Siemens Industry Software Inc.とその関連会社 (SISW) は、効率的にリスクを軽減するガバナンスのフレームワーク、ガイドライン、ガイダンスを遵守しています。
サイバーセキュリティは、企業や社会にとって、未来に影響を与える最も重要な問題の1つです。これは、組織が重要なインフラストラクチャおよび機密情報を保護し、ビジネスの継続性を確保するための重要な前提条件です。シーメンスの戦略的目標の1つであるデジタル・トランスフォーメーションは、データセキュリティとコネクテッド・システムの支えがあって初めて成功します。サイバーセキュリティはお客様に多大な影響を与え、多くの国際法および国内法や規制で義務付けられています。そのため、サイバーセキュリティは、シーメンスの最優先事項です。
Siemens Industry Software Inc.およびその関連会社 (SISW) のサイバーセキュリティ組織は、SISWの製品、ソリューション、サービスに存在する、またはSISWの製品、ソリューション、サービスによって処理されるお客様の情報を保護するよう努めています。これを実現するには、このような製品、ソリューション、サービスが、脅威検出操作や攻撃対象領域の縮小などのサイバー防御のベストプラクティスを含む、製品とソリューションのセキュリティに関して一般的に受け入れられているエンジニアリング手法を満たしていることを保証する必要があります。
高レベルの責任
サイバーセキュリティの重要性を考慮し、SISWの最高情報セキュリティ責任者 (CISO) は、SISWのCEOの直属であり、シーメンスのグローバル最高サイバーセキュリティ責任者を通じて報告します。
シーメンスのコーポレート・サイバーセキュリティ部門とSISWサイバーセキュリティ部門は、お客様とシーメンスの他の事業体の利益のために、信頼できるパートナーとして緊密に協力しています。シーメンス全体のセキュリティ専門家は、テクノロジーの開発と採用、社内ネットワークの活用、同業他社との協議を通じて、明確で包括的な説明責任を通じてシーメンスのレジリエンスを日常的に向上させています。われわれは、サイバーセキュリティのあらゆる側面において、当事者意識の文化に支えられています。これらすべてが自社、顧客、そして社会全体を守るための幅広い基盤を築いています。
シーメンスでは、いくつかのセキュリティ証明書とコンプライアンスを満たすためのプロセスと制御を実施しています。詳細については、システム証明書のページをご覧ください。
ISO 27001/17/18認証
ISO 27001は、情報セキュリティ・マネジメント・システム (ISMS) のベストプラクティスを記述した国際規格です。
ISO 27001の認証と認定取得は、シーメンスの組織が情報セキュリティ (IS) のベストプラクティスに従っていることを示しています。また、ISが国際的な慣行とビジネス目標に沿って管理されていることを独立した専門家が検証します。
SISWの情報セキュリティへの取り組みは、以下にリストされているISO 27001証明書および補遺27017および27018によって証明されています。
ISO 27001
ISO 27017
ISO 27018
シーメンスは、セキュアなクラウド・コンピューティングのベストプラクティスを専門とする世界有数の組織であるCSAを支援しています。シーメンスはCSAから「信頼できるクラウド・プロバイダー」として認定されており、SISWの製品はCSAのセキュリティ、信頼、保証、リスク (STAR) レベル1を達成しており、CSAのセキュリティ・プラクティスとの整合性が確認されています。
SISWの詳細な評価は以下から確認できます
Cyber Essentials Plus (CE Plus) は、最も一般的なサイバー攻撃から組織を保護するために英国政府が支援するスキームであるCyber Essentialsの実装を、第三者が検証するものです。
SOC 2®は、セキュリティ、可用性、処理の整合性、機密性、またはプライバシーに関連するService Organization Controlの評価です。
SISWのSOC 2®報告書は、お客様に詳細な情報と保証を提供することを目的とした認定済みの証明であり、サービスの提供と顧客データの処理に関わるすべてのシステムのセキュリティ、可用性、および処理の整合性に関連するSISW内の管理に関する報告書です。また、SISWシステムが処理する情報の機密性とプライバシーも確認されます。
SOC 2®レポートは、SISWの営業担当者を通じて要求でき、適切な機密保持/秘密保持契約が締結された後に利用可能になります。
SOC 3® Trust Services Report for Services Organizationsは、一般に使用されるレポートの基準となります。
SOC 3®報告書は自由に配布でき、セキュリティ、可用性、プライバシーに関する保証を必要としているが、SOC 2®報告書に含まれる情報を効果的に適用できないユーザーの知識格差を埋めるために作られました。SOC 3®報告書は、SOC 2®報告書の詳細な情報が必要ない場合のユーザーやユースケースにも十分です。
SOC3レポート - Siemens Industry Software, Inc.'s Xcelerator as a Service Enterprise Core
SOC3 レポート - Siemens Industry Software, Inc.'s Cloud Application Services (CApS) 製品
SISWは、シーメンスのサイバーセキュリティ・ポリシー・フレームワークのビジョンに適合する情報セキュリティ・マネジメント・システム (ISMS) を確立し、SISWがサイバーセキュリティに対する顧客の期待に応え、上記の認証と証明の要件を満たすことを可能にするポリシー、管理、および責任の委譲を規定しています。
ISMSの中核となるSISW情報セキュリティ・プログラム・マニュアルには、SISWの製品や関連サービスに関する情報セキュリティ・プログラムに対する管理手法が規定されています。このマニュアルには、情報リソースの機密性、完全性、可用性、およびプライバシーを提供する情報セキュリティ・ガバナンス・プログラムを確立および維持するためのSISWのアプローチが述べられています。
また、ISMSは、SISW情報セキュリティ評議会 (ISC) のガバナンスの下で、情報セキュリティ・プログラム、プログラムの目的、およびプログラムの実施へのコミットメントを確実にするために、一連のポリシーを策定しています。
SISWの製品、ソリューション、およびサービスには、重要なソフトウェアおよびIT関連コンポーネントが含まれており、急速に発展する規制セキュリティ要件の対象となる可能性があります。
シーメンス全体のPSSイニシアチブは、シーメンスが販売する製品、ソリューション、サービスによって、お客様が安全な環境でプロセスを実行できるようにするために設立されました。SISWは、各製品ラインに製品およびソリューション・セキュリティ・オフィサー (PSSO) を割り当て、このイニシアチブが開発サイクル全体を通じて実装および監視されていることを確認します。
この目的のために、PSSの拘束力のある要件と実装に関する推奨事項がシーメンス社内で整備されています。継続的な改善と学習は、PSSの実現を成功させるための基本的な前提条件です。
従業員のなかで共通の意識を生み出すことは、サイバーセキュリティの取り組みを確実に遵守し、高いレベルのセキュリティと安全性を維持するために重要です。これは、リスクを意識した文化を醸成し、組織全体の個人に継続的なトレーニングと教育の機会を提供することを意味します。
シーメンスSISWは、従業員に次のような学習と能力開発のための活動と手段を提供しています。
・ サイバーセキュリティのトピックに関する情報を従業員に提供するための 必修のグローバル意識向上キャンペーン。このトレーニング・セッションは、Webベースで、バリアフリー、多言語です。また、役割別グループ向けの「運転免許証」研修も実施しています。この必須トレーニングにより、各グループはシーメンスのセキュリティガイドラインを適用できます。
・ PSSO向けのSISWで必修のセキュリティ・トレーニングと、開発者向けのクラウド・セキュリティに特化したトレーニング (コンテンツの作成に関与する開発者のため) が追加で提供されます。
・ シーメンスは、定期的に更新される多数のトレーニング・コースと学習機会 を従業員が自主的に利用できるように提供しています。これらのトレーニング・モジュールは、基本的な知識からPSSのような特定の専門分野まで多岐にわたります。
SISWは、潜在的な脆弱性、脅威、セキュリティログに関する洞察など、サイバーセキュリティ体制の概要を提供するプラットフォームを実装しています。
関連する環境やログをモニタリングすることによって、以下が可能になります。
・ セキュリティ関連イベントの通知
・ アカウント情報 (リソースと資産) 概要の一元化
・ 指定されたクラウド・セキュリティ体制、アラート、およびプラクティスの検証
・ 情報に基づき、的を絞った、セキュリティベースのビジネス上の意思決定
SISWは、ISO 9001認証の品質管理システム (QMS) を維持しており、SISW製品のセキュア開発ライフサイクル (SDLC) にセキュリティ管理を組み込み、サードパーティ・サプライヤーを統合して成果物の品質を管理しています。QMSは、主要なチェックポイントでゲートを実行し、セキュリティ管理と品質KPIが適切に実行されていることを検証します。
サイバーセキュリティ・リスク管理プロセスは、シーメンスのエンタープライズ・リスク管理戦略 (ERM) の一部です。ERMの主な目的は、シーメンスが国際標準に基づいて潜在的なセキュリティ・リスクを特定し、最小限に抑えることです。
シーメンスのサイバーセキュリティ・リスク管理プロセスは、以下のリスクの報告と管理に重点を置いています。
・ IT、ドキュメント、および情報の資産分類と保護
・ 製品、ソリューション、サービスの脅威とリスクの分析
・ 要件からの一時的な逸脱に対する例外処理
・ サイバーセキュリティ・サプライヤーのリスク管理 (以下に記載)
サイバーセキュリティのリスクは、サプライチェーン全体で管理する必要があります。シーメンスは、IT、OT、PSSを含め、水平および垂直のコンポーネント、製品、サービスを調達するために、このトピックを総合的に検討しています。
サプライチェーン全体でサイバーセキュリティ・レベルを向上させるための主な活動は次のとおりです。
・ サプライチェーンにおけるサイバーセキュリティ・リスクの度合いに関する透明性
・ サードパーティのサプライヤー評価手法と、サプライヤーへの契約上のサイバーセキュリティ要件に対応したツールとテンプレートを柱とする体系的なリスク管理の実践
・ さまざまな専門家コミュニティへの積極的な参加
・ さまざまなターゲット・グループとユースケースに対する定期的なトレーニングと意識向上キャンペーン