「文化(集団・社会~国) 」の共栄
安心安全でレジリエントな社会へ
セキュリティの強化
- 基本的な考え方
- NTT西日本グループは、安心・安全な社会の実現に向けて、情報セキュリティマネジメントの強化および高度化・巧妙化するサイバー攻撃に対する高度な情報セキュリティ対策により、情報通信基盤の強靭化を図るとともに、それらの技術をベースにお客さまの課題解決に努めています。
視える化指標セキュリティ強化に向けた取組み
| サイバー攻撃に伴う重大なインシデント発生件数※ | 対象範囲 | 目標 | 2023年度実績 | 関連するおもなSDGs |
|---|---|---|---|---|
| NTT西日本グループ | 0件 | 0件 |
  |
| セキュリティ人材数 (SA・Aレベル) |
対象範囲 | 目標 | 2023年度実績 | 関連するおもなSDGs |
|---|---|---|---|---|
| NTT西日本グループ | 2025年度 までに 累計750人以上 |
累計806人 |
 |
| 重大な情報漏洩の件数 (2024年度より目標設定) |
対象範囲 | 目標 | 2023年度実績 | 関連するおもなSDGs |
|---|---|---|---|---|
| NTT西日本グループ | 0件 | 1件 |
|
- ※2023年度目標のサイバー攻撃に伴うサービス停止件数を2024年度目標より見直し
情報セキュリティ推進体制の強化
2023年10月に公表した情報漏えい事案を踏まえて、2024年7月1日に新たに「デジタル革新本部 セキュリティ&トラスト部」 、NTT西日本グループのセキュリティ戦略について議論する外部セキュリティ専門家を招いた諮問機関「セキュリティアドバイザリボード」 を設置しました。また、「セキュリティ&トラスト委員会」 の委員長を代表取締役社長が務めることで、NTT西日本グループにおける最重要課題として、お客さまおよび社会からの信頼回復に取り組んでいきます。
セキュリティ&トラスト部の設置以前は、内部からの情報漏えいリスク(人的ミスに起因する情報漏えい事故など)と外部からのサイバー攻撃リスク(サイバー攻撃による情報漏えいやサービス妨害など)への対応を別組織で対応していましたが、同部の設置により当該組織においてトータルセキュリティマネジメントを実現することが可能となりました。また、セキュリティアドバイザリボードにおいて、セキュリティ戦略を社外のセキュリティ専門家と議論を重ねて策定しており、それらに基づいて、NTT西日本グループ全体のセキュリティ対策強化およびセキュリティガバナンスの強化に取り組んでいきます。
セキュリティアドバイザリボードの設置
情報セキュリティマネジメント強化に向けた取組み
NTT西日本グループは、IIA(内部監査人協会)3ラインモデルに基づき本社第2線であるセキュリティ&トラスト部が、第1線である本社各組織およびNTT西日本グループ会社のセキュリティ対策推進を支援することで、NTT西日本グループ全体のセキュリティリスクマネジメントの強化に取り組んでいます。そのうえで、第3線である内部監査部が第2線であるセキュリティ&トラスト部のセキュリティリスクマネジメントプロセスおよびマネジメント状況を監査することにより、適切な内部統制システムに基づいた事業運営を継続します。
また、セキュリティ対策技術の導入(Technology)、業務プロセスや運用ルールの見直し(Process)、およびお客さま情報・重要情報の取り扱い業務に関わる担当者・管理者(People)に対するセキュリティマネジメントをバランスよくマネジメントすることで、NTT西日本グループ全体のセキュリティガバナンスの強化に取り組んでいきます。
3ラインモデルに基づいたセキュリティ対策の支援体制
セキュリティガバナンス強化に向けた取組み
具体的な活動
【セキュリティリスクの視える化】
サイバー攻撃リスク対応の観点から、インターネットに接続している全てのシステムについてリスク管理データベースを構築しリスクの可視化を行っています。当該リスク管理データベースにおいて、内部不正リスクに関する管理項目を追加し、インターネットに接続されていない顧客情報を保有する全てのシステムも管理対象として拡大することで、セキュリティリスクの視える化に取り組んでいます。
【リスク箇所の最小化】
「セキュリティリスクの視える化」 の取組みを踏まえて、顧客情報の持ち出しを制限するためのUSBメモリの原則利用廃止、集中的なアクセス管理・制御を可能とするためのNTT西日本グループ全体へのゼロトラストアーキテクチャに基づいたセキュリティ対策の導入、システム管理権限を有する特権アカウントの管理強化等に取り組んでいます。
【監視の高度化・点検の徹底】
「IPA 組織における内部不正防止ガイドライン」 等を参考に、以下を実施し、是正に取り組んでいます。
●システム利用ログ等から内部不正リスクを検知
●ふるまい検知機能による監視の高度化
●第1線の現場組織における適切なセキュリティルール運用を確認するための第2線による現地実査を踏まえた点検、不備等については第2線が第1線を支援
また、NTT西日本グループだけではなく、お客様情報を含む重要情報の取り扱いを委託する事業者に対しても、自社同等のセキュリティルールの適用を求める「お客さま情報取り扱いに関する覚書」 を締結するほか、必要に応じて委託先事業者への立ち入り検査を実施し、サプライチェーン全体で情報セキュリティマネジメントの強化に取り組んでいます。
※取り組みの詳細については、特設ページをご参照ください。
セキュリティ人材の育成
セキュリティ人材数(2023年度末)
806人―前年度比59人↑―
NTTグループは、2025 年度までに国内のセキュリティ人材を質・量両面で充実させることを目標に掲げ、セキュリティ人材の育成強化を進めています。
NTT西日本グループにおけるセキュリティCoEとしての取組み
2024年7月に設置したセキュリティ&トラスト部をNTT西日本グループのセキュリティCoE(Center of Excellence)として位置づけ、NTT西日本グループ全体のセキュリティ人材育成に取り組んでいます。
また、NTT西日本グループ会社間において、セキュリティ人材を還流させることで、NTT西日本グループ全体の情報セキュリティマネジメントの強化に取り組んでいきます。
産学官(中央省庁外郭団体・警察機関・大学)連携による人材育成
セキュリティ人材の育成をNTTグループ内で実施するのはもちろん、一部人材を内閣サイバーセキュリティセンター(NISC:National Center of Incident readiness and Strategy for Cybersecurity)や京都府警へ派遣してさらなるスキル向上を促すことにより、安心・安全な社会の実現に貢献できるセキュリティ人材の育成に取り組んでいます。
また、大学におけるセキュリティ関連の講義への講師派遣、学生向けのセキュリティトレーニングプログラムの開催等を通じて、次世代のセキュリティ人材の育成にも取り組んでいます。
お客さまの課題解決に向けた情報セキュリティ対策
ICT運用におけるお客さま課題の解決に向けた取組みとして、NTT西日本グループでは自社システム(オンプレミス)やクラウドといったシステム形態を問わずに監視・運用・保守をワンストップかつ24時間365日体制で担う拠点「MC-SOC (Managed Cloud Service Operation Center)」を運営しています。
2017年の設立以降、NTT西日本グループ内への対応で培ったスキル・ノウハウを強みとして、自治体や金融機関等の多くのお客さまに対するセキュリティオペレーション等の機能提供を通じ、お客さまの安心・安全なシステム利用を支援してきました。
また、従来はプライベートネットワークを前提とした境界防御によるセキュリティ運用を中心に実施していましたが、近年のクラウド環境のセキュリティ対策強化のニーズに合わせて、ゼロトラスト環境に対応する新たなマネージドセキュリティサービスも展開しています。
今後ともお客さまの経営課題を解決する企業として、引き続きお客さまの事業価値向上に資するサービスを提供していきます。
情報インフラのセキュリティ拠点となる「MC-SOC」