Comments
Description
Transcript
富士通グループ 情報セキュリティ報告書2010
Fujitsu Services Ltd. UK&I の取り組み事例 Fujitsu Services Ltd. UK&I の取り組み事例 Fujitsu Services Ltd. UK&I(以下 FS UK&I)は、民間企業、公共機関向け IT システム、サービス、 製品のリーディングプロバイダーで、その対象となる業種は、小売り、金融サービス、通信、政府機関、 防衛、消費者部門と多岐にわたっています。 また、FS UK&I は、イギリス政府にとっても最大級の IT プロバイダーであり、イギリス政府の多くの 部門にサービスを提供しています。 なお、情報セキュリティチームは、お客様情報の、セキュリティおよびビジネス継続の面で顧客ソリュー ションライフサイクルすべての段階で管理するサービスを提供しています。 情報セキュリティマネジメント FS UK&Iは、ネットワークとデータセンターにおいて Manual(セキュリティ実施手順書) 」から成り、富士通 ISO/IEC 27001の認証を取得しています。さらに、英国 の「 Global Information Security Policy(富士通グルー 郵政グループ(RMGA)やトムソンロイター社などのユー プ 情 報 セ キ ュリ テ ィ基 本 方 針 )」 お よ び「 Global ザ対面型のサービスにおいても認証取得に向けて取り組 Information Security Controls Framework(グ ロ ーバ ル んでいます。 情報セキュリティ管理フレームワーク)」に準拠してい 今後も、実績ある事業を中心に認証取得の範囲を拡大 ます。 する予定です。 また、FS UK&Iは富士通と共同で、グローバルなセキュ FS UK&Iの 情 報 セ キ ュリ テ ィ関 連 文 書 は、 「 Master Security Policy(セキュリティ基本方針)」と「 Security リティ要求事項に適合しているかを目的として内部監査 を実施しています。 ■情報セキュリティチームの体制図 最高情報責任者(CIO) IA デリバリー プラクティス マネージャー David Smith Ian Parker 情報セキュリティグループ ディレクター Andy Cooke 人事 Linsey ReedBeeston 情報セキュリティ(IA*1) および 技術開発ディレクター Andy Cooke IA ソリューション プラクティス マネージャー BC*3 マネージャー Danny Sinclair David Robinson 顧客担当セキュリティマネージャー Steve Godfrey ‒ HMRC Aspire Wendy Glasgow ‒ Warnings Index Jane Tyler ‒ BERR/DUIS Trevor Birch - DVLA Chris Lightfoot ‒ Govemment Office Peter Hewitt ‒ Thomson Reuters Ian Argile - CIS IA 戦略マネージャー Peter Shillito リソースマネージャー Margaret Mckenna PA*2 Jackie Davies 直属 任命に基づく IA ポリシーマネージャー ID管理 Ivor Parsons BC/DR*4 Peter Joy Iain Andrews FujitsuNIC IT セキュリティ マネージャー Kaz Yamamura [*1] IA : [*2] PA : [*3] BC : [*4] DR : Information Assurance Personal Assistant Business Continuity Disaster Recovery 顧客担当最高 セキュリティ責任者 (CSO) John Alcock ‒ GBD Steve Cottrell ‒ D&NS Andy Baines ‒ PBU 19 fujitsu2010_p18-32_0423.indd 19 10/04/27 15:18 情報セキュリティ施策 FS UK&Iは、さまざまなセキュリティ・サービスをお 客様に提供していますが、同じサービスが社内のセキュ リティ活動においても活用されています。以下に内部セ キュリティ施策を示します。 セキュリティ方針 FS UK&Iのセキュリティ基本方針はFS UK&Iのビジネス マネジメントシステムの一環として確立しており、セ 管理・報告も含まれています。また、この研修のための オンラインパッケージを開発しました。 このオンラインパッケージは現在、政府ビジネス担当 部門への展開が完了し、現在、FS UK&Iの全従業員を対 象に導入中です。 また、セキュリティ啓発研修の一環としてセキュリ ティ情報を従業員に周知徹底する方法など、さらなる効 果的な仕組みを検討しています。 キュリティ実施手順書は セキュリティ基本方針を基に さらに、顧客対応にかかわる従業員の意識向上に向け 作成しています。また、FS UK&Iと富士通の他組織およ て、顧客環境に特化したセキュリティ教育および啓発研 び ビ ジ ネ ス パ ート ナ ーと の 接 続 に 関 し て はCode Of 修を実施しています。 Connection(接続規格)として接続方針を定めています。 この、接続規格については最近日本で開催された「Global Security Forum(グローバルセキュリティフォーラム) 」 で発表しました。 監査 FS UK&Iでは、情報セキュリティ監査を実施しており、 2009年の11月、12月に契約要件に従って外部顧客に提 その他のセキュリティ関連方針については 富士通の 供したIAサービスを対象に、監査を実施しました。この 「 Global Information Security Controls Framework( グ 監査結果および対応計画は、2009年12月にFS UK&Iの ローバル情報セキュリティ管理フレームワーク) 」に則 コーポレートガバナンス委員会にも報告を行いました。 して作成しています。 機器の情報保護 すべてのノートパソコン、デスクトップ機器および USB接続の可搬記憶媒体を対象として、ディスク全体の 暗号化を進めています。これによってFS UK&Iは、イギ リス政府の各省庁およびサプライヤの増大するセキュリ ティ要件に対応しています。 この要求を満たす暗号化ソフトを、段階的に展開して おり、まもなく導入が完了する予定です。 教育・意識向上 また、2009年度第4四半期には、富士通と共同で情報 セキュリティ監査を実施しました。 なお、イギリス政府の情報成熟度モデル評価への取り 組みが政府担当部門によって開始されています。 ウェブフィルタリング シマンテック社との共同でアンチスパムサービスへの 投資を行なっており、ウェブおよびインターネットス キャニングソリューションの機能強化に取り組んでいま す。 このことによりセキュリティ機能は著しく改善され、 同時に年間で20%のコスト削減が見込まれています。 FS UK&Iは全従業員に対しセキュリティ啓発研修を義 務化しており、この研修にはセキュリティ運営時の証跡 提供するサービス FS UK&Iの情報セキュリティサービスは、お客様のニー [運用代行サービス] ズに応じて様々なサービスを提供しており、以下のサー ● セキュリティ運用および運用管理 ビスコンポーネントによって構成されています。 ● 監査およびコンプライアンス監視 ● セキュリティ・ソリューション設計 ● 最高セキュリティ責任者 ● セキュリティ・コンサルティング ● セキュリティ管理 ● ビジネス継続性および災害復旧の設計・コンサルティ ング ● IDおよびアクセス管理の設計・コンサルティング 20 fujitsu2010_p18-32_0423.indd 20 10/04/27 15:18