商工中金グループでは、サイバー攻撃に関するリスクを最重要のリスクの一つとして位置づけており、経営主導によるサイバーセキュリティ対策を継続的に推進していきます。

サイバーセキュリティ経営宣言の詳細につきましては、こちらをご参照ください。

サイバー攻撃に関するリスクは、情報セキュリティの専門組織を設置し、一元的に主管させるとともに、主観する役員を明確化し、経営主導による管理体制をしています。

また、サイバー攻撃によるインシデントの発生状況や脅威動向、ならびにサイバーセキュリティ対策の整備状況等については、取締役会等において定期的に報告され、サイバーセキュリティ対策の方針について議論しています。

商工中金グループでは、組織を横断したサイバーセキュリティの対応チームとしてCSIRT（Computer Security Incident Response Team）を設置しています。CSIRTは、金融ISAC等各種団体とも連携し、サイバー攻撃の手口や新たな脆弱性に関する情報を収集のうえ、サイバー攻撃による被害発生の抑止対策を行っています。

また、サイバー攻撃手法ごとの対応手順の制定やコンティンジェンシープランの見直し等を実施し、有事への備えを講じています。

商工中金グループでは、サイバー攻撃への対応態勢について定期的に第三者による成熟度評価を実施し、課題の特定および改善を図り、対応態勢全体の継続的な強化を行っています。

加えて、定期的に脆弱性診断やペネトレーションテスト（実際にサイバー攻撃手法を用いてシステムに侵入するテスト）を実施し、システムの脆弱性の特定および改善を行うことで、セキュリティ対策の維持・強化に努めています。

不正アクセスや大量アクセス等、さまざまなサイバー攻撃に対して、多層的な防御対策による、不審通信の検知・遮断を行っています。また、サイバー攻撃に関する分析・検知を行う専門知識であるSOCを設置しており、24時間365日の監視体制を確立しています。

サイバー攻撃によるインシデントの発生に備え、定期的にCSIRTを中心としたサイバー攻撃への対応訓練を実施しています。訓練には経営層も参加し、商工中金グループ全体での対応力の強化に努めています。

商工中金グループでは、サイバーセキュリティに関する専門人財を確保するため、積極的なキャリア採用を行うとともに進めるとともに、IT子会社との人財ローテーションや資格奨励制度等による人財育成に努めています。

経営層、全社員を対象として、定期的にeラーニングや標的型攻撃メール訓練を実施しており、サイバーセキュリティに関する知識の向上を図っています。

また、経営層においては、サイバーセキュリティにおいて経営層に求められる責任と役割やサイバー攻撃によるインシデント発生時の対応に関する勉強会を実施し、サイバーセキュリティに関する知見の向上を図っています。