名) さらに、情報セキュリティのための諸施策により業務にどの 程度影響が出ているかなど、現場部門の生の声を聞くことによ 271 支障がない 分からない 「Webフィルタリング」の 意味が分からない 情報セキュリティ実態調査の質問と回答事例 り、セキュリティと利便性のバランスに配慮しています。 情報セキュリティ教育 情報セキュリティに関する従業員教育としては、さまざまな階 層で複数のプログラムを実施しています。 全従業員向けの教育は、eラーニングと確認テストにより実施 し、全員が受講を完了するまでフォローします。新入社員教育お よび新任マネージャー教育は集合教育により実施し、グループ ディスカッションや自社で制作したビデオ教材の視聴なども取 情報セキュリティに関する教育プログラム 情報セキュリティ教育の種類 対象者 実施頻度 全社情報セキュリティ教育 全従業員 年1回 ISMS(ISO/IEC 27001)関連教育 国 内 営 業 にかかわる 全従業員 年1回 新入社員教育 新入社員 入社後随時 新任マネージャー教育 新任マネージャー 昇格時随時 り入れています。 教育内容としては、ルールを根付かせるためのケーススタディ などに加え、実際に起きた情報セキュリティ事故に基づいて、そ のような事故を起こさないようにするためにはどうすべきかとい うことに重きを置き、PDCAサイクルを回すことにより従業員の 資質向上を図っています。 8 情報セキュリティガバナンス 情報セキュリティ活動のあゆみ 2005年~2006年 ● 情報セキュリティの専門組織 を設置 2007年~2008年 ● 規程類の効果的な見直し 2009年 ● モバイル環境や在宅勤務における 情報セキュリティを強化 会社が有する情報の機密区分を細 2005年の個人情報保護法施行を 分 化し、お客 様からの預り情 報の これまで導入していた社外持出し きっかけに、社内で個人情報管理 機密区分を新設するなど、業務に P Cのハードディスク全 体 暗 号 化 や情 報セキュリティにかかわって 即した形での規程類の見直しを実 に加え、再 起 動すると自動 的に持 いた組織の従業員を統合し、情報 施しました。 出し前の状態に戻る機能を備えた セキュリティの専門組織を立ち上 げ 、本 部 、関 連 会 社を含めた全 社 「 F X セキュア P C 」の 導 入 を 行 い ● で情報セキュリティに取り組む体 制を構築しました。 情報セキュリティ基礎教育 の整備 情報セキュリティ事故の再発防止 2010年 ● USBメモリーや電子メールなど からの情報漏えい抑止策 →p.12をご覧ください ● 情報セキュリティ事故の 初動対応強化策 →p.12をご覧ください ました。 ● ● 内部情報の漏えい防止の改善 ソリューション・サービスビジネスに おける情報セキュリティ品質向上策 のため、事故事例からの学習を中 社外への情報漏えいを防止するた 心とした 実 践 的 な 内 容 の 情 報 セ めに、印 刷 時 のセキュリティ対 策 キュリティ基 礎 教 育を企 画し、全 のルールを強化し、本社会議体資 従 業員を対 象に実 施しました。な 料などの印刷時に、 トラストマーキ のため、規程類、標準契約書、個人 おこの基礎教育は、現在も継続し ング機能の利用を義務付けました。 情報管理台帳の整備など、全社体 て実施しています。 この機能は、複製防止のペーパー 報 の 管 理 状 況 を 一 元 管 理 するた セキュリティや原 稿を複 製すると めに、個人情報管理台帳システム 特定の文字が浮き出る隠し印刷機 ( P I C S )を運 営しています。台 帳 ● 情報セキュリティガバナンス の基盤整備の実施 個 人 情 報 保 護 法 への確 実な対 応 制で情 報セキュリティのガバナン スを 推 進 するため の 基 盤 整 備 を 実 施しました。万が一 事 故が起き ● 厳重なファシリティアクセス 管理の実現 能などを活用しています。 た場合には、適切で迅速な対応が 基幹システムを収容しているデー 重要であることから、情報セキュリ タセンターでは、災 害 対 応 能力強 ● ティ事故報告・対応手順の周知活 化 の ため 、建 物 免 震 機 構 の 採 用 、 情報セキュリティに関する事故報 動を行いました。 電力・通 信 等 のライフラインの 二 告 内 容 の 標 準 化 を 図 るとともに 、 ● 技術的側面における ● 個人情報管理の状況を俯瞰する 台帳システムの機能強化 富士ゼロックスが管理する個人情 からの抹消や台帳の変更手続き忘 れを防ぐため、台帳の更新状況を ワークフローシステムの導入 重化、厳重なファシリティアクセス 各種申請手続きの簡易化や効率化 管理を徹底しました。 のために、ワークフローシステムを 情報セキュリティ対策を展開 →p.12をご覧ください 導入しました。 自動モニタリングするなどの機能 強化を行いました。 ● 情報セキュリティ実態調査の 実施 富 士 ゼ ロックス の 情 報 セ キュリ 情報漏えい防止のために、PC全体 ティの実態調査を実施し、前回調査 を暗号化するツールの導入や、複 (2008年度)に比べ、規程類の周 合 機 の 利 用 者 認 証に使 用するI C 知レベルの改 善 、ファクス誤 送 信 カード標準(AFSC:オール富士ゼ 防止策、情報の適切な廃棄など管 ロックスセキュリティカード)を適 理策の浸透が確認できました。 用し、全従業員へ利用者認証を配 布するなど、技術的な対策を展開 しました。 2011年度の情報セキュリティ活動について ● サービスビジネスにおける情 報セキュリティ 品質強化 お客様から信頼いただけるサービス提供のために、個人情報 ● 重大事故の撲滅に向けて、情報セキュリティ事故の類型と原 因を分析し、再発防止策の企画、展開を実施します。 やお客様からお預かりする重要な情報の漏えい・改ざんなどの リスクにかかわる課題を整理し、取引先を含めたサプライチェー ン全体での情報セキュリティ強化および標準化を進めます。 事故を起こさない抜本的対策の検討 ● ICT活用による新しい働き方への対応 従 業員が 、スマートフォン、クラウドなどのI C Tを活用して、 ワーク・ライフ・バランスを考慮した新しい働き方を推進するた めの情報セキュリティ対応を進めます。 9 社内の情報セキュリティ 富士ゼロックスは、社内で扱う情報のセキュリティについて従業員に対する意識の啓発やリスクへの適切な対応の 徹底を図っています。すべての従業員が情報セキュリティの重要性を理解し、日常業務における情報リスクに対応で きるよう、情報機器の種類や情報の区分に応じたルールや仕組みを導入しています。 情報管理 情 報 管 理の考え方 切な保護・管理ならびにコンプライアンスの維持向上に努めて 富士ゼロックスは、“すべての「情報」は価値を有する社有資 います。 産であることを認識し、会社の従業員としての責任感、倫理観 情報を適切に保護・管理するためには、会社が管理できる状 をもって「情報」に接し、取り扱うものとする”として、 「 情報」に 態にした上で、情報の重要度に応じた管理を行い、情報へのア 対する基本姿勢を定めています。 クセスが業務上必要かどうかを判断することが重要だと考え そのような方針のもとで関連ルールを整備し、情報資産の適 ています。 会社情報管理の主な仕組み 会社貸与情報機器 オフィス等の会社拠点 個人所有機器等 重要度に応じた情報管理 会社情報の格納禁止 ・ ファシリティのゾーニング ・ 情報区分表示 ・ 会社標準の情報機器の調達(購買規制) ・ 施錠管理 ・ 暗号化 ・ ICカード認証 ・ 重要エリアへの個人所有機器等の持込み禁止 ・ 不許可デバイスへのデータ書き込み禁止制御 ・ Webフィルタリング ・ PC操作、 メール等のログ保存 ・ インターネットへの情報流出監視 ・ 個人所有PCへの情報格納有無の一斉点検 会社情報の持出し制限 モバイル等ICTの利用 ・ 社外持出し手続き ・ 持出し用情報機器 (FXセキュアPC、標準携帯電話) ・ 遠隔アクセスの仕組み (リモートデスクトップ、携帯メールアクセス等) 日常 業 務における情 報リスクへの対 応 ❶ 情報を会社が管理できる状態に 情報区分と管理要件の関係 所有者の情報区分 情報を会社が管理できる状態を維持するため、かつ、従業員 社内情報 が安 全に情 報 活用できるように、ルールや仕 組みを展 開して 機器を利用することとし、個 人 所 有 情 報 機 器の利用を認めて いません。また、会社貸与の情報機器は、情報システム部門が 標準を定め、従業員が安全に情報活用できる環境を提供して います。 ❷ 情報の重要度に応じた情報管理 会社情報には、重要度に応じた情報区分を設け、情報区分に 応じた区分表示、安全管理措置を定めています。重要度の高い 機 密 性の 情 報 区 分 います。たとえば、業務遂行においては、必ず会社貸与の情報 機密性に 重き 情報共有に 重き 社外預り情報 より厳しい 管理 セキュリティ上の 管理要件 ❸ 情報へのアクセスは業務上の必要性により判断 重要な情報へのアクセスおよび社外持出しは、業務上の必要 情報は、暗号化、施錠管理などの要件を定めています。また、情 性から最小限にすることとしています。また、重要な情報の持出 報区分には、社内情報か社外からの預り情報かの区分があり、 しには、マネジメントによる許可を必要とするなど、業務上の必 より重要な預り情報は、授受管理などの要件を定めています。 要性とマネジメントによる許可によって情報へのアクセスをコ ントロールしています。 10 社内の情報セキュリティ 展開している主な情報セキュリティ対策 富士ゼロックスは、情報管理の考え方に基づき、人的・組織 的対策、物理的対策、技術的対策の観点で、さまざまな情報セ キュリティ対策を行い、情報資産の適切な保護・管理に努めて います。 人的・組織的対策 ● 情報セキュリティに関する規程、 ガイドライン の整備 ● ルールを解説したハンドブック、事故事例の ビデオ教材の展開 ● 各 社 、各 部 門から選出された情 報セキュリ ティ委員による情報セキュリティガバナンス ● 情報セキュリティに関する教育の定期的な 実施 ● 情報セキュリティ事故発見から2時間以内の 会社への報告の徹底 情報セキュリティ対策の3つの側面 物理的対策 技術的対策 ● 重要区画の分離などゾーニングの設定 ● サーバー、システムへのユーザー単位でのアクセス制御 ● 主要拠点での従業員証(ICカード)による入退室管理 ● 重要な業務に携わる従業員のPCの操作ログ管理 ● ワイヤーロックによるPCの固定 ● 登録外デバイスへの書き出し制御、ログ管理 ● 携帯電話やUSBメモリーへのストラップの取り付け ● インターネット通信(Webアクセス、 メール送受信) の監視 ● P2Pネットワークの監視 未登録のUSBメモリー ID CARD 123456 富士 太郎 Taro Fuji 書き込み禁止 登録外デバイスへの書き出し制御 11 社内の情報セキュリティ 2010年度の特徴的な情報セキュリティ対策 2010年度は、以下の情報セキュリティ対策を実施しました。 ❶ U S Bメモリーや電 子メールなどからの 情 報 漏えい抑 止 策 PCのUSBデバイス、電子メール、Webアクセス、紙のプリントな どを介しての情報漏えい対策として、PC操作、電子メール等のロ グ管理システムを強化しました。 また、許可されたUSBメモリー以 外へのデータ書き込みをできないようにするなど、PCに接続され たUSBデバイスを制御する仕組みを導入しました。 ❷ 情 報セキュリティ事 故の初 動 対 応 強 化 策 情報セキュリティ事故は、いつ誰の身に降りかかるか分かり ません。万が一事故が発生したときに、第一報をより迅速かつ 適切に行うために、報告先など最低限必要な情報を記載した携 帯リーフレットを全従業員に配布しました。 情報セキュリティ事故の撲滅に向けた社内啓発ポスター ❸ ソリューション・サービスビジネスにおける 情報セキュリティ品質向上策 富士ゼロックスは、ソリューション・サービスビジネスにおけ 情報セキュリティ事故発生/発見時の対応 ● 上長に報告し、緊急連絡を実施してください。 ● 2時間以内に下記に報告してください。 報告先: ○○○○○ ○○○○○ 報告内容: ○○○○○○○○○○ ○○○○○○○○○○○○○○○○○○○ 情報セキュリティ事故発生/発見時の対応を記した携帯リーフレット るお客様情報の漏えいを決して発生させてはならないと強く認 識しています。 そこで、このリスクを顕 在 化させないため、関 連する本 部・ 部門の担当者が集まり、予防策の検討を開始しました。この検 討は、富士ゼロックスおよび関連会社で提供するサービスやソ また、 「セキュリティ事故を発見したら」 というポスターを社内に リューションごとのセキュリティ品質を均一に保つため、会社全 掲示することで、情報セキュリティ事故の撲滅と第一報の連絡の 体として横断的に把握する必要があるという経営層の強い意思 徹底に関して、従業員の意識の向上を図りました。 によって推進しており、2011年度も継続して実施しています。 東日本大震災発生時の情報セキュリティへの対応 富士ゼロックスは、2011年3月11日に発生した東日本大震 ● 安否確認システム、非常用無線機、衛星携帯電話、電子メー ルなどを総合的に利用した従業員安否の確認 ● 情 報 通 信 網の監 視による通 信 障 害 箇 所の即 時 確 認と復旧 対応 ● 従業員間の震災情報交換のための社内SNS(社内コミュニ ケーションツール)の立ち上げ ● 被災した拠点で安全に情報処理を行うための暗号化機能装 備済震災用PCパッケージの現地への配備 ● 避難所のマニュアル、仮設住宅のチラシなどの出力を支援す るためのNGOへの複合機の貸与、高速プリントサービスの 提供 災に対して、統合対策本部および被災地の現地対策本部を立 ち上げました。従業員および家族の安否確認と事業所の被害状 況確認、被災した事業所への救援物資の輸送を行いました。事 業活動においては、生産関連会社の生産が一時的に停止したり、 お客様が被災したため、緊急対応・復旧対応を行いました。また、 被災地において、復旧・復興支援活動を展開しているNGOの活 動を支援しました。 これら東日本大震災への対応において、必要情報の円滑なコ ミュニケーション、緊急時における情報漏えい対策等として、主 に次のような対応を実施しました。 12 お客様への安全のご提供 富士ゼロックスは、紙・電子・伝送路を考慮したセキュリティ対策ソリューションを提案しています。 「 紙文書の情報漏 えい抑止」 「 電子文書化によるセキュリティ強化」 「 ネットワークセキュリティ対策」の三つの観点からセキュリティ対 策ソリューションをご紹介します。 富士ゼロックスの情報セキュリティソリューション オフィスのドキュメントは、作成・更新、伝達・配布、管理・共 立ったセキュリティソリューションが求められます。また、 ドキュ 有、保管・廃棄というライフサイクルそれぞれの段階に情報漏え メントの流通経路におけるセキュリティを強化するネットワー いや改ざんなどのリスクが潜んでいるため、 トータルな視点に クセキュリティも重要になります。 保管・廃棄 作成・更新 不正コピー・改ざん防止 管理・共有 誤送信抑止 伝達・配布 不正な持出し防止 放置プリント防止 ドキュメント・ライフサイクルとセキュリティ 1.紙文書の情報漏えい抑止 プリンターやコピーから出力された紙文書の放置、ファクス の送り先を間違える誤送信など、紙文書の情報漏えい対策を 強化することで、より効果的なドキュメントセキュリティを実現 します。 ❶ 複 合 機とソフトウェア活用によるドキュメント セキュリティ ( ApeosPortとApeosWare Management Suiteの連 携 ) ドキュメントのポータルとなる複合機ApeosPort-IVをコア に、各種機器とドキュメントの運用を管理する統合ソフトウェア 「ApeosWare Management Suite」により、オフィス環境 に合わせた統合的セキュリティ環境を構築。紙から電子へ、電 子から紙へと形態を変えながら伝達、共有、保管を繰り返す各 種ドキュメントのセキュリティを確保します。 また、紙文書の情報漏えい抑止のためのソリューションとし て、ICカード認証による放置プリントや不正コピーの抑止、ス キャン文書の漏えい抑止策などさまざまな仕組みの提供とログ 13 の取得管理を統合的に行います。 さらに、この複合機のICカード認証を行うことで次の関連ソ リューションも提供しています。 ❷ フィジカルセキュリティソリューション ICカードを利用した入退室管理・就業管理・PCセキュリティ をICカード発行サービスまで含めて提供しています。 ❸ 基幹出力におけるドキュメントセキュリティ 基幹システムからの帳票出力や、CADからの図面出力におけ る放置プリント抑止策を提供しています。 ❹ ファクス誤送信抑止(DocWays SafetyFAX連 携、F抑/F歴の連携) 複合機ApeosPortとの連携で、ファクス誤送信による情報 漏えい抑止策を提供しています。 お客様への安全のご提供 2.電子文書化によるセキュリティ強化 電子化した文書の安全性を多彩なセキュリティ機能によって 確保し、セキュアなドキュメント環境を実現します。 D o c u W o r k s による電 子 文 書セキュリティ 1) デジタル複合機のスキャン機能を利用して、オフィスにあふ します。さらにDocuWorks Context Service 2.0が提供す る「コンテキスト・セキュリティ」機能により、社外に持出した電 子文書を閲覧できなくするなど高度な文書セキュリティを提供 します。 1)国内累計販売300万ライセンスを達成 れる紙文書を電子化することで、情報の共有・活用を図ること ができます。また、電子文書の活用により、ネットワークを使っ て社内外とのやりとりをスピーディに行うことが可能になりま す。その半面、コピーや内容の変更が簡単にでき、漏えい・改ざ んといったリスクも生じます。 電 子 文 書 と 紙 文 書 を 一 元 管 理 し 、ド キ ュメント の 有 効 活 用 を 促 進 するドキュメント・ハンドリング・ソフトウェア 「 DocuWorks」は、その多 彩な文 書セキュリティ機 能により、 電子文書の安全性を確保し、セキュアな電子文書環境を実現 DocuWorksで実現可能な電子文書のセキュリティ対策 電子文書の 漏えい防止対策 暗号化・操作制限による機密性確保 パスワードセキュリティ (DocuWorks電子印鑑、電子証明書でも可能) 電子文書の 改ざん防止対策 電子署名による証拠性・完全性の確保 【署名機能】 ・DocuWorks電子印鑑 ・電子証明書 紙文書の 漏えい防止対策 出力文書の複写抑制・紙文書の管理意識向上 TrustMarkingBasic(オプション) 3.ネットワークセキュリティ対策 インターネットからのさまざまな脅威を防止するとともに、内 部要因によって発生する情報漏えいやコンピューターウイルス による感染対策など、総合的なセキュリティ環境を高度な技術 で提供しています。 ❶ セキュアネットワーク アウトソーシングサービス「 b e a t 」 ❸ プロキシーサーバーによるWebセキュリティ Webアクセスの高速化も可能なWebセキュリティ強化策を 提供しています。 ❹ 認証・暗号化によるセキュア無線LAN 最新の暗号化・認証機能で、高いセキュリティを実現した無 線LANを提供しています。 beatは、強固なセキュリティ対策をワンストップで提供するセ キュアネットワークアウトソーシングサービスです。 そのなかでも、beat/entryサービスは小規模事業所向けに、 beat/basicサービスはより規模の大きな企業や複数の拠点を 持つ企業向けに、信頼できるネットワーク環境の提供を通して、 お客様のビジネスや業務を強力に支援します。 外出先 beat-noc ● beat/entry リモート アクセスサービス (オプション) ❷ UTM(Unified Threat Management : 統合脅威 管理)による統合ネットワークセキュリティ 不正侵入防止、ウイルス対策、スパムメール対策など、ネット ワークセキュリティに必要な機能を統合したソリューションを 各種問い合わせや 障害発生時に対応 24時間365日 リモート監視 自動アップデート Internet データセンター ● 文書ストレージ (1GB) プロバイダー ブロードバンド回線 beat以外にも、次のソリューションを提供しています。 ● ウイルス・スパイウェア対策 ● 不正アクセス防止 ● 不正な通信対策機能 ● 迷惑メール判定機能 ● beat コンテンツフィルター サービス(オプション) ● 複合機/プリンター管理機能 E-QIX連携機能 ● 文書ストレージサービス (オプション) ルーター beat-box お客様 ハブ ● オンデマンドサービス ● beat PCクライアント for DocuWorks アンチウイルスサービス (オプション) beat コンタクト センター (オプション) 提供しています。 ● らくらくコピー ● 安心ファクス サービス /ecoコピー /らくらくスキャン (オプション) beat-boxが守るオフィスのネットワーク環境 14 お客様への安全のご提供 お客様への安全なサービスの提供事例 富士ゼロックスシステムサービス(株) 「 成 績 表ソリューション」のご紹介 経済状況に左右されず、近年増加傾向にある「教育費」。費用 を負担する保護者から教育市場に寄せられる期待も、年々高ま りを見せています。 とりに必要な情報をグラフィック加工します。 成績表ソリューションでは、データ作成から出力まですべて の工程を認証システムで区画されたスペースで実施し、不正ア 富士ゼロックスシステムサービス(株)は、教育市場のお客様 クセスへのセキュリティ対策を行っています。カラーオンデマン の差別化支援のために、表現豊かなOne to One成績表出力 ド印刷で出力し発送する一貫したサービスの提供により高品 サービスを提供しています。 質・短納期・コスト削減を実現できますので、お客様からお喜び 試験実施後、学習塾様の本部で採点された解答用紙を回収 の声をいただいています。 し、当社にてデータを入力し集計。そのデータをもとに、一人ひ 【データ入力】 各校舎様 ・パンチ入力 ・イメージスキャン 成績表 出力 【出力・発送】 プリント 教材 CD チラシ 添付物 作成・梱包 配送 各校舎様 成績データ 本部様 ・解答用紙回収 ・採点 ・コメント入力 プリントイメージ作成 【データ集計】 偏差値、順位、 合格率など集計 グラフ化・表組 ページレイアウト処理 生徒自宅 【組版】 「コンビニエンスストア証明発行システム」のご紹介 富士ゼロックスシステムサービス (株)は、長年培ってきた戸籍 のニーズは年々高まっています。 当社では、導入に際し、 お客様の システムや証明書自動交付機などでのノウハウを活用し、 自治体 サーバーへの不正アクセス防止など、 さらなるセキュリティ環境の 様の新世代サービス導入をお手伝いしています。2009年度から 構築に努めています。 は、総務省が推進する 「コンビニエンスストアのキオスク端末によ 証明書交付サービスの全体像 る証明書等の交付」 に対応するために、 コンビニエンスストアでの 証明書交付サービスの導入支援を開始しました。 データベースを構築。データを集約している(財)地方自治情 報センター(以下、LASDEC)様の規格に沿って、証明データの 暗号化対策を施し、LASDECが運営する証明書交付センター 住民記録システム 有人での対応 当社にて、お 客 様(自治 体 様 )の 既 存サーバ ーに証 明 書 の 証明サービス インターフェイス へ送信します。 エンスストアでの証明書交付は、庁舎へ出向かず、また開庁時 間外でも証明書を入手できるようになるため、住民の利便性を 大幅に向上できるシステムです。 導入費用についても、 コンビニエンスストアの店舗にすでに設 置されている機器を利用するため、初期導入費を比較的低く抑 えられる費用対効果の高いソリューションとして、自治体様から 15 窓口受付 時間内 住民票、印鑑… 無人での対応 全国のコンビニエンスストア様へは、同センターからセキュ アなネットワークを介して証明データが送られます。コンビニ 証明書窓口受付システム 「まどうけ」 総合証明システム 証明 データベース コンビニエンスストア 証明発行システム 戸籍サーバー兼 証明サーバー LASDEC 証明書自動交付機 「Your City 」 富士ゼロックスシステムサービス(株)では、証明 サーバーを活用し、LGWANを介してLASDEC広 域交付センターへ証明データを送信します。全国の コンビニエンスストアへは、LASDEC広域交付セン ターからセキュアなネットワークを介して証明デー タが送られます。 窓口受付 時間外 取引先と連携した情報セキュリティ 富士ゼロックスは、自社のみならず取引先に支えられて、さまざまな事業活動を行っています。ソリューション・サービ スビジネスにおいては、お客様からお預かりする重要な情報を取引先と連携して扱うことがあります。富士ゼロックス は、取引先と緊密に連携して情報セキュリティを確保することにより、お客様に対して安全・安心なビジネスのご提供に 努めています。 全社の取り組み 取引先との連携による情報セキュリティ確保のため、取引先 まれています。 における情報取扱いに関するガイドラインを整備し、運用して 具体的には、調査票(チェックリスト)に基づく評価・選定、個 います。このガイドラインでは、取引先の選定、契約交渉、委託 人情報保護および秘密保持条項を含む契約の締結、安全管理 業 務 開 始 前 準 備 、委 託 業 務の実 施 、委 託 業 務の終了といった 措 置の取り決め、取引先の状 況 評 価および預 託 情 報の廃 棄・ 一連のプロセスのなかで、それぞれ実施すべき内容が盛り込 消去などについて定めています。 ①取引先の選定 ⑤委託業務の 終了 情報セキュリティ チェックリスト 監査結果 監査実施 報告書 0000年00月00日 計画 登録番号 ○-○○ 制定 0000年00月 主管責任部 ※※※ ④委託業務の 実施 ②契約交渉 ○╳株式会社 情報管理部 作成:○╳株式会社 ╳╳事業部○○部 ③委託業務 開始前準備 取引先の管理監督強化プロセス 部門の取り組み事例 富士ゼロックスが提供するソリューション・サービスビジネ スの推進現場での取り組み事例をご紹介します。これらの取り 組みにより、取引先と連携した情報セキュリティと品質の維持・ 改善活動を行っています。 ● 取引先の選 定 、状 況 評 価 取引先の会社情報、情報セキュリティ、業務品質等については、 改善を依頼し、その対応状況を確認しています。 取引先を含めたサプライチェーン全体での プロジェクト審査 ● お客様から受託するプリントサービス業務等の個別プロジェ クトは、取引先を含めたサプライチェーン全体で、業務仕様通り に案件が対応できるかどうかについてフェーズごとに案件審査 調査票を用いて取引先の状況を総合的に確認・評価していま を行っています。案件審査に合格した場合に、プロジェクトは す。また、個人情報の処理を行う取引先については、業務実施環 次のフェーズに進みます。一方で、問題があった場合は、是正対 境を直接確認するなど、個人情報保護法に基づく管理監督を実 応の上、再度審査を実施します。 施しています。取引先において、改善項目が発見された場合は、 16 第三者評価・認証 富士ゼロックスおよび関連会社では、情報セキュリティに関連する第三者評価・認証の取得に 積極的に取り組んでいます。 ISMS認証取得状況 2002年度にBS 7799-2:1999(ISO/IEC 27001の前身 である英国の情報セキュリティマネジメントシステム規格)を (組織、業務など)をお客様接点に関する業務を中心に拡大し てきました。現在では、下記の組織において認証取得しています。 ユーザー認証サービスにおいて取得して以来、認証取得の範囲 ISO/IEC 27001認証取得状況 取得組織名称 営業本部、 ソリューション・サービス営業本部、 ソリューション本部、 カストマーサービス本部、グローバルサービス営業本部(国内)、 プロダクションサービス営業本部 富士ゼロックス(株) 国内販売会社 (お客様接点に関連する領域) 国内関連会社 海外関連会社 富士ゼロックス北海道(株) 富士ゼロックス岩手(株) 富士ゼロックス宮城(株) 富士ゼロックス福島(株) 富士ゼロックス新潟(株) 富士ゼロックス茨城(株) 富士ゼロックス栃木(株) 富士ゼロックス群馬(株) 富士ゼロックス埼玉(株) 富士ゼロックス東京(株) 富士ゼロックス多摩(株) 富士ゼロックス千葉(株) 富士ゼロックス神奈川(株) 富士ゼロックス山梨(株) 富士ゼロックス長野(株) 富士ゼロックス静岡(株) 富士ゼロックス北陸(株) 富士ゼロックス愛知(株) 富士ゼロックス愛知東(株) 富士ゼロックス岐阜(株) 富士ゼロックス三重(株) 富士ゼロックス奈良(株) 富士ゼロックス京都(株) 富士ゼロックス大阪(株) 富士ゼロックス兵庫(株) 富士ゼロックス岡山(株) 富士ゼロックス広島(株) 富士ゼロックス山口(株) 富士ゼロックス四国(株) 富士ゼロックス北九州(株) 富士ゼロックス福岡(株) 富士ゼロックス長崎(株) 富士ゼロックス熊本(株) 富士ゼロックス鹿児島(株) 富士ゼロックス情報システム(株) ビジネスプロセスマネジメント事業部(人事ソリュ ーションシステムの提案・設計開発・運用・保守お よび ASPサービス) 富士ゼロックスシステムサービス(株) 板橋事業所(関連事業所である大阪事業所、電響社 ビル事業所、神保町事業所、北海道支店、東北支店、 中部支店、関西支店、西日本支店、横浜センター、東 京事業所、武蔵事業所(昭島)、武蔵事業所(瑞穂)、 武蔵事業所(相馬)、横浜事業所、愛知事業所、相生 事業所、呉事業所、呉事業所(新宮)を含む) 富士ゼロックスインターフィールド(株) お客様接点に関連する領域 富士ゼロックスコリア(韓国) 富士ゼロックス上海(中国) 富士ゼロックス深圳(中国) 2011年7月1日現在 プライバシーマーク認証取得状況 お客様および社内の個人情報を適切に保護し、その運用がマ ネジメントシステムとして定着するよう継続的な改善に取り組 んでいます。 プライバシーマーク取得状況 取得組織名称 富士ゼロックスシステムサービス(株) (株)富士ゼロックス総合教育研究所 17 第三者評価・認証 ISO/IEC 15408 1)認証取得状況 富士ゼロックスは、複合機、プリンター、アプライアンス・サー 2010年3月31日までに認証取得した商品については、独立 バー(beat-box)などの商品において、ISO/IEC 15408の認証 行政法人 情報処理推進機構のホームページ(http://www. を取得しています。 ipa.go.jp/security/jisec/certified_products/cert_ 2010年4月1日から2011年6月23日までに認証取得した当 listv31.html) でご確認ください。 社商品を、下記にご紹介します。 ISO/IEC 15408取得状況 商品名 Fuji Xerox ApeosPort-IV C7780/C6680/C5580 DocuCentre-IV C7780/C6680/C5580 Series Controller Software for Asia Pacific Controller ROM Ver. 1.101.7 富士ゼロックス ApeosPort-IV C7780/C6680/C5580( G4 対応モデル)シリーズコントローラソフトウェア Controller ROM Ver. 1.40.7 富士ゼロックス ApeosPort-IV C7780/C6680/C5580 DocuCentre-IV C7780/C6680/C5580 シリーズコントローラソフトウェア Controller ROM Ver. 1.0.7 Fuji Xerox ApeosPort-IV C4430 DocuCentre-IV C4430 Series Controller Software for Asia Pacific Controller ROM Ver. 1.101.2 Xerox Color 550/560 Printer Controller ROM Ver. 1.203.1 、IOT ROM Ver. 62.23.0 、IIT ROM Ver. 6.13.0 、ADF ROM Ver. 12.4.0 Fuji Xerox ApeosPort-IV C5570/C4470/C3370/C3371/C2270 DocuCentre-IV C5570/C4470/C3370/C3371/C2270 Series Controller Software for Asia Pacific Controller ROM Ver. 1.103.0 Xerox WorkCentre 7120 Controller ROM Ver. 1.201.6 、IOT ROM Ver. 4.21.0 、ADF ROM Ver. 7.06.50 Fuji Xerox DocuCentre-Ⅳ C2260 Series Controller Software for Asia Pacific Controller ROM Ver. 1.120.28 2011年7月1日現在 1) 「ISO/IEC 15408」 とは、情報技術セキュリティの観点から、情報技術 に関連した製品およびシステムが適切に設計され、かつその設計が正 しく実装されているかどうかを評価するための国際的なセキュリティ 基準です。 18