(注)1. 上記指標の集計範囲は、いずれも国内主要6社(当社、NTTドコモ、NTTコミュニケーションズ、NTT東日本、NTT西日本、NTTデータ)です。
2. 当社における本報告書提出日現在の女性の役員比率は、取締役30.0% 、監査役40.0% 、執行役員40.0%です。
・緊急通報(110、119等)を扱う音声サービス:1時間以上かつ3万人以上
・緊急通報を扱わない音声サービス:2時間以上かつ3万人以上、または1時間以上かつ10万人以上
・インターネット関連サービス(無料):12時間以上かつ100万人以上、または24時間以上かつ10万人以上
・その他の役務:2時間以上かつ3万人以上、または1時間以上かつ100万人以上
NTTグループでは指定公共機関として緊急通信や重要通信を確保できるよう、日々対策に取り組んでいます。また、近年、巨大化・広域化・長期化する災害の多発に加え、武力攻撃やテロ等の物理的な攻撃リスクが高まっています。通信設備やサービスへの影響の増大や復旧の長期化を踏まえ、設備の強靭化や復旧対応の迅速化を推進しています。
これまでの通信故障等の反省や教訓を活かし、大規模故障やサイバー攻撃等の発生を踏まえた強靭なネットワーク/システムを実現し、社会インフラを強化します。また、激甚化する自然災害等への対策を強化します。この実現に向け、2025年度までに1,600億円※1規模の投資を実施します。
強靭なネットワークシステムの構築に向けては、今後、想定外の事象にも対応できるよう、「想定外の事象は必ず起こる」ことを前提に置き、人的ミスや故障発生の未然防止策を講じるとともに、故障が起きてしまった際の影響を最小化する取組みを進めていきます。
加えて、災害対策の更なる強化と世界標準のサイバーセキュリティ対策を進め、安心・安全なサービス提供に取り組みます。
(注)外部からのサイバー攻撃に伴う電気通信サービス停止件数の集計範囲は、指定公共機関である通信4社(NTT東日本、NTT西日本、NTTコミュニケーションズ、NTTドコモ)です。
● 推進体制
● NTTグループがめざすセキュリティガバナンス
NTTは、サイバーセキュリティとレジリエンスに対する米国政府のイニシアティブである、共同サイバー防衛連携(JCDC、Joint Cyber Defense Collaborative)にアジアで最初のメンバーとして加入しました。
2021年に米国サイバーセキュリティ・インフラセキュリティ庁(CISA)によって設立されたJCDCは、官民合同のサイバー防衛計画、サイバーセキュリティ情報の融合、重要インフラ、及び国家重要機能へのリスクを低減するためのサイバー防衛ガイダンスの普及を主導しています。メンバーは民間企業としては、AT&T、Verizon、Lumen、Microsoft、Google、Cisco、Mandiant、Palo Alto Networks等のいわゆる大手通信企業、メガテック企業、主要セキュリティ会社であり、加えて米国政府のインテリジェンス関連省庁が名を連ね、米国にとっての友好国のサイバーセキュリティ関連省庁も参加しています。NTTは、JCDCから得られるグローバルなインテリジェンスを活用し、重要な情報ネットワークの保護や、サイバーインシデントへの対応等をより効果的に実施することが可能となります。また、NTTは他のJCDCメンバーとの情報共有を通じ、サイバーセキュリティに関する取組みをさらに推進することができます。
これまでのCISA、並びに米国政府との協力・信頼関係を基に、JCDCにアジアからのユニークな視点を提供するとともに、NTTのリーダーシップ、及びセキュリティに関するグローバルな経験や幅広い専門知識を共有します。サイバーセキュリティをめぐりグローバル規模で不透明な時代が当面続くと思われますので、私たちの日常生活を支える重要な社会インフラシステムを脅かすサイバー攻撃を防御するために、サイバーセキュリティの官民連携は、米国とのみならず、国際的に必要とされるものと確信しています。
NTTでは、2019年にレッドチームを設立しました。レッドチームとは、外部の攻撃者の視点に立って疑似的なサイバー攻撃を行うチームです。サイバーセキュリティにおける攻撃と防御の関係はいたちごっこのようなところがあり、どんなに防御をしても次々と新しい攻撃手法が編み出されてしまいます。また、攻める方は何度でも様々な攻撃を仕掛けてそのうち1回成功すればよいのに対し、守る方はすべてを守り切らなければならず、攻撃者優位の構図にあります。こうした状況に対応するため、内部に疑似的攻撃チームを持って、攻撃者目線で対応策を練るという発想に立って作られたのがNTTのレッドチームです。その目的はあくまで防御力の向上であり、したがって活動も疑似攻撃を行ったら終了ではありません。疑似攻撃の後に、対象となったシステムの脆弱性や組織としての課題を分析・整理して報告し、改善のアドバイスまで提供すること、場合によっては改善の実行支援まで行うこと、それがNTTのレッドチームの活動内容です。
NTTでは、2022年にバグ・バウンティ・プログラムの試験運用を行い、2023年から本格的に開始しました。バグ・バウンティとは、情報システムに潜むセキュリティの穴を見つけた人に支払う報奨金です。NTTではこの制度を以下の目的で実施しています。
①悪意ある第三者に脆弱性を悪用される前に発見・対処することで、NTTグループのセキュリティレベル向上をめざす。
②参加する社員に攻撃者目線でのセキュリティスキルを研鑽する場を提供することで、セキュリティ人材の育成を図る。
試験運用では、会社のセキュリティ向上に貢献するだけでなく、潜在的なセキュリティ人材を発見し、さらには腕を磨く効果もあることがわかりました。本格運用は2023年から始まったばかりなので、継続的に洗練度を高めていくことになりますが、その過程でセキュリティ向上は全社員参加・会社全体で進めるもの、という意識も広めていきます。
NTTのサステナビリティ