情報セキュリティGovernance：ガバナンス

情報セキュリティ方針

佐川急便は、情報資産を守ることは社会的責務であると考えています。ＳＧホールディングスの「情報セキュリティ基本方針」「個人情報保護方針」に基づき、情報セキュリティの強化に取り組んでいます。

情報セキュリティ基本方針

佐川急便は、経済社会の発展を担うとともに広く社会にとって有用な企業を目指すため、お客さまからお預かりした情報資産を含む当社の情報資産を守ることが社会的な責務と考え、ＳＧホールディングス株式会社の定める情報セキュリティ基本方針（以下「本基本方針」という）に基づき、情報セキュリティの維持・管理に取り組みます。

社内規程の整備・実施

当社は、本基本方針に基づいて、情報セキュリティ規程その他諸規程を整備し、情報セキュリティ施策を実施します。

情報セキュリティ管理体制の整備

当社は、情報セキュリティに関する管理体制を整備するとともに、必要に応じて外部機関等と連携する体制を構築し、運用します。

情報セキュリティ施策

当社は、適切な情報セキュリティ施策を講じ、情報資産に対する改ざん、紛失、漏えい、不正な侵入その他利用妨害等が発生しないように努めます。

継続的な教育の実施

当社は、役員および従業員等に対し本基本方針の周知徹底に努め、情報セキュリティに関する必要な教育を継続的に実施します。

事故への対応

当社は、万が一、事故が発生した場合、その原因を速やかに究明し、被害の拡大を防止するとともに、再発防止対策を実施します。

法令等の遵守

当社は、情報セキュリティに関する法令および社内規程等を遵守します。

情報セキュリティ活動の評価・見直し

当社は、情報セキュリティが適切に運用され、維持管理されていることを定期的に見直し、必要に応じて改善措置を実施します。

情報セキュリティ対応

情報セキュリティでは、インシデント発生時に迅速な対応をするだけでなく、インシデントを未然に防⽌する活動と再発を防⽌するための改善活動を実施しています。この活動により、ＳＧホールディングスグループのセキュリティレベルを継続的に向上させることが可能となります。

概要

セキュリティインシデント対応への⽀援体制の構築と情報収集

目的	インシデント発生時から終結までをSGH-CSIRT（シーサート）とともに被害最小化を図る。
実施内容	平常時の予防活動 SGH-CSIRT（ＳＧホールディングスグループCSIRT）の活動脅威情報の収集／影響調査 CSIRTの業務プロセス、手順、ルール、規程整備ナレッジ蓄積整備外部組織との連携日本CSIRT協議会、JPCERT/CC早期警戒情報、内閣サイバーセキュリティセンター（NISC）、IPAサイバー情報共有イニシアティブ（J-CSIP）、交通ISAC インシデント対応時のログ分析などに利用するサーバ環境を維持管理インシデント対応／インシデント再発防止策の提案サイバー攻撃に対する被害の極小化 CSIRTの業務プロセス、手順、ルール、規程整備マルウェア解析対応時間 24時間365⽇ …緊急を要する攻撃

目的

インシデント発生時から終結までをSGH-CSIRT（シーサート）とともに被害最小化を図る。

実施内容

平常時の予防活動
SGH-CSIRT（ＳＧホールディングスグループCSIRT）の活動

脅威情報の収集／影響調査
CSIRTの業務プロセス、手順、ルール、規程整備
ナレッジ蓄積整備
外部組織との連携
日本CSIRT協議会、JPCERT/CC早期警戒情報、内閣サイバーセキュリティセンター（NISC）、IPAサイバー情報共有イニシアティブ（J-CSIP）、交通ISAC
インシデント対応時のログ分析などに利用するサーバ環境を維持管理

インシデント対応／インシデント再発防止策の提案

サイバー攻撃に対する被害の極小化
CSIRTの業務プロセス、手順、ルール、規程整備
マルウェア解析
対応時間
24時間365⽇ …緊急を要する攻撃

セキュリティロードマップに基づく施策の検討

目的	セキュリティロードマップの施策を最新の脅威や情勢を反映し優先度を考慮して最適化する。
実施内容	セキュリティ対策ロードマップに基づき、2021年度の施策を検討

標的型訓練メール

目的	グループ従業員に対しメールによる脅威の認知、対応訓練を定期的に⾏うことで、マルウェア感染リスクの低減および、グループネットワークのセキュリティ向上を図る。
実施内容	年に2回実施社会情勢なども⾒据え、随時内容を更新開封者の上⻑連絡も含めた訓練の検討役職、部署などで分析開封率の⾼い部署・個⼈へはアンケートや、個別教育の検討 Eラーニング、セキュリティブックの読み合わせ