1. 経営課題としての位置づけ
当社は、サイバーセキュリティの確保を、単なるIT部門の課題ではなく、企業の存続と成長に関わる「経営の最重要課題」の一つと位置づけます。 経営陣は、自らが主導してリソースの適切な配分を行い、組織的な防御態勢の構築と維持に責任を持ちます。
2. サイバーセキュリティ管理体制の構築
当社は、サイバー攻撃への備えおよび発生時の迅速な対応を行うため、最高情報セキュリティ責任者(CISO)を設置するとともに、 専門チームである「WKTK-CSIRT(Computer Security Incident Response Team)」を整備します。 平常時の監視から有事の初動対応、復旧に至るまで、組織横断的に迅速に機能する体制を維持します。
3. NISTサイバーセキュリティフレームワークへの準拠
当社は、米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)を参照し、以下の5つの機能に基づいた対策を講じます。
- 特定 (Identify):AIモデル、学習データ、システム資産、およびサプライチェーン上のリスクを継続的に特定・評価します。
- 防御 (Protect):多層防御の考え方に基づき、ゼロトラストアーキテクチャの採用、脆弱性管理、従業員教育等の予防措置を講じます。
- 検知 (Detect):セキュリティ監視システム(EDR/SIEM等)を活用し、サイバー攻撃の兆候を早期に検知します。
- 対応 (Respond):インシデント発生時は、WKTK-CSIRTを中心に被害拡大の防止と原因究明を迅速に行います。
- 復旧 (Recover):事業継続計画(BCP)に基づき、影響を受けたシステムやサービスを安全かつ短期間に復旧させる手順を整備します。
4. AIシステム特有の脅威への対策
AI開発企業として、従来のサイバー攻撃に加え、AIシステム特有の脅威(学習データへの毒入れ攻撃、プロンプトインジェクション、モデルの窃取等)に対しても、 最新の研究知見に基づいた高度なセキュリティ対策を実装します。
5. サプライチェーンセキュリティの確保
当社は、業務委託先やクラウドサービス提供者、AIモデル提供者を含むサプライチェーン全体のリスク管理を行います。 委託先に対しては当社と同等のセキュリティ水準を求め、定期的な評価・監査を通じて安全性の確保に努めます。
6. 情報開示と連携
万が一、サイバー攻撃による被害が発生した場合、またはそのおそれがある場合は、関係機関への報告を行うとともに、 お客様および社会に対して迅速かつ透明性のある情報開示を行います。 また、JPCERT/CCやセキュリティ専門機関との連携を強化し、最新の脅威情報の収集・共有に努めます。
7. 継続的な改善
サイバー攻撃の手口は日々高度化・巧妙化しています。当社は、定期的な演習や監査を実施し、 本ポリシーおよび関連する対策手順を継続的に見直し、サイバーレジリエンス(回復力)の向上に努めます。