「文化(集団・社会~国) 」の共栄
安心安全でレジリエントな社会へ
セキュリティの強化
- 基本的な考え方
- NTT西日本グループは、安心・安全な社会の実現に向けて、情報セキュリティマネジメントの強化および高度化・巧妙化するサイバー攻撃に対する高度な情報セキュリティ対策により、情報通信基盤の強靭化を図るとともに、それらの技術をベースにお客さまの課題解決に努めています。
情報セキュリティ推進体制の強化
2023年10月に公表した情報漏えい事案を踏まえて、2024年7月1日に新たに「デジタル革新本部 セキュリティ&トラスト部」 、NTT西日本グループのセキュリティ戦略について議論する外部セキュリティ専門家を招いた諮問機関「セキュリティアドバイザリボード」 を設置しました。また、「セキュリティ&トラスト委員会」 の委員長を代表取締役社長が務めることで、NTT西日本グループにおける最重要課題として、お客さまおよび社会からの信頼回復に取り組んでいきます。
セキュリティ&トラスト部の設置以前は、内部からの情報漏えいリスク(人的ミスに起因する情報漏えい事故等)と外部からのサイバー攻撃リスク(サイバー攻撃による情報漏えいやサービス妨害等)への対応を別組織で対応していましたが、同部の設置により当該組織においてトータルセキュリティマネジメントを実現することが可能となりました。また、セキュリティアドバイザリボードにおいて、セキュリティ戦略を社外のセキュリティ専門家と議論を重ねて策定しており、それらに基づいて、NTT西日本グループ全体のセキュリティ対策強化およびセキュリティガバナンスの強化に取り組んでいきます。
また、デジタル改革本部長がCISO(Chief Information Security Officer)およびCDAIO(Chief Digital AI Officer)を担うこととし、技術的安全管理措置に係るシステム対処を全社横断的に進めるマネジメント体制を構築しています。
セキュリティアドバイザリボードの設置
視える化指標
| 視える化指標 | 対象範囲 | 2024年度目標 | 2024年度実績 | 2025年度目標 |
|---|---|---|---|---|
| サイバー攻撃に伴う重大なインシデント発生件数 | NTT西日本グループ | 0件 | 0件 | 0件 |
| 重大な情報漏洩の件数 | NTT西日本グループ | 0件 | 0件 | 0件 |
外部有識者を交えたセキュリティ戦略の検討
2024年10月、2025年4月、9月に実施した外部有識者との議論(アドバイザリーボード)においては、情報漏えい事案を踏まえた内部不正対策の客観的な評価・検証、進捗状況の確認を実施するとともに、サイバー攻撃の高度化・広範化といった外的環境の変化やテクノロジーの進化に合わせて、電気通信サービス提供のサイバー攻撃対策を含むNTT西日本グループの中長期セキュリティ戦略・方針に関する議論を行っています。
規定類の改訂
情報セキュリティに関する規程・マニュアル類については、これまでインシデントや不正事案の発生を契機として、必要な対策を規程に反映してきました。しかしながら、過度な追加により規程が形骸化することを防ぐため、実効性を重視し、社員一人ひとりが主体的に理解・実践できる内容となるよう2024年度に改訂しています。今後も必要性を精査したうえで、適宜見直しを行っていきます。
情報セキュリティマネジメント強化に向けた取組み
NTT西日本グループは、IIA(内部監査人協会)3ラインモデルに基づき本社第2線であるセキュリティ&トラスト部が、第1線である本社各組織およびNTT西日本グループ会社のセキュリティ対策推進を支援することで、NTT西日本グループ全体のセキュリティリスクマネジメントの強化に取り組んでいます。そのうえで、第3線である内部監査部が第2線のセキュリティ&トラスト部が策定した内部不正対策に対して、米国国立標準技術研究所が策定した「NIST Cybersecurity Framework 2.0」等の内部不正防止観点に照らした監査を行い、網羅的に内部不正リスクを低減させる対策を講じていることを確認しています。
また、セキュリティ対策技術の導入(Technology)、業務プロセスや運用ルールの見直し(Process)、およびお客さま情報・重要情報の取り扱い業務に関わる担当者・管理者(People)に対するセキュリティマネジメントをバランスよくマネジメントすることで、NTT西日本グループ全体のセキュリティガバナンスの強化に取り組んでいきます。
3ラインモデルに基づいたセキュリティ対策の支援体制
セキュリティガバナンス強化に向けた取組み
具体的な活動
【セキュリティリスクの視える化】
サイバー攻撃リスク対応の観点から、インターネットに接続している全てのシステムについてリスク管理データベースを構築しリスクの可視化を行っています。当該リスク管理データベースにおいて、内部不正リスクに関する管理項目を追加し、インターネットに接続されていない顧客情報を保有する全てのシステムも管理対象として拡大することで、セキュリティリスクの視える化に取り組んでいます。
【リスク箇所の最小化】
「セキュリティリスクの視える化」 の取組みを踏まえて、顧客情報の持ち出しを制限するためのUSBメモリの原則利用廃止、集中的なアクセス管理・制御を可能とするためのNTT西日本グループ全体へのゼロトラストアーキテクチャに基づいたセキュリティ対策の導入、システム管理権限を有する特権アカウントの管理強化等に取り組んでいます。
【監視の高度化・点検の徹底】
「IPA 組織における内部不正防止ガイドライン」 等を参考に、以下を実施し、是正に取り組んでいます。
●システム利用ログ等から内部不正リスクを検知
●ふるまい検知機能による監視の高度化
●第1線の現場組織における適切なセキュリティルール運用を確認するための第2線による現地実査を踏まえた点検、不備等については第2線が第1線を支援
また、NTT西日本グループだけではなく、お客様情報を含む重要情報の取り扱いを委託する事業者に対しても、自社同等のセキュリティルールの適用を求める「お客さま情報取り扱いに関する覚書」 を締結するほか、必要に応じて委託先事業者への立ち入り検査を実施し、サプライチェーン全体で情報セキュリティマネジメントの強化に取り組んでいます。
※取り組みの詳細については、特設ページをご参照ください。
セキュリティ人材の育成
NTT西日本グループは、10年以上前からセキュリティ人材認定制度※を運用し、セキュリティ人材の育成に取り組んでき参りました。取り巻く環境と戦略方針を踏まえたて中期人材育成計画として、2027 年度までに質・量両面で充実させることを目標に掲げ、セキュリティ人材の育成強化を進めています。
- ※ 業務経験と知識(以下資格等)について、調書および面談にて審査を行い認定(OSCP、GIAC系資格、CISSP、CEH、情報処理安全確保支援士(RISS) 等
視える化指標
| 視える化指標 | 対象範囲 | 目標 | 2024年度実績 |
|---|---|---|---|
| セキュリティ人材数 (SA・Aレベル) |
NTT西日本グループ | 2027年度までに累計1,055人以上 | 累計852人 |
- ※ 2025年度目標を前倒しで達成していることから、目標値を引き上げ2027年度目標を新たに設定しています。
NTT西日本グループにおけるセキュリティCoEとしての取組み
2024年7月に設置したセキュリティ&トラスト部をNTT西日本グループのセキュリティCoE(Center of Excellence)として位置づけ、NTT西日本グループ全体のセキュリティ人材育成に取り組んでいます。
さらに、これまで自社の防衛分野において培ってきた育成実績やノウハウを活用し、セキュリティビジネスの拡大に資する人材の育成にも注力しています。また、NTT西日本グループ会社間において、セキュリティ人材の流動性を高めることで、NTT西日本グループ全体の情報セキュリティマネジメントの強化を図っています。
産学官(中央省庁外郭団体・警察機関・大学)連携による人材育成
セキュリティ人材の育成をNTTグループ内で実施するのはもちろん、一部人材をNCO(National Cybersecurity Office)、NCA(Nippon CSIRT Association)や京都府警等との人材交流を通してさらなるスキル向上を促すことにより、安心・安全な社会の実現に貢献できるセキュリティ人材の育成に取り組んでいます。
また、大阪大学や熊本県立大学等へのセキュリティ関連の講師派遣や、MWS(情報処理学会)への学生向けのセキュリティトレーニングプログラムの開催等を通じて、次世代のセキュリティ人材の育成にも取り組んでいます。
お客さまの課題解決に向けた情報セキュリティ対策
情報セキュリティ対策における、お客さま課題の解決に向けた取組みとして、NTT西日本グループでは自社システム(オンプレミス)やクラウドといったシステム形態を問わずに監視・運用・保守をワンストップかつ24時間365日体制で担う拠点「MC-SOC[エムシーソック](Managed Cloud Service Operation Center)」を運営しています。
2017年の設立以降、監視・運用・保守のサービス提供を通じて培ってきたスキル・ノウハウを強みとして、自治体や金融機関等のお客さまの安心・安全なシステム利用を支援しています。
また、従来はプライベートネットワークを前提とした境界防御によるセキュリティ運用を中心に実施していましたが、近年のクラウド利用拡大や就業環境の多様化(リモートワークの促進)に合わせて、ゼロトラスト環境に対応する新たなマネージドセキュリティサービスも展開しています。
今後とも、情報セキュリティ課題を解決する企業として、お客さまの事業価値向上の助けとなるサービスを引き続き提供していきます。
情報インフラのセキュリティ拠点となる「MC-SOC」