「⽂化(集団‧社会〜国) 」の共栄安心安全でレジリエントな社会へ
セキュリティの強化
- 基本的な考え方
- NTT西日本グループは高度化・巧妙化するサイバー攻撃に備えた安心・安全な社会の実現に向けて、高度な情報セキュリティ対策による情報通信インフラの強靭化やお客さまの課題解決に努めています。
視える化指標セキュリティ強化に向けた取組み
| サイバー攻撃に伴うサービス停止件数 | 目標 | 2022年度実績 | 関連するおもなSDGs |
|---|---|---|---|
| 0件 | 0件 |
  |
| セキュリティ人材数 (SA・Aレベル) |
目標 | 2022年度実績 | 関連するおもなSDGs |
|---|---|---|---|
| 2025年度 までに 累計750人以上 |
累計747人 |
 |
西日本グループにおけるサイバーセキュリティ対応
DXの進展やリモートワークの導入等を背景に、手口が多様化・巧妙化するサイバー攻撃は、年々その被害件数が増加しつつあります。そうした状況下、NTT西日本グループは、強固な情報セキュリティ体制を構築しています。
CISO(最⾼情報セキュリティ責任者)による統括のもと、統⼀的な情報セキュリティの管理体制を整備し、不正アクセス、情報の紛失‧改ざん‧漏洩の防⽌等と被害最⼩化に向けたセキュリティ対策、社員教育、監査等を継続的に向上させていきます。また、機密情報を取り扱う委託先等のサプライヤーに対しても、適切な情報セキュリティの確保を求め、サプライチェーン全体を通した情報の保護に努めます。
これらの取組みを通じて、サイバー攻撃に伴うサービスの停止件数0件を目標に、グループのみならず、サプライチェーンやお客さまの設備までを見据えた対策を講じています。
NTT西日本グループの情報セキュリティ体制
具体的な活動
NTT西日本グループは、グループ内のサイバーセキュリティ戦略、サイバーセキュリティ対策、監視・分析業務などを担う「CSOC(Cyber Security Operation Center)」を設置しています。
従来、企業として守るべき情報は社内にあることを前提に、社内と社外の境界を監視する「境界防御」の考えを基とするセキュリティ強化が主流でした。しかし、在宅ワークやスマートフォンからのアクセス等、データも働く場所も多様化し監視すべき境界が曖昧になりつつあり、「ゼロトラストセキュリティ」へのシフトが求められています。
そのような状況を踏まえ、多要素認証の導入範囲を拡大、OSINT※1(Open Source Intelligence)によるインテリジェンス情報の活用の強化、またASM(Attack Surface Management)によるサイバー攻撃の対象となりうる資産の管理・監視等、「ゼロトラストセキュリティ」への対応を実現しています。これらの活動により、初動対応を早めてインシデントの未然防止やインシデント発見時の早期対応(被害最小化)を実現しています。
さらに、2022年9月に「レッドチーム」グループを発足し、オフェンシブセキュリティ(攻撃者の目線)の観点で組織のセキュリティ耐性の強化を図っています。今後に向けて、NTT西日本グループで統一したセキュリティ対応品質の実現やサプライチェーン・お客さま設備へのガバナンス範囲の拡大にも取り組んでいきます。
- ※1 OSINT:公開されている情報を収集・分析することで脅威インテリジェンスを生成する行為
CSOCの業務概要
お客さまの課題解決に向けた情報セキュリティ対策
ICT運用におけるお客さま課題の解決に向けた取組みとして、NTT西日本グループでは自社システム(オンプレミス)やクラウドといったシステム形態を問わずにワンストップで監視・運用・保守を24時間365日体制で担う拠点「MC-SOC (Managed Cloud Service Operation Center)」を運営しています。
2017年の設立以降、NTT西日本グループ内への対応で培ったスキル・ノウハウを強みとして、自治体や金融機関等の多くのお客さまに対するセキュリティオペレーション等の機能提供を通じ、お客さまの安心・安全なシステム利用を支援してきました。
また、従来はプライベートネットワークを前提とした境界防御によるセキュリティ運用を中心に実施していましたが、近年のクラウド環境のセキュリティ対策強化のニーズに合わせて、ゼロトラスト環境に対応する新たなマネージドセキュリティサービスの展開も実施しています。
今後ともお客さまの経営課題を解決する企業として、引き続きお客さまの事業価値向上に資するサービスを提供していきます。
情報インフラのセキュリティ拠点となる「MC-SOC」
セキュリティ人材の育成
セキュリティ人材数(2022年度末)
747人―前年度比48人↑―
NTTグループは、2025 年度までにグループの国内のセキュリティ人材を質・量ともに充実させることを目標に掲げ、セキュリティ人材の育成強化を進めています。
その一環として、セキュリティ人材を開発・運用・コンサルの3つの人材タイプと3段階の人材レベルに大別し、タイプやレベルに応じて一定のセキュリティ知識、経験を持つ社員をセキュリティ人材として認定しています。また、NTTグループ各社と連携したバグバウンティ・プログラムやセキュリティコンテスト研修の他、役割に応じた人材育成施策をグループ各社で推進しています。
NTT西日本グループにおいてもセキュリティ人材の育成強化に努め、安心・安全な通信サービスの提供やお客さまの課題解決に必要なセキュリティ知識とその実践力を高めるハンズオン研修やOJTを実施しています。
NTT西日本グループ内のセキュリティコンテスト企画やゼロトラスト環境における脆弱性調査を踏まえたレッドチーム人材育成、および社外セキュリティ関連団体との交流によりNTT西日本を代表する高度なセキュリティ人材の育成に取り組んでいます。