富士通グループ 情報セキュリティ報告書2010

Fujitsu Services Ltd. UK&I の取り組み事例
Fujitsu Services Ltd. UK&I の取り組み事例
Fujitsu Services Ltd. UK&I（以下 FS UK&I）は、民間企業、公共機関向け IT システム、サービス、
製品のリーディングプロバイダーで、その対象となる業種は、小売り、金融サービス、通信、政府機関、
防衛、消費者部門と多岐にわたっています。
また、FS UK&I は、イギリス政府にとっても最大級の IT プロバイダーであり、イギリス政府の多くの
部門にサービスを提供しています。
なお、情報セキュリティチームは、お客様情報の、セキュリティおよびビジネス継続の面で顧客ソリュー
ションライフサイクルすべての段階で管理するサービスを提供しています。
情報セキュリティマネジメント
FS UK&Iは、ネットワークとデータセンターにおいて
Manual（セキュリティ実施手順書）
」から成り、富士通
ISO/IEC 27001の認証を取得しています。さらに、英国
の「 Global Information Security Policy（富士通グルー
郵政グループ（RMGA）やトムソンロイター社などのユー
プ 情 報 セ キ ュリ テ ィ基 本 方 針 ）」 お よ び「 Global
ザ対面型のサービスにおいても認証取得に向けて取り組
Information Security Controls Framework（グ ロ ーバ ル
んでいます。
情報セキュリティ管理フレームワーク）」に準拠してい
今後も、実績ある事業を中心に認証取得の範囲を拡大
ます。
する予定です。
また、FS UK&Iは富士通と共同で、グローバルなセキュ
FS UK&Iの 情 報 セ キ ュリ テ ィ関 連 文 書 は、
「 Master
Security Policy（セキュリティ基本方針）」と「 Security
リティ要求事項に適合しているかを目的として内部監査
を実施しています。
■情報セキュリティチームの体制図
最高情報責任者（CIO）
IA デリバリー
プラクティス
マネージャー
David Smith
Ian Parker
情報セキュリティグループ
ディレクター
Andy Cooke
人事
Linsey ReedBeeston
情報セキュリティ（IA*1）
および
技術開発ディレクター
Andy Cooke
IA ソリューション
プラクティス
マネージャー
BC*3
マネージャー
Danny
Sinclair
David Robinson
顧客担当セキュリティマネージャー
Steve Godfrey ‒ HMRC Aspire
Wendy Glasgow ‒ Warnings Index
Jane Tyler ‒ BERR/DUIS
Trevor Birch - DVLA
Chris Lightfoot ‒ Govemment Office
Peter Hewitt ‒ Thomson Reuters
Ian Argile - CIS
IA 戦略マネージャー
Peter Shillito
リソースマネージャー
Margaret
Mckenna
PA*2
Jackie Davies
直属
任命に基づく
IA
ポリシーマネージャー
ID管理
Ivor Parsons
BC/DR*4
Peter Joy
Iain Andrews
FujitsuNIC IT
セキュリティ
マネージャー
Kaz Yamamura
[*1] IA :
[*2] PA :
[*3] BC :
[*4] DR :
Information Assurance
Personal Assistant
Business Continuity
Disaster Recovery
顧客担当最高
セキュリティ責任者
（CSO）
John Alcock ‒ GBD
Steve Cottrell ‒ D&NS
Andy Baines ‒ PBU
19
fujitsu2010_p18-32_0423.indd 19
10/04/27 15:18
情報セキュリティ施策
FS UK&Iは、さまざまなセキュリティ・サービスをお
客様に提供していますが、同じサービスが社内のセキュ
リティ活動においても活用されています。以下に内部セ
キュリティ施策を示します。
セキュリティ方針
FS UK&Iのセキュリティ基本方針はFS UK&Iのビジネス
マネジメントシステムの一環として確立しており、セ
管理・報告も含まれています。また、この研修のための
オンラインパッケージを開発しました。
このオンラインパッケージは現在、政府ビジネス担当
部門への展開が完了し、現在、FS UK&Iの全従業員を対
象に導入中です。
また、セキュリティ啓発研修の一環としてセキュリ
ティ情報を従業員に周知徹底する方法など、さらなる効
果的な仕組みを検討しています。
キュリティ実施手順書は セキュリティ基本方針を基に
さらに、顧客対応にかかわる従業員の意識向上に向け
作成しています。また、FS UK&Iと富士通の他組織およ
て、顧客環境に特化したセキュリティ教育および啓発研
び ビ ジ ネ ス パ ート ナ ーと の 接 続 に 関 し て はCode Of
修を実施しています。
Connection（接続規格）として接続方針を定めています。
この、接続規格については最近日本で開催された「Global
Security Forum（グローバルセキュリティフォーラム）
」
で発表しました。
監査
FS UK&Iでは、情報セキュリティ監査を実施しており、
2009年の11月、12月に契約要件に従って外部顧客に提
その他のセキュリティ関連方針については 富士通の
供したIAサービスを対象に、監査を実施しました。この
「 Global Information Security Controls Framework（ グ
監査結果および対応計画は、2009年12月にFS UK&Iの
ローバル情報セキュリティ管理フレームワーク）
」に則
コーポレートガバナンス委員会にも報告を行いました。
して作成しています。
機器の情報保護
すべてのノートパソコン、デスクトップ機器および
USB接続の可搬記憶媒体を対象として、ディスク全体の
暗号化を進めています。これによってFS UK&Iは、イギ
リス政府の各省庁およびサプライヤの増大するセキュリ
ティ要件に対応しています。
この要求を満たす暗号化ソフトを、段階的に展開して
おり、まもなく導入が完了する予定です。
教育・意識向上
また、2009年度第4四半期には、富士通と共同で情報
セキュリティ監査を実施しました。
なお、イギリス政府の情報成熟度モデル評価への取り
組みが政府担当部門によって開始されています。
ウェブフィルタリング
シマンテック社との共同でアンチスパムサービスへの
投資を行なっており、ウェブおよびインターネットス
キャニングソリューションの機能強化に取り組んでいま
す。
このことによりセキュリティ機能は著しく改善され、
同時に年間で20%のコスト削減が見込まれています。
FS UK&Iは全従業員に対しセキュリティ啓発研修を義
務化しており、この研修にはセキュリティ運営時の証跡
提供するサービス
FS UK&Iの情報セキュリティサービスは、お客様のニー
［運用代行サービス］
ズに応じて様々なサービスを提供しており、以下のサー
● セキュリティ運用および運用管理
ビスコンポーネントによって構成されています。
● 監査およびコンプライアンス監視
● セキュリティ・ソリューション設計
● 最高セキュリティ責任者
● セキュリティ・コンサルティング
● セキュリティ管理
● ビジネス継続性および災害復旧の設計・コンサルティ
ング
● IDおよびアクセス管理の設計・コンサルティング
20
fujitsu2010_p18-32_0423.indd 20
10/04/27 15:18