サイバーセキュリティ

野村グループでは、深刻化するサイバーセキュリティに対する脅威からお客様の情報、お客様の資産を守り、安心してお取引を行っていただくため、グループ危機管理委員会およびグループIT担当役員のリーダーシップの下、サイバーセキュリティ対策の継続的な強化を行っています。
対策にあたっては、金融庁が制定している金融商品取引業者等向けの総合的な監督指針や、米国国立標準技術研究所（NIST）の「Cybersecurity Framework」その他海外のフレームワークを参考にし、グループ・グローバルワイドでの包括的な取組みを進めています。
サイバーセキュリティ体制として、グループ危機管理委員会の事務局のもとに野村グループCSIRT （Computer Security Incident Response Team）を設置しています。
このほか、野村證券および野村グループ各社にもCSIRTを設置し、各社の業務・情報資産・システムを守る体制を構築しています。

NIST Cybersecurity Frameworkの定める5つの機能分類ごとに次のようなサイバー対策を推進しています。

識別（Identify）

• 経営ビジョンやリスクアペタイトを踏まえ、守るべき情報資産を明らかにし、グループ全体のガバナンス体制を整備しています。
• 脅威ベースペネトレーションテスト、第三者リスク評価などにより態勢の継続的な強化に努めています。
• 外部の委託先を含めたサイバーリスクの評価および対策を行っています。

防御 (Protect)

• 不正アクセスやコンピューターウイルスなどから防御するシステム的な対策を複数導入しています。
• 役職員の知見向上のための研修・訓練・注意喚起を定常的に実施しています。
• 金融ISACやサイバーセキュリティ専業ベンダーとのコミュニケーションを通じて攻撃者や攻撃方法に関する情報の収集・共有体制を構築しています。

検知 (Detect)

• 異常をタイムリーに検知するため、24時間365日の監視体制を整備しています。
• システムのログを収集・分析し、内部不正を含めた異常を検知する態勢を構築しています。

対応 (Respond)

• サイバーのインシデント発生に備え、お客様や関係機関、経営層に迅速に連絡する体制を整備しています。
• インシデント対応マニュアルを整備し、CSIRTを中心に原因分析、被害の最小化などの対応を実施しています。

復旧 (Recover)

• 業務継続計画やバックアップデータセンターを整備しています。
• システムの切り替え訓練、サイバー演習を通じて、業務・システムの速やかな復旧に備えています。