情報セキュリティの徹底/データプライバシーの保護
当社グループは、「情報の安全性の確保」と「情報の積極的な活用・共有」を適正なバランスで両立させることが重要と考え、ルール策定や情報セキュリティ教育・啓発活動等の「管理的対策」、情報漏えい対策ソリューションやシンクライアントパソコンの導入といった「技術的対策」の両軸から、様々な対策を実施しています。
また、グループ全体で知識・ノウハウを共有するために、国内グループ会社とは情報セキュリティ推進者フォーラム、海外統括会社とはGlobal CISO Conference等を通じてグループ内のナレッジの流通を促進し、グループ一体となった情報セキュリティガバナンスの確立に取り組んでいます。
基本方針
当社グループは、「NTTデータグループセキュリティポリシー(GSP)」をはじめとする規程類を制定し、情報漏えいや情報の不正利用等の深刻なセキュリティ侵害から情報資産を守る行動基準、情報の積極的活用・共有を図る行動基準を定めています。個人情報保護についても各社の方針、ガイドラインを定め、そのルールにしたがって適切に取り扱うことを求めているため、当社グループ全体で個人情報は適切に保護されます。これらの行動基準には、業務を委託するパートナー企業も範囲に含め、情報資産の適切な取り扱いを実現しています。
また、国内グループ会社には、改正個人情報保護法等に対応する「NTTデータグループ日本地域個人情報保護規程(JPP)」、「NTTデータグループ日本地域個人情報管理方法ガイドライン(JPG)」を制定し、適切に個人情報を取り扱うために遵守すべき項目と実践するための手順を定めています。
推進体制
グローバルガバナンス
当社グループでは、2006年度からNTTデータグループセキュリティポリシー(GSP)に基づく情報セキュリティの徹底を図っています。当社グループの海外拠点に対してもGSPを適用しており、2012年度からは北米(NDS)、EMEAL地域(EMEAL)、APAC地域(NDAP)、China(NDCI)、Business Solutionsの5つの地域の統括会社を軸とした情報セキュリティ推進体制を構築し、ベースラインの統一と地域別の柔軟性を両立した運営を行っています。
グローバルセキュリティを支える連携
情報セキュリティのグローバルガバナンスを徹底するために、本社、地域統括会社等、個社に配置される情報セキュリティ運営組織の3層からなる情報セキュリティガバナンス体制を整えています。
各層の情報セキュリティ運営組織は、情報セキュリティポリシーの維持・整備、施策のモニタリング、インシデント防止のための予防措置活動及び緊急時の司令塔の役割を担い、緊密に連携を図っています。
セキュリティインシデントの防止、検知、対応
当社グループでは、平時の活動を通じて情報セキュリティインシデント*1の発生を未然に防止するとともに、インシデントを早期に検知し、緊急対応を迅速かつ正確に行うための組織内CSIRTとして「NTTDATA-CERT」を運営しています。
- *1マルウェア感染や不正アクセス、情報漏えい等、情報管理やシステム運用に関してセキュリティ上の脅威となる現象
新たなセキュリティリスクに備えた活動
最新の攻撃手法やインシデントの発生状況等、セキュリティに関する広範な情報収集・情報分析・情報発信をはじめ、通信監視、緊急対応、研究開発、外部連携を実施しています。
内外と連携した幅広い活動
当社グループ内の活動にとどまらず、グローバルなCSIRTのコミュニティである「FIRST*2」に加盟し、JPCERTコーディネーションセンター(JPCERT/CC)や日本シーサート協議会(NCA)に加盟している各社のCSIRT等、外部のセキュリティ組織と幅広く連携することにより、迅速なセキュリティ関連情報の共有を行い、情報セキュリティ事案の早期検知・早期対応を実現しています。
- *2Forum of Incident Response and Security Teamsの略。政府機関、教育機関、企業等の635のCSIRTチームから構成されるグローバルなコミュニティ(2022年7月29日時点)
OSINTを活用したCSIRT運営
政府の公式発表やマスメディアによる報道、論文・技術資料等、合法的に入手できる情報を積極的に活用するオープン・ソース・インテリジェンス(OSINT)のアプローチをNTTDATA-CERTの運営に採用しています。日々収集した情報はNTTDATACERTの情報分析専門家がセキュリティ動向を分析、予測して、当社グループ各社へニュースや四半期レポートとして報告されるほか、サイバー攻撃監視の強化や当社グループのセキュリティ戦略・対策に活用しています。
インシデント対応ワークショップの実施
情報セキュリティインシデントが発生した場合に、組織的で速やかな対応を行い、影響を最小限に抑えてインシデントを終息できるよう、国内グループ会社に対してワークショップを実施しています。「NTTデータグループ日本地域における情報セキュリティインシデント対応基準」をもとに、インシデント発生から終息までに行うべき行動の学習と、当社グループで過去に発生したインシデント事例を使った演習を通して、サイバー攻撃の適切な対応方法を習得しています。
セキュリティガバナンスの取り組み強化
当社グループでは、グローバルで直面するセキュリティリスクを把握し確実に対応するため、セキュリティガバナンスの取り組みを強化しています。
2021年度は「グローバルガバナンス成熟度向上」に向けた取り組み、「グローバルセキュリティ基盤」の安定運用、「重大なインシデント発生時の確実なエスカレーション」への取り組みを行いました。
グローバルガバナンス成熟度向上
当社グループでは、各地域統括会社が直面するセキュリティリスクの状況を集約し、グローバルのグループ会社全体で重点的に取り組むべきセキュリティ対策を決定するプロセスを確立し、運用しています。また、各地域統括会社のCISOを含むキーパーソンが一堂に会するGlobal CISO Conferenceを定期的に開催し、各地域統括会社及び本社間の情報共有及び連携を強化しています。
グローバルセキュリティ基盤
多様化する働き方に対応するため、また高度化するサイバー攻撃に対抗するため、当社グループ共通のセキュリティ基盤を構築・運用しています。このセキュリティ基盤によりメールやクラウドサービス利用時のセキュリティを強化、更にユーザーが使用するデバイス及びインターネット接続点を集中管理し、当社グループ全体で高いセキュリティレベルを保っています。また、万一外部からネットワークに侵入された場合にもほかの地域への拡散を防ぐため、当社グループの国内及び海外拠点間の遮断も可能です。更に、標的型攻撃と呼ばれる高度なサイバー攻撃を検知可能とするための高度なログ分析ソリューションを備えています。また、2020年度は第二期グローバルセキュリティ基盤として、メールセキュリティ強化、クラウドセキュリティ強化(ゼロトラスト対応)を行いました。
重大なインシデント発生時の早期エスカレーション
重大なインシデント発生時の早期検知と報告対応を確実に実施するため、当社グループの国内及び海外拠点のインシデント対応組織を階層的に整備し、現場による即応力と、高難度インシデントへの対応力を確保しています。また、グループ内のルールで役割・責任、報告基準を明確に定め、重大なインシデント発生時には、当社グループの国内及び海外の個社から地域統括会社等を介し、本社へ速やかな報告が確実に行われる体制を維持しています。なお、2021年度、「(株)NTTデータお客様情報対応窓口」で受け付けた顧客プライバシーの侵害及び顧客データの紛失に関して具体化した不服申し立てはありませんでした。
具体的な取り組み
安全・安心な商用システムのセキュリティを確保
昨今、情報システムのセキュリティ不備(脆弱性)を突いた不正アクセスによる個人情報や機密情報の漏えい、ランサムウェアによる脅迫等の被害が多発しています。こうしたサイバー攻撃は、対処方法が知られた「既知の攻撃」に加え、ソフトウェア開発者やシステム開発ベンダですら気づいていない脆弱性を悪用した攻撃も増加しており、このような「未知の攻撃」についても考慮したセキュリティ対策をシステム全体にわたって抜け漏れなく行うことが求められています。
当社グループでは、最新のセキュリティ技術動向、脆弱性情報をグループ内で迅速に共有するとともに、システム構築や運用において、必要なセキュリティレベルを確保するためのプロセスを組み込み、システムが必要なセキュリティレベルを確保できる仕組みを整備しています。構築したシステムは、セキュリティ専門家によるセキュリティ診断を定期的に行い、新たに発見される脆弱性に適切に対応するなど、継続的に安全・安心なシステム・サービスの提供に努めています。
総合的なセキュリティ管理により安全・安心なシステム環境を提供
当社グループは、豊富な経験と実績から得たセキュリティノウハウを結集し、お客様のビジネス構造の変化に合わせた最適な解決策を提案しています。
例えば、グローバル拠点も含めたセキュリティガバナンスの構築、重要な情報を取り扱うシステムに必要とされる高レベルなセキュリティ技術、新しい働き方を促進するための安全なリモートワーク環境を実現するゼロトラストセキュリティを提供します。
また、近年、日々高度化する標的型攻撃や内部不正による情報漏えい等、「防御」のセキュリティ対策をすり抜けるリスクが発生する前提での備えが重要になっています。被害を局所化するためには、攻撃の確実な「検知」と速やかな「対応・復旧」が求められます。セキュリティコンサルティングによってリスクを「特定」し、リスクを「抑止」「防御」するために必要なソリューションやサービスを提供、更には「検知」「対応・復旧」のために、UEBA*1、EDR*2 サンドボックス*3、SIEM*4、SOC*5、CSIRT*6等の構築サービスや運用監視サービスを提供することにより、お客様のセキュリティ対策支援サービスを強化しています。
- *1User and Entity Behavior Analyticsの略。平常時の人やものの振る舞いを機械学習し、通常と異なる動作と判断された処理をアラートとして通知するソリューション
- *2Endpoint Detection and Responseの略。パソコンやサーバ等エンドポイントを監視し、インシデントの検知やその後の対応プロセスを統合的に管理できるソリューション
- *3保護された仮想領域内でプログラムを動作させることで、マルウェアの検知を行うソリューション
- *4Security Information and Event Managementの略。セキュリティ機器単体では発見困難な不正アクセスの痕跡や兆候を検知・分析・可視化するソリューション
- *5Security Operation Center IDS/IPSの略。ファイアウォール、DB ファイアウォール、WAF等を総合的に監視・運用する拠点や体制
- *6Computer Security Incident Response Teamの略。セキュリティ専門家から構成されるインシデント対応を行うための組織。セキュリティインシデント、セキュリティ関連技術、脆弱性等の情報を収集・分析し、有効な対策や訓練の実施等の活動を行う
情報セキュリティ教育・啓発
当社グループでは、社員やビジネスパートナー、協働者に対して、個人情報保護の方針や「NTTデータグループセキュリティポリシー」に記載されたルールの理解、情報セキュリティを意識した行動の理解を促すために、e-ラーニングや座学教育等の情報セキュリティ教育を実施しています。2021年度も社員一人ひとりに情報セキュリティの基本行動を徹底させるため、各種施策を継続して実施しました。
2022年度にNTTデータで実施した情報セキュリティ教育
(単位:人)
| 対象者 | 実施形態 | 受講者数 | |
|---|---|---|---|
| 全社員 | 情報セキュリティ・個人情報保護教育 (e-ラーニング) |
目標 | 対象者 12,788(100%修了) |
| 実績 | 対象者 12,788(100%修了) | ||
| 各階層 | 情報セキュリティ講話(座学教育) | 人事統括本部で実施(階層研修プログラムとして組み込み) | |
| セキュリティ社内資格者向け教育(e-ラーニング) | 対象者に教材をオンライン提供 | ||
2022年度に実施した主なグループ会社の情報セキュリティ教育
(単位:人)
| 対象者 | 実施形態 | 受講者数 |
|---|---|---|
| グループ会社社員・協働者 | ・GSP セキュリティ教育・個人情報保護教育 (e-ラーニング)(3言語) |
35,637(国内グループ会社 66 社) |
- ※上記のほか、海外グループ会社向けには各地域統括会社の配下で情報セキュリティ教育を実施
認証取得状況(2022年9月30日現在)
| 認証取得 |
|
|---|
