野村グループでは、深刻化するサイバーセキュリティに対する脅威からお客様の情報、お客様の資産を守り、安心してお取引を行っていただくため、グループ危機管理委員会およびIT統括責任者(CIO)のリーダーシップの下、サイバーセキュリティ対策の継続的な強化を行っています。
対策にあたっては、金融庁が制定している金融商品取引業者等向けの総合的な監督指針や、米国国立標準技術研究所(NIST)の「Cybersecurity Framework」その他業界全体のフレームワークを参考にし、グループ・グローバルに渡る戦略的なプログラムの取組みを進めています。
サイバー・インシデント管理の体制として、グループ危機管理委員会の事務局のもとに野村グループCSIRT(Computer Security Incident Response Team)を設置しています。このほか、野村證券および野村グループ各社にもCSIRTを設置し、各社の業務・情報資産・システムを守る体制を構築しています。
NIST Cybersecurity Frameworkの定める5つの機能分類ごとに次のようなサイバー対策を推進しています。
- 経営ビジョンやリスクアペタイトを踏まえ、守るべき情報資産を明らかにし、グループ全体のガバナンス体制を整備しています。
- 脅威ベースペネトレーションテスト、第三者リスク評価などにより態勢の継続的な強化に努めています。
- 外部の委託先を含めたサイバーリスクの評価および対策を行っています。
- 不正アクセスやコンピューターウイルスなどから防御するシステム的な対策を複数導入しています。
- 役職員の知見向上のための研修・訓練・注意喚起を定常的に実施しています。
- 金融ISACやサイバーセキュリティ専業ベンダーとのコミュニケーションを通じて攻撃者や攻撃方法に関する情報の収集・共有体制を構築しています。
- 情報セキュリティに係るフレームワークである独立した外部監査を受けています。
- 異常をタイムリーに検知するため、24時間365日の監視体制を整備しています。
- システムのログを収集・分析し、内部不正を含めた異常を検知する態勢を構築しています。
- サイバーのインシデント発生に備え、お客様や関係機関、経営層に迅速に連絡する体制を整備しています。
- インシデント対応マニュアルを整備し、CSIRTを中心に原因分析、被害の最小化などの対応を実施しています。
- 役職員が機器の異常な挙動や不審な事案に気づいた際の対応・報告手順を周知しています。
- 業務継続計画やバックアップデータセンターを整備しています。
- システムの切り替え訓練、サイバー演習を通じて、業務・システムの速やかな復旧に備えています。
野村グループでは、「野村グループ情報セキュリティ基本方針」を定め、情報資産の適切な保護を図っています。この基本方針に則り、グループ各社はそれぞれ情報セキュリティ関連規程を整備しています。これらの情報セキュリティ関連規程では、情報資産における情報セキュリティの適切な確保を図ることを目的に、以下を含む情報資産及び情報セキュリティに関する基本原則について定めています。
- 情報セキュリティを適切に確保するためのガイドライン等の制定及びその周知徹底と教育、情報の取扱状況に関する点検・検査及び是正対応
- 情報資産の機密性・完全性・可用性の維持
- 不正が疑われる異常な記録のモニタリング
- 情報問題発生時の迅速な調査及び対応
- 情報資産の取り扱い及び情報管理に関する役員及び社員等の責任
- 個人情報の取り扱いを第三者に委託する際の情報セキュリティの確保
なお、2024年度の重大な情報漏洩事案件数は0件でした。情報セキュリティに関する重大な事案が発生した場合には、調査のうえ、ホームページ等を通じ、速やかに公表します。
