情報セキュリティ information security
Basic Approach 基本的な考え方
当社は、フォトマスク製造を通じて「先端微細加工技術で革新的な未来を描く」(Mission)という使命のもと、顧客の信頼を最優先に、情報およびシステムを適切かつ安全に管理することを、経営上の重要課題と位置づけています。
IPOを経て独立した企業として、またグローバルに選ばれる企業を目指すうえで、情報セキュリティ管理およびサイバーセキュリティ対策の強化は不可欠であり、安心・安全な製品・サービスの提供を支える基盤の一つであると考えています。
当社の事業は、設計データや研究開発情報などの高度な機密情報に支えられており、これらを適切に保護することは、顧客の期待に応えるために不可欠です。
近年では、IoTの高度化やデジタル化の進展により、サイバー攻撃の脅威が増大し、情報漏えいのみならず、事業継続そのものが脅かされるリスクも高まっています。
こうしたリスクに対応するため、当社は「情報セキュリティ基本方針」および「プライバシーポリシー」を定め、技術的・組織的・物理的・人的観点から、統合的な対策を推進しています。
具体的には、アクセス制御の強化、ゼロトラストモデルの導入、監視およびインシデント対応体制の整備を進めています。
また、全従業員が情報セキュリティを自らの責任として認識し、グローバルで統一されたポリシーのもと業務を遂行できるよう、継続的な教育を実施しています。
さらに、サプライチェーン全体で高まる情報セキュリティリスクに対応するため、重要な情報を取り扱う委託先に対しても、セキュリティ調査を通じたリスク低減に取り組んでいます。
当社は、MVVに基づき、One Teamとして情報セキュリティ管理に取り組むことで、
企業活動を支える信頼基盤の強化を図ってまいります。
Information Security Management and Framework (Organizational Security Measures) 情報セキュリティ管理・体制 (組織的安全管理措置)
グローバルにて統一された方針に基づき、TPC Global-ISMS (Tekscend Photomask Corp Global Information Security Management System) を組織し、情報セキュリティ管理・運用を統合管理しています。
Implementation of Various Security Measures 各種安全管理措置の実施
施設管理 (物理的安全管理措置)
当社の施設には、各地域や各サイト、各エリアに定義されたセキュリティレベルに応じて、フラッパーゲート、監視カメラ、磁気センサー等の多様な物理的対策が装備されており、関係者以外の対地入りを制限しています。
Countermeasures Against Cyber Attacks (Technical Security Measures) サイバー攻撃対策 (技術的安全管理措置)
1. コーポレートセキュリティ
ランサムウェア等の企業を標的としたサイバー攻撃が高度化する中、原則として、※ ZTNA (Zero Trust Network Access) モデルを基本線に、グローバルにて、One Team として管理を行っています。
※ 従来型の境界防御に依存しないセキュリティモデル
(1) CSIRT の設置と運用
2024年度より、TPC-CSIRT (Computer Security Incident Response Team) を組織し、SOC (Security Operation Center) からのインシデントアラートや、外部からの脅威インテリジェンスに基づく脅威の分析と対応を主導しています。
(2) SOC の設置と運用
当社の保有するITシステムを常時監視し、外部からの侵入、内部不正を素早く検知し、TPC-CSIRT と連携することで、インシデントの未然防止、早期解決に向けた活動を支えています。
2. ファクトリーセキュリティ
工場ネットワーク (Operational Technology) は、お客様のデータや当社の重要技術情報を扱う最重要領域と考え、オフィス系ネットワークから分離し、厳重な管理を行っています。組織内規定に基づき、定期的な脆弱性診断を実施し、脆弱性の最小化に努めています。
3. AI セキュリティ
当社は、AI (Artificial Intelligence) の効果的な活用による新たな価値創造の大きな可能性を重要視するとともに、そのリスクに備え、公平な判断を保証するため、AI 活用に際しては、当社開発に際し、ISO 42001を規範とした AI ガイドラインを定め運用しています。
Information Security Training (Human Resource Security Measures) 情報セキュリティ教育 (人的安全管理措置)
全従業員を対象に情報セキュリティ研修を実施し、ルールの周知徹底や最新の重要事項の教育を行っています。
| No. | 教育名 | 頻度 | 概要 |
|---|---|---|---|
| 1 | 新入社員研修 | 年1回 | 定期採用時の共通教育 |
| 2 | 中途採用者研修 | 都度 | 中途採用者向け基礎研修 |
| 3 | 年次教育 | 年1回 | 基礎教育にタイムリーなアップデートを加えた共通教育 |
| 4 | 役割に応じた研修 | 都度 | 担当や役割に応じた教育 |
| 5 | メール攻撃に対する訓練 | 年複数回 | 疑似的なメール攻撃による耐性強化トレーニング |
個人情報・プライバシー情報の保護
各国、地域に定められた法令・規制に配慮し、適切に対応しております。
継続的改善
日々変化し、高度化してゆく情報セキュリティリスクに対応し、お客様に高度な製品を提供し続けるためには、当社自身が常に変化し、継続的に改善を行う必要があります。
当社では、以下のフレームワークを参照し、各種対策を立案・実行しています。
また、半期に1度、サイバーセキュリティレポートをまとめ、対策実施状況を可視化しています。
ISO 27001 (認証取得)
ISO 15408 (認証取得)
CMMC (認証取得予定)
ISO 62443
ISO 42001
NIST 800-61
NIST 800-171
NIST-CSF
サイバーセキュリティ経営ガイドライン
サプライチェーンリスクマネジメント
当社では、サプライチェーンを通じた情報セキュリティリスクの高まりを認識し、事業活動に影響を及ぼすリスクの低減に向けた取り組みを進めています。
具体的には、取引開始時において、取引先の事業内容や取り扱う情報の重要性を踏まえたリスクアセスメントを実施するとともに、機密情報の適切な取り扱いを目的とした機密保持契約(NDA)の締結を行っています。
今後も、サプライチェーンを構成する各社との適切な関係構築を通じて、情報資産の保護および安定した事業運営に努めてまいります。
終わりに
デジタル技術の進展とともに、情報セキュリティおよびサイバーセキュリティを取り巻くリスクは、常に変化し続けています。こうした環境下において、当社がこれまで築いてきた製品・サービスの価値を守り、社会からの信頼に応え続けるためには、技術的な対策にとどまらず、組織・人・プロセスを包括した継続的な取り組みが不可欠であると考えています。
当社は、MVVに基づき、グローバルに展開する各拠点がOne Teamとして連携しながら、情報セキュリティの在り方を常に見直し、改善を積み重ねていきます。
変化する脅威や事業環境、社会からの要請に柔軟に対応することで、情報セキュリティを「守りの施策」にとどめず、企業価値の向上と持続的成長を支える重要な経営基盤として強化してまいります。
今後も、安心・安全な製品・サービスの提供を通じて、お客様や社会との信頼関係を深め、持続可能な社会の実現に貢献していきます。