情報セキュリティの確保
基本的な考え方
NTT東日本は、お客さまから信頼される企業であり続けるために、情報セキュリティを重要な経営課題の一つとして認識し、「プライバシーポリシー」等を定め、遵守の徹底に努めています。これらの方針に則り、情報セキュリティ推進体制を構築し、KPIを設定したうえで、各種取り組みの実施、改善、強化を図っています。
また、巧妙化・組織化するサイバー攻撃など、ますます高度化する脅威に対して対策を講じ、NTT東日本グループ全体で情報セキュリティの確保に取り組むことで、お客様からの信頼を維持し、パートナーの皆さまとともに、安心・安全なデジタル社会の実現に貢献していきます。
KPI・目標と実績
| KPI | 対象範囲 | 目標 | 2024年度実績 |
|---|---|---|---|
| サイバー攻撃に伴う重大なインシデント発生件数 | NTT東日本(単体) | ゼロ | ゼロ |
| 情報漏洩件数 | NTT東日本グループ | ゼロ | ゼロ |
情報セキュリティ推進体制
NTT東日本では、最高コンプライアンス責任者(CCO)および最高情報セキュリティ責任者(CISO)を設置し、社長直轄の組織である「情報セキュリティ推進部」を中心に、「NTT東日本情報セキュリティ推進チーム」を設置し、グループ全体のセキュリティ対策強化およびセキュリティガバナンスの強化を図っています。
また、社内委員会である 「情報セキュリティ推進委員会」 を定期的に開催し、情報セキュリティに関する基本方針や各種対策について審議し、全社的な取り組みを推進しています。
これらの体制の下、 「情報セキュリティ基本規程」 を定め、各種点検・監査の実施、社員等の知識向上と意識醸成を目的とした研修の実施等、技術的・物理的な対策の強化を通じて、情報セキュリティの確保に努めています。
NTT東日本におけるマネジメント
重大なセキュリティインシデント発生時の緊急対応体制
NTT東日本において情報セキュリティインシデントが発生した場合は、緊急性や重大性といった影響度により、関連組織によるIRT(インシデント・レスポンス・チーム)を招集し、経営幹部と連携し迅速な対応を行います。
また、サイバー攻撃に対応するCSIRT(NTT EAST-CIRT)を設置し、自社設備への攻撃の監視や国内外の攻撃動向の収集を行い、インシデント発生に備えています。重大なインシデントの発生時には、CSIRTを中心とした全社的な有事態勢としてサイバーセキュリティ対策本部を立ち上げ、NTTグループ各社との協力体制のもと、社内外の関係組織や経営幹部と密に連携し、迅速に対応を進めています。
技術的セキュリティ対策
システム等による技術的な情報セキュリティ対策
お客さま情報等を保有する重要なシステムの運用にあたって、NTT東日本では業務目的によって細分化されたアクセス権限の設定や操作ログの記録・保存等により、情報の不適正な利用の防止を図っています。
また、お客さま情報等を誤って社外へ流出させることを防止するため、メールを送信する際に送信ボタンを押すと 「送信先」「メール本文の内容」「添付ファイルの内容」に誤りがないかを自ら確認する機能や、社外宛のメールにファイルを添付して送信する場合は、クラウドストレージを利用したファイル授受に加え、管理者の承認を必要とするしくみを導入しています。
その他にも、リモートワークに対応したセキュリティ環境を整備する等、セキュリティリスクを低減する対策を実施しています。
メールの誤送信防止システムのイメージ
物理的セキュリティ対策
NTT東日本は、情報の盗聴や不適切な持出し、部外者の侵入等による漏えいを防ぐため、物理的なセキュリティ対策を行っています。具体的には、情報を取り扱う建物やフロアへの入退室管理、重要な文書の施錠保管やペーパレス化、情報の持ち出し管理、電子記録媒体の管理、端末廃棄時のデータ消去等の諸対策を講じています。
情報セキュリティに関する研修・啓発
情報セキュリティを確保するためには、導入した対策を一過性の取り組みで終わらせることなく、継続的な改善を重ねながら実践していくことが重要です。また、すべての社員等が情報セキュリティの重要性を十分に認識・理解し、能動的に取り組む企業風土を醸成する必要があります。
そのため、グループ会社も含めた全社員等を対象に、お客さま情報の取り扱いに関するeラーニング等、各種研修や、加えて、ウィジェットツールを活用して社員のパソコン端末へメッセージを配信する等を実施し、情報セキュリティに対する意識の向上に努めています。
また、事業の拡大に伴い、新たに設立したグループ会社に対しても、情報セキュリティリスクを認識したうえで事業を遂行できるよう、研修教材を作成し、研修を実施しています。
外部脅威への対策
外部からの不正アクセス、標的型攻撃等への対策
NTT東日本では、サイバーセキュリティ対策について、「特定」「防御・検知」「対応・復旧」の各フェーズで技術面・運用面での対策を実施しています。
システム開発・導入の各工程にセキュリティの専門組織が関与することで、脆弱性リスクを低減するとともに、複数のセキュリティ対策装置による多層防御によりサイバー攻撃の検知・防御を行っています。また、危機管理体制を整備し、サイバー攻撃を想定したインシデント対応訓練にも取り組んでいます。
巧妙化する標的型攻撃メールによる被害の発生を防ぐため、グループ会社を含む全社員等を対象とした知識醸成に向けた研修、擬似メールを送信し、不審メールの見極めおよび受信時のエスカレーションまで実行する実践的な演習を実施するとともに、社内への情報発信を強化しています。
標的型攻撃メール演習のイメージ
サイバーインシデント演習
NTTグループ全体で年1回実施するサイバーインシデント対応演習に、NTT東日本からも参画し、インシデント時の対応を確認する演習を行っており、NTT東日本でも年数回、サイバー攻撃による被害を受けた際の対応を演習し、経営幹部を含めた対応体制構築および対応手順の確認を行っています。
点検・監査体制
情報セキュリティに関する各種点検の実施
事業の第一線にある各組織が、自ら情報の取り扱いルールの遵守状況を定期的に点検するとともに、業務システムへのアクセス権限が適切に付与されているか、不適切なアクセスが行われていないかについても、ログの点検などを通じて定期的に確認し、日頃から厳格な情報管理体制の維持に努めています。
情報セキュリティに関する監査
グループ全体で、「3ラインモデル」に基づき、情報セキュリティガバナンス強化に取り組んでおり、内部監査の一環として、情報セキュリティの管理体制や情報の適正な取扱い状況、システムのセキュリティ対策等について、全組織を対象に1年〜3年の周期で監査を実施しています。
監査項目やリスク評価の観点については、社内外におけるセキュリティインシデントの発生状況等、環境の変化を注視しながら策定しており、重要情報を扱うシステムのセキュリティ対策状況や運用状況などを監査項目としています。
監査結果は、経営会議および取締役会に報告することとしています。
情報セキュリティ監査実施組織数
| 年度 | 2024年度 |
|---|---|
| 組織数 | 45 |