情報セキュリティの確保

情報セキュリティ推進体制

NTT東日本では、最高コンプライアンス責任者（CCO）、最高情報セキュリティ責任者（CISO）を置き、社長直結組織として設置された「情報セキュリティ推進部」がグループ横断的かつ統一的にお客さま情報をはじめとした各種情報の保護・管理、適正な取り扱い等のさらなる徹底・強化を図っています。あわせて主要なグループ会社においても「情報セキュリティ担当」を設け、グループ全体での情報セキュリティ推進体制を構築しています。

この体制の下、「情報セキュリティ基本規程」に基づき、各種点検・監査の実施や研修による社員の知識向上・意識醸成、セキュリティゾーンの構築をはじめとした技術的・物理的対策を強化することで、情報セキュリティの確保に努めてきました。

また、社内委員会である「情報セキュリティ推進委員会」を定期的に開催し、情報セキュリティに関する基本方針や各種セキュリティ対策等について審議し、全社的な取り組みを推進しています。

この取り組みはグループ会社に対しても行っており、情報セキュリティ・サイバーセキュリティの確保に関わる体制整備、対策を行っています。

NTT東日本におけるマネジメント

情報セキュリティ監査実施組織数

セキュリティゾーンの構築による物理的セキュリティ対策

お客さま情報等を日常的に取り扱う事務室においては、取り扱う情報の内容に応じてカメラの設置や生体認証装置による入退室規制等を実施するセキュリティゾーンを構築し、情報を取り扱う環境を厳格に規制しています。

さらに、お客さま情報等をシステムから抽出する等の業務を行う事務室においては、セキュリティゾーン内に入退室のログ管理が可能なゲートを設置し居室を分離する等、より一層厳格な措置を講じています。

事務室の入退室管理のイメージ（生体認証装置による入退室規制と監視カメラによる作業状況の監視の例）

外部からの不正アクセス、標的型攻撃等への対策

NTT東日本では情報セキュリティ推進部とは別にサイバーセキュリティに関する専門組織を設置し、「装備」「運用」「対処」の観点から、多層防御等の必要な対策に取り組むとともに、より高度な攻撃への迅速な対処に向けて振る舞い検知やEDR^※等最新技術の活用も進めています。また、危機管理体制を整備し、サイバー攻撃を想定したインシデント対応訓練にも取り組んでいます。

今年度も巧妙化する標的型攻撃メールによる被害の発生を防ぐため、全社員を対象に擬似メールを送信し、不審メールの見極めおよび受信時のエスカレーションまで実行する実践的な演習を実施するとともに、社内への情報発信を強化しました。

• ※Endpoint Detection and Responseの略。コンピュータシステムのエンドポイントにおいて脅威を継続的に監視して対応する技術。

標的型攻撃メール演習のイメージ

情報セキュリティに関する各種点検の実施

事業第一線の組織自らが、情報に関する取り扱いルールの遵守状況を日々点検するとともに、定期的に業務システムへのアクセス権限付与が適正であるか、不適切なアクセスがなされていないかログを確認する点検を行い、常日頃から厳格な情報管理体制の維持に努めています。