コマツでは、情報セキュリティの脅威が年々高度化・巧妙化していることを認識し、グループ全体で管理体制の構築、情報資産の保護、システムのセキュリティ強化、ネットワークおよびシステムの監視、社員の教育・訓練等に関する方針を明確にし、情報セキュリティレベルを向上させるための活動を実施しています。
なお、2024年度においては、事業に重大な影響を与えるようなインシデントはありませんでした。
コマツはサイバー攻撃に対する対応能力を含む情報セキュリティの組織的な体制を整備・運用するため、全世界の拠点を対象としたCSIRT(Computer Security Incident Response Team)をグローバルで運用しています。CSIRTは、情報収集や各種システム対策、社員教育などを通じて情報セキュリティインシデントそのものが発生しないようにするための平時の活動の推進および、万が一情報セキュリティインシデントが発生した場合に迅速に対応し被害を最小限に抑え、早期にシステムを復旧させることを目的としています。また、グローバルの各地域にSOC(Security Operation Center)を設置しており、システムやネットワークを監視しています。
サイバー攻撃は初動対応が極めて重要であることから、社員向けに専用の通報窓口を設けるとともに、SOCによる異常兆候の検知体制を整備しています。これらを通じてCSIRTが速やかに通報を受領し、初動対応から原因調査、再発防止策の策定に至るまで一貫して対応を主導します。また、万が一重大なインシデントが発生した場合には、社長および取締役を含むリスク管理委員会に速やかに報告し、経営判断を踏まえた適切な対応ができる体制を整えています。
また、サイバー攻撃は事業継続に重大な影響を及ぼすリスクが高いため、インシデント対応マニュアルの整備および定期的なサイバーBCP訓練の実施によって、有事の際にも事業を継続できるよう対応力の強化に取り組んでいます。
上記に加え、工場の生産活動の継続性を支える情報セキュリティ体制として、各生産工場にFSIRT(Factory Security Incident Response Team)を設置しています。FSIRTは、工場ネットワークや生産設備に対するサイバー攻撃への対応体制を整備するとともに、訓練の実施を通じて現場対応力の強化を図っています。万が一工場において情報セキュリティインシデントが発生した場合には、FSIRTとCSIRTが連携して、被害の最小化と早期の生産再開のため対応します。
さらに、近年の製品におけるセキュリティの重要性の高まりをうけ、お客様に安全な製品を提供し続けるため、企画・設計段階からセキュリティを組み込む「セキュア・バイ・デザイン」の考え方を推進しています。併せて、製品の脆弱性に関する情報の適切な管理や、脆弱性発見時の対応プロセスの整備にも取り組んでおり、製品ライフサイクル全体を通じたセキュリティを確保しています。
これらの取り組みはリスク管理委員会への定期報告、および重要事項については取締役会にも報告することにより、経営層による監督のもと、適切にコマツグループの情報セキュリティを管理しています。
個人情報や機密情報を含む会社の情報資産を適切に保護するため、情報を重要度に応じて格付け・分類し、保管場所のアクセス制限やデータの暗号化などのセキュリティ対策を実施し、適切に管理しています。
特に、お客さま、取引先、社員等の個人情報を適切に保護することはコマツが事業を行う上で不可欠な取り組みであると認識し、「グローバルプライバシーポリシー」 を策定し、遵守しています。また、eラーニングや内部監査などを通じて適切な取り扱いを徹底しています。
海外においても欧州一般データ保護規則(GDPR)の対応など、各国・地域の法令および社会的な要請に合わせた個人情報の保護に取り組んでいます。
外部からの不正侵入やコンピューターウイルス感染などのサイバー脅威による情報漏えいを防止するため、多層防御(Defense in Depth)の考え方に基づいたシステム対策を実施しています。とくに、テレワークを含む社外からのアクセスにおいては、多要素認証(MFA)と端末認証(デバイス認証)を組み合わせたアクセス管理を導入しており、本人認証に加えて、業務で許可された端末からのみ接続を可能とする仕組みにより、不正アクセスのリスクを低減しています。
また、サイバーリスクの早期発見と対応力の向上に向けて、以下のような継続的な取り組みを行っています。
まず、脆弱性診断については、公開サーバーおよび社内の重要システムを対象に、月に1回の定期スキャンを実施しています。スキャン結果は管理台帳により可視化および一元管理されており、識別された脆弱性については、システム主管部門が優先度に応じて対応しています。
次に、侵入テスト(ペネトレーションテスト)については、外部の専門ベンダーに委託し、年に1回から2回の頻度で実施しています。テストの仕様や評価範囲についても適宜見直しを行い、継続的な改善を図っています。
これらの取り組みによって、サイバー攻撃の兆候を早期に検知し、適切に分析・対応できる体制の強化を進めています。
コマツでは、情報の適切な取り扱いを全社員が実施すべき行動基準として明記しており、全社員が情報の適切な保護・管理に取り組んでいます。情報セキュリティは、組織的・システム的な対策だけでなく、社員一人ひとりの主体的な取り組みも不可欠であるため、基本動作の徹底や知識レベルの向上を推進するとともに、万が一事件・事故が発生した際には、CSIRTへの迅速な報告を義務付けています。これらの知識や適切な行動については、全社員を対象とした定期的なeラーニングを通じて定着を図っています。また、標的型攻撃メールを模した訓練を年数回実施しています。
これらのeラーニングや訓練は日本国内だけでなく、海外現地法人に対しても実施しており、グローバル全体での情報セキュリティレベルの向上に取り組んでいます。
情報セキュリティに関する監査を実施することで、コマツグループ全体の情報セキュリティレベル向上に取り組んでいます。専門知識を有するコマツ社員が監査および助言をすることにより有効性を高め、また直接の利害関係がない第三者として実施することで独立性と公平性を確保しています。
コマツは自社およびグループ会社のみならず、当社の業務上の機密情報を共有する代理店や協力企業各社に対しても、当社の情報セキュリティ方針に沿った管理対応をお願いするとともに、継続的かつ有効な支援を講じております。代理店や協力企業各社に対し、情報機器等のシステム対策や情報の適切な管理方法について、チェックリストを用いた定期的な確認やヒアリングの実施および当社指定の情報セキュリティ教材の使用も推奨しています。これらの活動を通じて、業務上の機密情報の扱いや安定した事業継続についてすべての関係者と適切な情報システム管理の必要性を共有し、リスク低減を図っています。