信息安全
基本想法
DNP具有信息安全技術和專有技術的優勢,我們在利用我們從公司,消費者和我們自己的信息資產中保留的信息資產時培養了這些技術和專有技術。
為了履行處理大量信息資產的公司的社會責任,我們將確保管理和保護信息資產的安全,並通過安全可靠的產品和服務提供新的價值。
方針
推進體制
DNP已在其總部設立資訊安全委員會和資訊安全指揮部,負責對各業務部門和集團公司進行檢查和指導。主任委員由總部常務董事擔任。
此外,各業務單位及主要營運集團公司均已設立資訊安全委員會,由各機構負責人擔任主任委員及個人資訊管理負責人。該委員會下設專員及檢查員,負責教育、安全區域措施、資訊系統措施等各項事宜。海外集團公司自2015年起也陸續設立了資訊安全委員會。
此外,DNP CSIRT),作為網路安全回應組織,以在發生不可預見的事件時維持業務連續性。
在這種管理推進體系下,DNP 正在推動資訊安全措施,這些措施基於三大支柱:組織措施、人員措施以及實體和技術措施。
指標和目標
基於“信息安全”的基本思想,DNP設定了優先解決的指標和目標值,並導衹持續的活動。
| 指標 | 目標值 | 2024年度實際業績 |
|---|---|---|
| ① 信息安全合規性評估的實施率 (2) 個人信息等重點對策實施部門的檢查和指導的實施率 (3) 信息安全教育和培訓的聽課率 (4) 互聯網公共網站的安全漏洞測試實施率 |
① 對事業部門、集團公司的實施率100% (2) 對對象部門的實施率100% (3) 對對象部門的聽課率100% (4) 對對象網站的實施率100% |
① 100% (87部門・公司) (2) 100% (66次) (3) 100% (聽講者數約45,000名) ※聽講者包括支援人員等 (4) 100% (實施數412個係統) |
戰略和風險管理
為了確保包括網路安全在內的信息安全,DNP從規劃和設計階段引入了“設計安全”的理唸,並制定了風險把握和響應計劃。因此,我們建立了有效響應的機制,並利用PDCA迴圈並不斷改進。
組織對策
完善公司內部規定和規則
關於個人信息保護,我們制定了個人信息保護政策和規定,並制定了DNP集團內具體標準的共同規則。關於信息安全,我們制定了信息安全基本政策和信息安全基本規則,並在此基礎上制定了文件管理,計算機使用,外部人員禁區,教育,網站,社交媒體等10項標準。關於新的威脅、風險等的應對,迅速通知、制定和修改規則,徹底周知。
管理體係的確立
Dai Nippon Printing Co., Ltd.於2008年7月獲得隱私標誌認證,證明其經營活動符合日本工業標準《個人資訊保護管理系統要求》(JIS Q 15001)。本公司致力於全面遵守法律法規,並積極推動符合該標準的管理體系的建立。此外,所有在業務活動中處理個人資訊的業務部門和集團公司都在積極申請隱私標誌認證和ISO/IEC 27001認證。
人的對策
通過人力資源開發加強信息安全
DNP持續開展以DNP集團員工為對象的教育和培訓,特別是對負責加強信息安全的人才的教育和培訓。另外,制作了包括日語在內的10國語言的教材,對全體員工進行徹底的教育。
此外,為了培養能夠在參與每個員工的正常工作的同時實現必要和充分的安全措施的“加安全人力資源”,在日本和海外擁有電子郵件地阯的約3萬人我們正在為DNP集團員工實施網路安全教育計劃。
推動行業對信息安全的承諾
為了提高整個印刷行業的個人資訊保護水平,我們派遣了具有先進專業知識的員工到日本印刷工業聯合會(一個綜合性法人團體)資訊安全部的個人資訊保護工作組,參與制定和製作個人資訊保護指南、問答、教育材料等。 (自 2004 年以來,我們專門指派了兩名員工到該工作小組工作。)
網路攻擊對策人員的實踐型培養
網路資安學院集團公司,已採用以色列航空航太工業公司(IAI)的「TAME Range」訓練系統。 IAI是一家總部位於以色列的公司,以色列是網路安全領域的領先國家。學院進行的講座和練習融合了各種案例研究,涵蓋從典型攻擊方法到最新安全事件的各個方面。
除了DNP集團的目標員工外,我們還為政府機構,信息通信,航空和電力行業等約390個組織的8,500多名安保人員進行了講座,培訓和各種演習,以及網路安全專家我們正在培養。(截至2025年5月)
2023年,對於企業的管理和管理,在互聯網上的虛擬空間/metaverse中,多個部門合作,在安全威脅事件 (事件) 發生時學習應急響應和組織間協作開發了“組織協作課程_metaverse練習”。
在本練習中,管理和管理層的四名成員負責事件發生時的通信指示等,分為每個角色 (角色),並在Metaverse中進行。您可以了解事件發生時應採取的行動以及組織合作的方式,而不受地點限制。
組織合作課程metaverse練習的圖像
組織合作課程Metaberse練習出勤圖像
物理和技術措施
個人信息處理部門的對策
在處理個人信息等的計算機處理室中,通過生物識別認證的入口和出口管理防止外部人員的入侵,通過安裝監控攝像機檢查欺詐行為,防止通過穿著沒有口袋的工作服取出數據等,我們正在實施諸如分離出口地點,使用金屬探測器進行檢查,獲取/確認訪問日誌,減少寫入數據存儲介質的工人數量等措施,並進一步加強管理。
使用IC卡員工卡的每個站點的對策
DNP正在推進使用IC卡員工卡的各種信息安全措施。我們正在增加使用員工卡進出大樓和工廠的安全門係統的引入基地。此外,通過在輸出多功能設備時需要通過員工ID卡進行身份驗證,我們增加了管理員可以在伺服器上集中管理使用日誌的功能。
衹力於信息的安全傳遞
為了防止員工在組外發送電子郵件時因錯誤發送而泄露信息,我們引入了一種防止錯誤發送電子郵件的工具,該工具具有確認收件人和暫時保留發送等功能。此外,我們運營一個係統,通過網路安全地與客戶公司交換個人信息。
漏洞分析
我們每年兩次對DNP集團運營的所有互聯網伺服器進行漏洞檢查,用於處理個人信息,並建立和運營更安全,更強大的網站。
我們還引入了評級服務,客觀地評估,分析和可視化各種數據中與網路安全相關的風險,並持續進行監控。
相關措施
應對網路攻擊
DNP CSIRT的回應
作為負責網路安全各個方面的協調組織,DNP CSIRT除了履行加強安全的基本職能外,還將在國內和國際上為整個集團開展以下活動。
- 可視化ICT基礎設施,根據安全漏洞信息實施對策指示並確認應用狀態
- 意外事件發生時的對策設計和熟練
- 發生意外事件時對組織的指導和幫助
- 關於網路安全的教育,練習和啟發
- 與內閣網路安全中心和日本公民委員會等外部組織的合作
- 網路風險保險的加入·適用
零信任網路部署
近年來,除了DX的推廣和外部雲的使用之外,企業活動和人們的生活正在迅速變化,例如由於新冠病毒而加速的遠程工作的引入。為了應對這些變化,DNP引入了“零信任網路”,這是一種“不信任任何東西”的安全理唸,以提高數字網路使用的安全性,加強互聯網訪問的安全性,我們加強了每個終端 (如伺服器) 端點的安全性。
我們將繼續掌握零信任的整體情況,加強訪問控制和漏洞管理,提高零信任的成熟度,例如建立一個24小時365天的監控係統,加強全球安全措施我正在努力。
針對目標攻擊郵件的對策培訓
有針對性的攻擊郵件已經存在了10多年,但最近郵件的內容變得更加復雜,成為國內外的主要威脅。另一方面,DNP每年培訓四次,包括海外集團公司在內的所有擁有公司電子郵件帳戶的員工。通過這種培訓,員工了解目標類型攻擊的特徵,學習如何在接收攻擊郵件時採取適當的對策,預先防止目標類型攻擊造成的損害,並最大限度地減少信息泄露等損害。
信息安全管理的全球發展
我們正在努力通過從每個海外基地單獨使用的係統轉移到最大限度地利用雲的通用係統來加強治理。通過這樣做,我們將遵守DNP集團在不同環境和文化的國內和海外基地的安全標準。
此外,為了促進海外集團公司的信息安全管理,我們獨立創建了包括日語在內的10種語言的教育工具,並在全球範圍內努力提高員工的信息安全素養。
Metavers“大都會警察局網路安全中心”
2023年,DNP在大都會警察局網路安全對策總部的“使用Metaverse進行培訓委托”下開設了“大都會警察局網路安全中心”。
本中心的開發目的是提高人們對網路安全的知識,提高應對威脅的能力,DNP將其設置在與株式會社AKIBA觀光協議會共同運營的Metaverse“虛擬秋葉原”內。
自2021年以來,DNP一直在開發“XR通信®”業務,該業務將真實和虛擬空間與XR (擴展現實) 技術相結合,以提升人們的體驗價值。無論時間和地點如何,該中心的用戶都可以根據自己的理解和目的繼續學習網路安全。通過該中心,DNP在提高大都會警察局和網路安全的認知意識的同時,為降低人們參與犯罪的風險和發展更安全,更安全的社會做出贡獻。
