キンドリルにおけるサイバーセキュリティ

アクセス制御ポリシー

• ユーザーアカウント管理、アクセスの制御と監視、職務の分離、リモートアクセスなどに伴うリスクに対応するためのアプリケーションやシステムの全てに対してアクセス制御ポリシーを制定します。

ユーザーアクセス管理 

• アクセス権をNeed-To-Knowの原則に応じて割り当てます。特権アクセスについては、細心の注意を払い、必要最小限の権限で割り当てます。従業員または協力会社社員がアクセス権を持つ必要がなくなった場合、権限を速やかに削除します。アクセス権および特権は、継続的なビジネスニーズを確認するために、定期的に見直します。

アプリケーションとシステムへのアクセス制御

• アプリケーションやシステムへのアクセスを制御するために、多要素認証を含む安全なログオン手順を使用します。

• 情報の機密性や区分などのリスク基準に応じて暗号化を行います。
• パブリックおよびプライベートネットワーク上のデータ転送およびアプリケーションやシステム上に保管されたデータを暗号化により保護することで、脅威を軽減します。
• 暗号鍵についてライフサイクル全体を通して保護・暗号化します。

• 運用手順を整備し、関係者がいつでも見られるようにする。
• 運用手順には、必要に応じて次のものが含まれます：
  アプリケーションやシステムのインストール、設定、サービス開始および廃止
• 認証・認可
• メンテナンスとバックアップ
• 自動および手動による情報の取り扱い
• 問題の判別と対応
• ログの取得と監視
• サポートおよびエスカレーションの窓口への連絡方法
• セキュリティインシデント対応
• セキュリティ検査
• 脆弱性とパッチの管理

以下の目的でネットワークを設計・運用します：

• キンドリルネットワークへのアクセスを許可された関係者に制限する
• 侵入や破壊などの外的脅威による侵害に対し弾力的に対応する
• キンドリルネットワーク上のシステムおよびアプリケーションの情報を保護する

インフラ資産は、公共利用を目的とするものを除き、アクセス制限された場所に設置します。

以下のような目的で、エリアの施錠や物理保護対策などのリスクベースのアクセス制限を必要に応じて実装します：

• 許可された個人のみにアクセスを許可
• 停電時の物理的なセキュリティの確保
• アクセスログの管理

サプライヤーの評価は、ビジネス要件とセキュリティ要件を満たす能力に基づきます。サプライヤーは、認証や第三者による証明書などを通じて、セキュリティとプライバシーの管理を実証する必要があります。

キンドリルは、従業員および外部要員がキンドリル業務の遂行やキンドリル内のネットワークに接続するために使用されるワークステーションやモバイルデバイスに対するセキュリティと利用基準を確立しています。これらの基準は、データおよびIT資産を損失、変更、または破壊から保護することを目的としています。キンドリルの社内ポリシーは、ワークステーションやモバイルデバイスを保護するために、従業員の取るべき最も重要不可欠なステップをまとめたものです。さらに、キンドリルの機密情報を保護するための従業員の責任を説明し、セキュリティと適切な利用に関する要件を定めています。

物理セキュリティ

キンドリルの従業員には、ワークステーション、モバイルデバイス、作業エリアの物理的なセキュリティの維持を徹底させるとともに、移動中についてもセキュリティを維持させるための具体的なガイダンスを提供しています。

論理セキュリティ

情報およびシステムを保護するために個人と役割の両方のレベルでアクセス管理が必要となります。パスワードを定期的に変更し、パスワードの複雑性に関する基準に準拠することが求められています。

安全性を保つ使用方法と教育

キンドリルは、情報資産の安全な利用について、従業員への指導・教育を行っています。さらに、従業員がセキュリティリスクを理解し、ITポリシーを遵守できるよう、毎年のITセキュリティ教育を義務付けています。また、従業員はキンドリルの倫理と誠実性に関する教育を受けています。従業員にキンドリルの倫理基準を遵守させ、データセキュリティと機密保持のポリシーに従ってビジネスを行うよう徹底しています。従業員は、違法行為や非倫理的行為を報告することが求められています。従業員は、採用時およびその後毎年、雇用の条件として、その倫理・誠実性に関して明記された基準を理解し、遵守することに同意することが求められています。

インシデントの報告

キンドリルは、ITセキュリティ及びデータのインシデントに関する報告するための、グローバルでアクセス可能なセキュリティ・インシデントの報告及び緩和・軽減対策のシステムを保有しています。

このシステムへの報告により、特別な訓練を受けた従業員からなる24時間、週7日間、365日体制のチームが対応を開始し、必要に応じてビジネスチームやその他の専門家と協力しながら、解決に至るまでインシデントを管理します。

キンドリルは、全従業員に対し、疑わしい行為の認識、回避、報告に関するトレーニングを含む、自社用にカスタマイズされたサイバーセキュリティに関する研修を毎年必須で受講させます。CISO（最高情報セキュリティ責任者）を中心とする組織は、携帯電話の紛失、ノートパソコンを狙うマルウェア、フィッシング事件や電子メールの誤送信など、さまざまなセキュリティインシデントの可能性を従業員などが報告できるよう、さまざまな仕組みを用意します。CISOでは、定期的にフィッシングのシミュレーションを行い、従業員が電子メールベースの脅威を認識し、適切に対処できるよう訓練を実施します。

セキュリティオペレーションセンター（SOC）は、キンドリルのネットワークとシステムに対する脅威を監視しています。内部の脅威を特定し、監視し、対処するために、SOCはさまざまな脅威に関する情報源を参照しています。また、SOCは、高度な検知・対応技術を広範に配備しています。

SOCに加え、脅威インテリジェンス、脅威ハンティング、侵入テスト、修復を専門に行うチームもあります。これらのチームは、脅威となるキャンペーンを特定し、キンドリルのネットワークとシステム内の疑わしい振る舞いを検知し、セキュリティ態勢の脆弱性を悪用される前に特定し、フォローアップの修復を確実に遂行するために連携しています。これらのチームは、SOCやCSIRTチームとも連携し、モニタリングの強化やインシデント調査の支援を行っています。

キンドリルは、全世界のサイバーセキュリティインシデントに対処できるよう、包括的なインシデント対応プロセスを採用しています。このプロセスは、インシデントに対応する際のエンドツーエンドの手順と各ステークホルダーへの説明責任を明確化しています。また、この進化する領域で得られている教訓を活かすために、このプロセスを定期的に見直し、アップデートしています。

サイバーセキュリティインシデント対応チーム（CSIRT）とサイバーリーガルで構成されるチームが定期的に会合し、新規および過去に報告されたインシデントに関する情報を評価しています。インシデントは、評価、調査、改善のために適切な担当者に委任されます。インシデント対応には、案件の性質に応じて、CSIRT、サイバーリーガル、CISOおよび各種CISOチーム、チーフプライバシーオフィサー、人事、調達、チーフ会計責任者、及びコーポレートセキュリティが、ゼネラルカウンセルおよびサイバーセキュリティ担当のSVP（シニア・バイス・プレジデント）と協議の上、参加する場合があります。

キンドリルのCSIRTは、インシデントレスポンダーとフォレンジックアナリストで構成されています。サイバーセキュリティインシデントの適用範囲は以下の通りです：

• キンドリルが保有または管理するデータ、情報技術資産、システムに対し、セキュリティ侵害の可能性や疑いがある場合
• お客様のデータまたは情報技術資産およびシステムへの侵害の疑いで、キンドリルの従業員、システム、製品またはサービスが関与している可能性がある場合

キンドリルのITセキュリティ管理体制は、米国国立標準技術研究所（NIST）や国際標準化機構（ISO）など、いくつかの業界セキュリティ標準やフレームワークを遵守しています。キンドリルのセキュリティおよびプライバシーポリシーと基準は、フレームワークやその他の内部監査および外部監査を必要に応じて組み合わせて、定期的にレビューされています。

キンドリルでは、全社的な情報セキュリティ戦略、方針、基準、アーキテクチャ、プロセスを専門に取り扱うCISO（最高情報セキュリティ責任者）のチームがあります。

サイバーセキュリティガバナンス委員会は、キンドリルのサイバーセキュリティリスクの管理監督と指示を行います。サイバーセキュリティリスクを管理するため、キンドリルのガバナンス体制を整え、サイバーセキュリティ事件および再発防止策を見直します。

キンドリルの取締役会では、サイバーガバナンスプロセスを監視し、社内外のサイバーセキュリティリスクの特定・管理・改善、脅威情報、新たなグローバルポリシー、規制、サイバーセキュリティ技術、サイバーセキュリティ課題やインシデント等を把握します。