情報セキュリティの確保
情報セキュリティ推進体制
NTT東日本では、最高コンプライアンス責任者(CCO)、最高情報セキュリティ責任者(CISO)を置き、社長直結組織として設置された「情報セキュリティ推進部」がグループ横断的かつ統一的にお客さま情報をはじめとした各種情報の保護・管理、適正な取り扱い等のさらなる徹底・強化を図っています。あわせて主要なグループ会社においても「情報セキュリティ担当」を設け、グループ全体での情報セキュリティ推進体制を構築しています。
この体制の下、「情報セキュリティ基本規程」に基づき、各種点検・監査の実施や研修による社員の知識向上・意識醸成、セキュリティゾーンの構築をはじめとした技術的・物理的対策を強化することで、情報セキュリティの確保に努めてきました。
また、社内委員会である「情報セキュリティ推進委員会」を定期的に開催し、情報セキュリティに関する基本方針や各種セキュリティ対策等について審議し、全社的な取り組みを推進しています。
この取り組みはグループ会社に対しても行っており、情報セキュリティ・サイバーセキュリティの確保に関わる体制整備、対策を行っています。
NTT東日本におけるマネジメント
情報セキュリティ監査実施組織数
年度 | 2021年度 | 2022年度 | 2023年度 |
---|---|---|---|
組織数 | 45 | 48 | 49 |
システム等による技術的な情報セキュリティ対策
お客さま情報等を保有する重要なシステムの運用にあたっては、業務目的によって細分化されたアクセス権限の設定や操作ログの記録・保存等により、情報の不適正な利用の防止を図っています。
また、お客さま情報等を誤って社外へ流出させることを防止するため、メールを送信する際に送信ボタンを押すと「送信先」「メール本文の内容」「添付ファイルの内容」に誤りがないかを自ら確認する機能や、社外宛のメールにファイルを添付して送信する場合はメールの盗聴や暗号化によるウィルス検知がされない問題に対応するため、クラウドストレージを利用したファイル授受に加え、管理者の承認を必要とするしくみを導入しています。
その他にも、リモートワークに対応したセキュリティ環境を整備する等、セキュリティリスクを低減する対策を実施しています。
メールの誤送信防止システムのイメージ
基本動作の再確認とマインド醸成を目的とした研修・啓発の実施
情報セキュリティを確保するためには、導入した対策を一過性の取り組みで終わらせることなく、改善を繰り返しながら継続的に実践していくことが重要であり、すべての社員等が情報セキュリティの重要性を十分に認識・理解し、かつ能動的に取り組む企業風土を醸成する必要があります。
そのため、本社、事業部、支店、グループ会社の社員を対象に、お客さま情報等の取り扱いに関するeラーニング等による各種研修を実施し、情報セキュリティに関する意識の向上に取り組んでいます。
あわせて情報セキュリティの重要性に対する認識を深めるさまざまな取り組みも促進しています。今年度も、リモートワーク拡大に伴う情報セキュリティリスクの理解向上に向けた教育ツールの展開やウィジェットツールを用いた社員PC端末へのメッセージ配信等、セキュリティ意識の高い職場風土の形成を図りました。
セキュリティゾーンの構築による物理的セキュリティ対策
お客さま情報等を日常的に取り扱う事務室においては、取り扱う情報の内容に応じてカメラの設置や生体認証装置による入退室規制等を実施するセキュリティゾーンを構築し、情報を取り扱う環境を厳格に規制しています。
さらに、お客さま情報等をシステムから抽出する等の業務を行う事務室においては、セキュリティゾーン内に入退室のログ管理が可能なゲートを設置し居室を分離する等、より一層厳格な措置を講じています。
事務室の入退室管理のイメージ(生体認証装置による入退室規制と監視カメラによる作業状況の監視の例)
外部からの不正アクセス、標的型攻撃等への対策
NTT東日本では情報セキュリティ推進部とは別にサイバーセキュリティに関する専門組織を設置し、「装備」「運用」「対処」の観点から、多層防御等の必要な対策に取り組むとともに、より高度な攻撃への迅速な対処に向けて振る舞い検知やEDR※等最新技術の活用も進めています。また、危機管理体制を整備し、サイバー攻撃を想定したインシデント対応訓練にも取り組んでいます。
今年度も巧妙化する標的型攻撃メールによる被害の発生を防ぐため、全社員を対象に擬似メールを送信し、不審メールの見極めおよび受信時のエスカレーションまで実行する実践的な演習を実施するとともに、社内への情報発信を強化しました。
- ※Endpoint Detection and Responseの略。コンピュータシステムのエンドポイントにおいて脅威を継続的に監視して対応する技術。
標的型攻撃メール演習のイメージ
情報セキュリティに関する各種点検の実施
事業第一線の組織自らが、情報に関する取り扱いルールの遵守状況を日々点検するとともに、定期的に業務システムへのアクセス権限付与が適正であるか、不適切なアクセスがなされていないかログを確認する点検を行い、常日頃から厳格な情報管理体制の維持に努めています。