このページの本文へ移動

ここから本文です。

「文化(集団・社会~国) 」の共栄 安心安全でレジリエントな社会へ

セキュリティの強化

基本的な考え方
NTT西日本グループは、安心・安全な社会の実現に向けて、情報セキュリティマネジメントの強化および高度化・巧妙化するサイバー攻撃に対する高度な情報セキュリティ対策により、情報通信基盤の強靭化を図るとともに、それらの技術をベースにお客さまの課題解決に努めています。

える化指標セキュリティ強化に向けた取組み

サイバー攻撃に伴う重大なインシデント発生件数 対象範囲 目標 2023年度実績 関連するおもなSDGs
NTT西日本グループ 0件 0件
セキュリティ人材数
(SA・Aレベル)
対象範囲 目標 2023年度実績 関連するおもなSDGs
NTT西日本グループ 2025年度
までに
累計750人以上
累計806人
  • ※2023年度目標のサイバー攻撃に伴うサービス停止件数を2024年度目標より見直し

情報セキュリティ推進体制の強化

2023年10月に公表した情報漏えい事案を踏まえて、2024年7月1日に新たに「デジタル革新本部 セキュリティ&トラスト部」 、NTT西日本グループのセキュリティ戦略について議論する外部セキュリティ専門家を招いた諮問機関「セキュリティアドバイザリボード」 を設置しました。また、「セキュリティ&トラスト委員会」 の委員長を代表取締役社長が務めることで、NTT西日本グループにおける最重要課題として、お客さまおよび社会からの信頼回復に取り組んでいきます。

セキュリティ&トラスト部の設置以前は、内部からの情報漏えいリスク(人的ミスに起因する情報漏えい事故など)と外部からのサイバー攻撃リスク(サイバー攻撃による情報漏えいやサービス妨害など)への対応を別組織で対応していましたが、同部の設置により当該組織においてトータルセキュリティマネジメントを実現することが可能となりました。また、セキュリティアドバイザリボードにおいて、セキュリティ戦略を社外のセキュリティ専門家と議論を重ねて策定しており、それらに基づいて、NTT西日本グループ全体のセキュリティ対策強化およびセキュリティガバナンスの強化に取り組んでいきます。

セキュリティアドバイザリボードの設置

NTT西日本グループは、IIA(内部監査人協会)3ラインモデルに基づき本社第2線であるセキュリティ&トラスト部が、第1線である本社各組織およびNTT西日本グループ会社のセキュリティ対策推進を支援することで、NTT西日本グループ全体のセキュリティリスクマネジメントの強化に取り組んでいます。そのうえで、第3線である内部監査部が第2線であるセキュリティ&トラスト部のセキュリティリスクマネジメントプロセスおよびマネジメント状況を監査することにより、適切な内部統制システムに基づいた事業運営を継続します。

 また、セキュリティ対策技術の導入(Technology)、業務プロセスや運用ルールの見直し(Process)、およびお客さま情報・重要情報の取り扱い業務に関わる担当者・管理者(People)に対するセキュリティマネジメントをバランスよくマネジメントすることで、NTT西日本グループ全体のセキュリティガバナンスの強化に取り組んでいきます。

3ラインモデルに基づいたセキュリティ対策の支援体制

【セキュリティリスクの視える化】

サイバー攻撃リスク対応の観点から、インターネットに接続している全てのシステムについてリスク管理データベースを構築しリスクの可視化を行っています。当該リスク管理データベースにおいて、内部不正リスクに関する管理項目を追加し、インターネットに接続されていない顧客情報を保有する全てのシステムも管理対象として拡大することで、セキュリティリスクの視える化に取り組んでいます。

【リスク箇所の最小化】

「セキュリティリスクの視える化」 の取組みを踏まえて、顧客情報の持ち出しを制限するためのUSBメモリの原則利用廃止、集中的なアクセス管理・制御を可能とするためのNTT西日本グループ全体へのゼロトラストアーキテクチャに基づいたセキュリティ対策の導入、システム管理権限を有する特権アカウントの管理強化等に取り組んでいます。

【監視の高度化・点検の徹底】

「IPA 組織における内部不正防止ガイドライン」 等を参考に、以下を実施し、是正に取り組んでいます。

●システム利用ログ等から内部不正リスクを検知

●ふるまい検知機能による監視の高度化

●第1線の現場組織における適切なセキュリティルール運用を確認するための第2線による現地実査を踏まえた点検、不備等については第2線が第1線を支援

また、NTT西日本グループだけではなく、お客様情報を含む重要情報の取り扱いを委託する事業者に対しても、自社同等のセキュリティルールの適用を求める「お客さま情報取り扱いに関する覚書」 を締結するほか、必要に応じて委託先事業者への立ち入り検査を実施し、サプライチェーン全体で情報セキュリティマネジメントの強化に取り組んでいます。

※取り組みの詳細については、特設ページをご参照ください。


NTT西日本グループのサステナビリティ