Social Challenge 6
安心安全でレジリエントな
社会へ
なぜ取組むのか
デジタル化社会の重要インフラを支える企業として、今世紀の最大脅威である「自然災害」「デジタル災害(サイバー攻撃等)」「疫病」に対してテクノロジーの力を駆使して安心・安全を守ることは私たちNTTグループの責務であると考えています。
何を成し遂げるか
デジタル化社会の重要インフラを支える企業として、テクノロジーの力を駆使し、「自然災害」「デジタル災害(サイバー攻撃等)」「疫病」から安心・安全を守り、レジリエントな社会を実現してまいります。
将来的な展望・見通し
私たちNTTグループは、民主的で多様な文化を認め合いながら発展する社会と価値創造に貢献するために、あらゆる人・モノ・文化(国~集団・社会)を高い倫理観とデジタルの力でつなぎ社会課題の解決に貢献してまいります。
Business Activity 19
サービスの安定性と信頼性の確保
コミットメント内容
デジタル化社会の重要インフラを支える企業として、テクノロジーの力を駆使し、「自然災害」から安心・安全を守ると共に、大規模ネットワーク故障に備えたネットワーク強靭化を図り、レジリエントな社会を実現してまいります。
具体的目標
0件
重大事故発生件数
方針・考え方
NTTグループは、平常時から社会の通信インフラを支えることを使命とする企業グループとして、いつでもどこでもつながる信頼性の高い通信ネットワークの構築に尽力しています。災害時には通信の重要性が高まることから、災害に対する救助・復旧活動をはじめ、公共秩序の維持に必要な重要通信、110番・119番・118番といった緊急通信の確保、に努めております。とくに日本は地震や台風といった自然災害が多く、甚大な被害をもたらした東日本大震災では、通信の重要性があらためて認識されました。首都直下型地震や南海トラフ地震などの発生も想定されるなか、こうした起こりうる災害に備え、通信の安定性と信頼性を確保することがますます求められています。
NTTグループは、「重要通信の確保」「サービスの早期復旧」「ネットワークの信頼性向上」を災害対策の基本と位置づけ、東日本大震災以降はこれらをさらに強化しています。また、中期経営戦略に「災害対策の取組み」を掲げ、さらなる通信インフラの強化、初動対応の強化(プロアクティブな災害対応)、被災した方々への情報発信力の強化にも注力しています。
推進体制
NTT、NTT東日本、NTT西日本、NTTコミュニケーションズ、NTTドコモの5社は災害基本法における指定公共機関として、防災に関して取るべき措置を定め、円滑かつ適切な災害対策を遂行するために、「防災業務計画」を定めています。各社は防災業務計画にもとづき、あらかじめ災害対策組織を編成し、災害発生時はその規模・状況に応じた態勢を取るとともに、関係政府機関とも緊密な連携を図り、円滑かつ適切な災害復旧と重要通信の確保に努めています。
また、日頃より通信サービスが途絶えないよう、通信伝送路の多ルート化や通信ビル・通信基地局の停電対策、通信ビルの耐震性強化などを図り、通信の信頼性向上に努めるとともに移動電源車などの災害対策機器の全国配備を充実させ、大規模災害を想定した訓練も繰り返し実施し、緊急通信や重要通信を確保できるよう、日々対策に取組んでいます。
NTTグループ「防災業務計画」
主な取組み
重要通信の確保
NTTグループは、災害時に必要な通信を確保するため、被災地での特設公衆電話の設置や携帯電話などの貸し出し、被災地の方の安否を確認するための手段の提供など、さまざまな取組みを実施しています。あわせて、110番・119番・118番などの緊急通報回線の被災に備え、警察本部・消防本部・海上保安本部などの指令台まで複数ルートの回線を設置するなどの対策を行っています。
さらに、大規模災害が発生した際、交通機関遮断などの社会的混乱が予想されます。その際、各通信事業者における携帯電話および固定電話の通話規制状況などを総合的に勘案し、必要と判断される場合には、公衆電話から発信する際の通話料などを無料化しています。通話料を設定している事業者においては通話料を無料とし、接続料を設定している事業者においては接続料を事業者間で精算しない扱いとしています。具体的な事業者名などについては下記Webサイトをご確認ください。
NTT東日本エリアの公衆電話の無料化措置について
NTT西日本エリアの公衆電話の無料化措置について
災害発生時の安否確認や情報収集を容易にするサービスの提供
大規模な災害が発生し、被災地への電話がつながりにくい状況が発生した場合などには、安否確認手段として下記のようなサービスを開設・提供しています。
災害発生時などに、これらの安否確認手段を開設した場合には、速やかに報道機関やWebサイトなどを通じて、お客さまへお知らせしています。
「災害用伝言板( web171)」と「災害用伝言板( iモード/spモード)」は、検索機能を連携させることで、当該サービスを提供する各社に登録された内容を、いずれの提供事業者のサービスからも参照することが可能になったほか、安否情報登録時に指定された通知先へメールや音声で通知を行う機能があります。
また、「災害用伝言板(web171)」は英語・中国語・韓国語、「災害用伝言板(iモード/spモード)」は英語に対応し、登録可能な伝言数や保存期間を拡大するなど、利便性向上を図っています。
なお、災害用伝言板(web171)は2019年8月よりおよび株式会社NTTドコモ、KDDI株式会社、ソフトバンク株式会社提供の「災害用伝言板」との連携により、それぞれで登録された伝言内容を、相互に確認が可能となりました。
主なサービス
-
災害用伝言ダイヤル(171)
被災地との安否確認手段として、電話により音声の伝言をお預かり -
災害用伝言板(web171)
インターネット経由でテキストによる伝言をお預かり -
災害用伝言板(iモード/spモード)
携帯電話から文字による伝言をお預かり
通信サービスの安定性と信頼性確保
昨今の気候変動の影響による大雨や台風の増加等、自然災害による被害の多発に伴い、水害、雷害、停電等のリスクが高まるとともに、発生した際の被害も甚大なものとなってきています。
NTTグループは、移動電源車やポータブル衛星装置などの機動性のある機器の配備や機能の高度化、各地域での防災訓練に参加するなど、通信サービスの早期復旧に努めています。また、災害に強い通信設備の構築に取組むとともに、通信ネットワークが常に正常に機能するよう、定期的な安全パトロールや予防保全的な装置交換など保守・運用にも万全な体制で臨むことで、災害に強い通信ネットワーク・設備づくりに努めています。
通信設備の耐災性確保
通信設備や建物、鉄塔などは、地震・風水害・火災・停電などさまざまな災害を想定した設計基準を定め、耐災性を確保しています。
主な対策例
- NTTの通信ビルや鉄塔を震度7クラスの地震や風速60m/sの大型台風にも耐えられるように設計
- 津波や洪水などによる通信設備への浸水防止のため立地条件に合わせて水防扉などを設置
- 通信機械室への防火シャッターや防火扉を設置
-
突然の停電時に電力を長時間確保できるよう通信ビルや通信基地局に予備電源を設置
万一の際は移動電源車から配電・給電 - 他通信サービスが途絶えないよう中継伝送路の多ルート化を実施
- 災害時などにひとつの基地局で大きなエリアをカバーできる大ゾーン携帯基地局を設置
- 非常用電源の燃料タンクの設置
さらなる設備の強靭化・復旧対応の迅速化
近年、大規模な災害影響が多発しています。通信設備やサービスへの影響の増大や復旧の長期化を踏まえ、設備の強靭化や復旧対応の迅速化等に対するさらなる取組みも推進しています。
設備の強靭化に関する主な取組み
- 停電対策など、災害に対する備えを持たせた中ゾーン基地局の拡大
- EVを活用した基地局の停電対策
- NTTグループが保有する移動電源車(約400台)の一元管理、運用
- 災害影響などを考慮したケーブルの地中化やワイヤレス固定電話などの検討
復旧対応の迅速化に関する主な取組み
- AIを活用した被害想定による復旧体制(全国広域支援体制など)の事前立上げ
被災されたお客さま支援の強化
- 避難等を支えるための、リアルでわかりやすい情報発信(通信被災状況、復旧状況、充電スポット、災害時公衆電話等の開設状況、訪日/在留外国人対応など)
- 被災地での出張113開設などを通じた、通信にかかわるお困りごと相談の受付
平常時における安定した通信サービスの提供
常に安心して通信サービスをご利用いただくことができるよう、通信ネットワークの監視システムの運用、事故や故障の未然防止対策、ネットワークの保守・運用に携わる人材のスキル向上に取組んでいます。
- 24時間365日リアルタイムでネットワーク運行状況を監視・制御するオペレーション体制
- 正常稼働時における通信装置のパフォーマンス情報収集・分析を通じた故障の予兆把握と対処
- 予期せぬトラブルが発生した際の迅速かつ的確な回復措置を可能とする体制の構築および手順の見直し
- 過去のトラブルから得た教訓の水平展開や重大事故につながる可能性のある事例分析による基本動作の徹底強化
- ネットワークの保守・運用に携わる人材を育成するための研修・訓練の実施や仕組みの構築
携帯電話基地局・端末の運用(NTTドコモ)
電波の人体への影響については、これまで60年以上にわたり世界各国で研究が行われ、日本をはじめ世界では、電波を安全に利用するための基準や制度が設けられています。
日本では1990年に郵政省(現在の総務省)が過去40年にわたる国内外の研究結果にもとづいて、電波の人体に対する安全性基準を「電波防護指針」として定めています。同指針の基準値は世界保健機関(WHO)が推奨する国際的な指針と同等で、この基準値以下の強さの電波は健康に悪影響をおよぼすおそれはないと世界的にも認識されています。
NTTドコモの携帯電話基地局ならびに端末は、同指針の基準値を下回るレベルで運用しています。電波防護指針のもとで制定された関係法令を遵守し、サービスを提供しており、安心して携帯電話をご利用いただけます。
NTTドコモ「電波の安全性について」
活動事例紹介
社会の公器として、ドローンで「インフラ点検」に革命を
普段はあまり意識することのない「インフラ」という存在。水、電気、通信、交通など、暮らしを下支えするインフラの重要性は、何か事故が起こってから、初めて実感するものです。インフラは一度止まると本当に多くの人の生活に影響を与えるからこそ、インフラの点検は止められません。高度経済成長期に急速に整備された日本のインフラは、50年以上経過して、老朽化の課題が深刻化。それに伴い、定期的なインフラ点検の重要性もまた、増しています。
全国にある橋梁、鉄塔などの点検費用を調べると、年間300億円ほどのコストがかかっています。修繕まで含めると、約1兆円。これから日本には人口減少の時代が訪れます。税収が減ることで点検にコストをかけられなくなるでしょう。また、点検できる技術者も高齢化していきます。だからこそ、ドローンで点検業務の効率化に挑戦しています。インフラ老朽化問題を解決するべく立ち上がったジャパン・インフラ・ウェイマークは、人材不足のインフラ点検業務をドローンでサポートしています。例えば橋梁の場合、高さのある橋脚を点検するためには、足場を組んだり、リフトを利用したり、ロープで吊るしたりして、点検者が橋脚を目視するのが一般的でした。しかし、これらの方法は手間がかかるだけでなく、危険も伴います。
これらの作業をドローンで行います。米国企業と共同開発した機体は、上下に3つずつ搭載したカメラが人間の目のように対象を認識することで、障害物にぶつからないように自動運航することができます。GPSが受信できない橋の下のような環境でもオートマティックに障害物を避けながら運航できる唯一のドローンなので、それまで難しかった橋の裏側の点検も可能になりました。点検対象に近づいてそのままカメラで撮影すれば0.05ミリのクラック(ひび割れ)も判別できます。着陸した後には自動的に撮影データをクラウドにアップロードして、点検帳票も作成するため、点検プロセスの最初から最後までを効率化し、創業3年で6400設備の点検実績(2022年6月時点)があります。
KDDIとの社会貢献連携協定の締結
大規模災害時の船舶を相互利用した物資運搬や災害対応の訓練・啓発活動における相互協力を開始するため、2020年9月11日に「社会貢献連携協定」をKDDIと締結しました。この取組みを通じて、レジリエントな社会基盤の構築など、持続可能な社会の実現をめざします。また、今後は災害対策や就労支援に加え、スマートフォンの健全利用、気候変動への対応など、両社のアセットを活用して貢献できる分野を共同で検討していきます。
就職氷河期世代等への就労支援施策
KDDIと取組んできた就労支援の取組みでは、就職氷河期などの社会環境の急激な変化や昨今の新型コロナウイルス感染症の拡大などにより就業へ大きな影響を受けた方を対象に、2021年3月以降、リモートワークやICTのスキルに関わる研修をはじめとする就労支援を実施。
連携施策の第二弾として就職氷河期世代等への就労支援施策を実施し、両社で248名の合格者を輩出しました。
耐震・耐火・耐水対策
NTTの通信ビルや鉄塔は、震度7クラスの地震でも崩壊・倒壊を回避できる耐震設計となっており、日本が経験した最大級の災害にも十分に耐えられるよう独自の厳しい基準に基づいて建設されています。
火災に対しては、通信ビル等の建物を不燃化、耐火構造化しており、通信機械室には防火シャッターや防火扉を設置し、貫通孔の耐火塞ぎを実施しています。
津波や洪水等に対しても、通信ビルへの浸水を防ぐ為、立地条件にあわせて、ビルの扉を水防扉へ取り換え、窓等の開口部を閉鎖、津波の水圧に耐えられるよう壁をコンクリートで補強する等の対策を行っています。
通信ビル・基地局の無停電化
停電時にも電力を長時間確保できるよう、通信ビルや無線基地局にはバッテリーやエンジン等の予備電源を設置しています。
また、東日本大震災の教訓を活かし、自治体の災害対策本部が設置される都道府県庁や、市区町村役場等のある重要エリアにある約1,900の基地局において、エンジン発電機による無停電化、またはバッテリーの24時間化対策を実施しています。
さらにバックアップとして移動電源車や可搬型の発電機等を各エリアに配備しており、状況に応じて被災地への広域支援も実施します。
中経伝送路の多ルート化・重要通信ビルの分散
国内の中継伝送路は、網目のように構築されており、万一、ひとつのルートが被災しても、自動的に他のルートへ切り替え、通信が確保できるよう設計されています。また、中継交換機等の重要設備を設置した通信ビル(重要通信ビル)が被災すると、このビルを経由する通信は途切れてしまうことになるため、重要通信ビルを分散して設置し、複数の重要通信ビルが同時に被災する危険を回避しています。
サービスの早期復旧
被災時には、機動性のある災害対策機器の活用や、ドローンによる状況確認等により被災エリアの早期復旧に努めます。
災害対策機器の活用
災害により無線基地局に被害が発生した場合に、現地で応急復旧措置を取れる移動基地局車や移動電源車を全国に配備しています。また、津波などにより沿岸部が広範囲にわたって通信不能となった場合、海上に錨泊する船舶に搭載した携帯電話基地局から、衛星エントランス回線を使用して沿岸に向けて電波を発射しサービスエリアを構築する船上基地局も導入しています。
ドローンによる現地の状況確認
道路の寸断などにより基地局などに近付けない場合、その状況確認をいち早く行い、その後速やかに復旧などができるようにドローンを活用しています。
安定した通信サービスに対する取組み
リアルタイムなネットワーク監視・制御
全国の通信ネットワークは、24時間365日リアルタイムで運行状況を監視・制御し、故障や災害に即応しています。
有事等万一の事態にも即応するため、社会情勢に応じ適宜監視体制の強化等を実施しています。
災害・大規模故障発生時の対応力向上
災害や予期せぬ装置故障が発生した際にも、迅速かつ的確な回復措置を可能とするため、ネットワークの保守・運用に携わる人材を育成する研修・訓練を適宜実施しています。
また、過去のトラブル対応から得た教訓を水平展開し、再発防止策の実施、措置手順の見直しや基本動作の徹底を図っています。
大規模故障等の発生を踏まえたネットワーク強靭化に向けた取組み
2022年8月にNTT西日本、12月にはNTTドコモ、2023年4月にはNTT東日本・NTT西日本とNTTグループで度重なる大規模故障が発生いたしました。
これまでも、NTTグループで発生させてしまった大規模故障に対しては迅速かつ的確なサービス復旧を行うとともに、当該会社はもちろんのこと、他のグループ会社も含め絶対に再発させないという目的から、故障原因を早期に究明し、顕在化したリスクに対してグループ横断での総点検・再発防止に努めてきました。
「システム故障再発防止委員会」を立上げ・再発防止策および中期的なネットワークの在り方について議論
NTTグループでは、2022年7月に発生した他の通信事業者の大規模故障を我が事と捉え、これを契機に①NTTグループでの新たな対策の必要性、②大規模故障時における緊急通報のローミングの在り方、③より強靭なネットワークアーキテクチャ・オペレーションの在り方について、検討を開始していました。その中で、2022年8月にNTT西日本で大規模故障を発生させてしまったことから、「システム故障再発防止委員会」という形に1段レベルを上げて、NTT東西・ドコモ・コミュニケーションズの各グループ会社のCDO/CTO級のメンバーを集め、再発防止策および中期的なネットワークの在り方について議論を重ねることとしました。
システム故障再発防止委員会では、昨今発生している大規模故障やNTTグループ以外で発生した事象も踏まえ、想定外のことは必ず起こることを前提に、「①人的ミスの発生防止・運用支援」、「②サービス故障の未然防止」、「③故障時の影響最小化」の3つの観点で取り組み、より強靭性の高いネットワークをめざすこととしました。
①人的ミスの発生防止・運用支援
1点目は、人的ミスの発生を防止するための仕組みです。ネットワーク内の各種情報を一元的に集約して、ネットワークの状況を可視化し、故障とサービスへの影響状況を早期かつ正確に把握します。更に、AIによる被疑箇所の特定、デジタルツインを用いた安全な切替のシミュレートにより人的ミスの発生を抑止します。また、自動的な復旧措置、自律的なリソース拡張・切替等の実現をめざします。
②サービス故障の未然防止
2点目はシステムの冗長化やリソースの拡張等によりサービス故障の発生を未然に防止する仕組みです。ネットワークの迂回路の確保や、サービスに影響する集約型システムの設備増強等によりトラフィック変動耐力を上げることによりサービス故障を防止します。また、過去の大規模故障では、大量の再送信号が送られてきたことにより輻輳が発生した事象もあったことも踏まえ、特定の事業者から大量トラフィックが流入してきた際に、他の事業者に波及しない仕組み等も実装する予定です。
③故障時の影響最小化
3点目は、故障時に影響を最小化させる仕組みです。サービス故障を発生させないために、いくら対策をとっても、今後も想定外の事象は必ず発生し、故障をゼロにすることは不可能です。従って、エリアやサービスを分割することで、故障時の影響を最小化します。ただし、全ての集約型装置を分割すると莫大なコストがかかってしまいます。低廉な料金でお客様にサービスを提供し続ける責務もNTTグループにはあると考えているため、信頼性と経済性のバランスを考えながら、復旧難易度の高い装置やシステムを中心に分割していく予定です。
おわりに
NTTグループは、生活の重要インフラである通信サービスを提供している責任を十分認識し、社会的責任を果たすべく、通信サービスの確実、安定的な提供に努めるとともに、同様の事象を発生させることがないようこれからも取り組んでまいります。
Business Activity 20
情報セキュリティ・個人情報保護の強化
コミットメント内容
ゼロトラスト&クラウドネイティブの時代に向けて事業活動を通じてパートナーのみなさまとともに社会的課題の解決をめざすという考え方のもと、安心・安全なICT基盤の責任ある担い手として、情報セキュリティの確保に努めデジタル経済・リモート社会の健全な発展に貢献していきます。
具体的目標
0件
サイバー攻撃に伴うサービス停止件数(毎年)
情報セキュリティの強化
方針・考え方
社会経済のデジタル化の進展や国際情勢の変化を受け、サイバー攻撃をはじめとするセキュリティ脅威はますます高度化・深刻化しています。このような中、ICTサービスインフラとお客さまの基本的な権利及び自由、そして情報資産を守り、デジタル経済の成長に向けた健全な基盤を提供することはNTTグループの責務です。セキュリティにおいても、デジタル経済のインフラを支え、自由、オープン、安全なICT基盤の構築と発展に貢献することをミッションと定義し、お客さまとNTTグループ自身のデジタルトランスフォーメーションを実現すること、またお客さまからNTTグループを選んでいただける理由となることをビジョンとして掲げました。
これらの実現に向け、自らのスケールを活かした研究開発・サービス開発に取組むこと、早期検知と迅速な対応能力に優れること、誠実さと高度な技能という価値を共有する人材群の育成に努めること、利益主義を超え社会に対して先導的な知見を発信することを柱に取組んでいます。2023年に策定した中期経営戦略を受け、セキュリティの果たす役割はますます大きくなることが想定されます。引き続きビジョンの実現に取り組んでまいります。
NTTグループは、デジタル社会を創造するグローバルなコミュニティの一員として、弛みないセキュリティの高度化を通じ、社会的課題の解決に貢献していきます。
サイバーセキュリティの概念は、もはや危機管理として(-)マイナスを(0)ゼロにする側面だけでなく、テクノロジーがもたらす豊かさを安定的に推進していく(+)プラスの原動力となる時代に突入しつつあります。NTTグループは、ゼロトラスト、そしてネクスト・ゼロトラストの時代を通じ、これからも終わらないサイバーリスクと戦い続けながら、セキュリティの価値を問い続けていきます。
NTTグループがめざすセキュリティガバナンス
NTTグループは、CISO ( Chief Information Security Officer)を最高責任者とする情報セキュリティマネジメント体制を整備し、情報セキュリティの管理を徹底しています。また、「グループCISO委員会」を設置し、グループにおける情報セキュリティマネジメント戦略の策定や各種対策の計画・実施、人材の育成等、グループ各社と連携しながら取組んでいます。また、グループ内のセキュリティ防御の維持向上については、「三線組織」を意識した取組みを進めています。
● 推進体制
● NTTグループがめざすセキュリティガバナンス
中期経営戦略を支えるセキュリティ
中期経営戦略見直しには、3本の柱がありますが、セキュリティは、特に「新たな価値の創造とグローバルサステナブル社会を支えるNTTへ」を支えていく、重要な要素です。
事業基盤の更なる強靭化
グローバル連携
米欧を中心に、各国政府や産業界のサイバーセキュリティ強化の取組みに参画し、セキュリティ脅威情報やベストプラクティスの共有と、互いに信頼し合える企業と組織によるコミュニティの形成に取組んでいます。
攻撃者目線での防御
NTTグループでは、自社グループ内の重要サービスやシステムに対して、攻撃者の目線で疑似的なサイバー攻撃を仕掛け、セキュリティ対策の有効性を検証・評価するグループ横断のレッドチーム(通称:Team V)を持っています。
主な取組み
情報セキュリティの体系化
勤務場所を限定しない自由な働き方を前提としたゼロトラスト型のセキュリティ対策に対応するため、情報セキュリティ規程を全面的に見直しました。情報セキュリティ部門だけでなく全社員がセキュリティへの感度をあげるため、曖昧さをなくし可読性を高め、確実に準拠できる規程類に作り直しました。
サービスセキュリティの強化
重要な社会インフラであり、社会経済のデジタル化の基盤となる、安心・安全な情報通信サービスを提供するため、電気通信設備、ITサービス環境、およびスマートシティやスマートビルディングなどのサービスの全てにおいて、セキュリティの強化に取組んでいます。
NTTグループにおけるグローバル連携
One NTTでのグローバル事業の競争力強化に向けて、セキュリティにおいてもグローバル連携を進めています。多様な事業や地域を含むNTTグループの連携にあたっては、リスクベースマネジメントの考え方と、共通言語となるフレームワークを導入し、「特定」「防御」「検知」「対応」「復旧」の観点から、グループ共通の満たすべき基準を定めています。
インシデント対応演習
年に1回、最新の脅威を反映した発災のシナリオを準備し、グループの全CSIRTが参加する形でインシデント時の対応を確認する演習を行っています。実際のインシデント発生時には対外コミュニケーションも重要となってくるので、ここ数年は広報関連部署も参加しています。
NTTグループ情報セキュリティポリシー https://group.ntt/jp/g_policy/
TOPICS
セキュリティの高度化① ~グローバル連携~
グローバルな脅威情報の収集/活用
NTTは、サイバーセキュリティとレジリエンスに対する米国政府のイニシアティブである、共同サイバー防衛連携(JCDC、Joint Cyber Defense Collaborative)にアジアで最初のメンバーとして加入しました。
2021年に米国サイバーセキュリティ・インフラセキュリティ庁(CISA)によって設立されたJCDCは、官民合同のサイバー防衛計画、サイバーセキュリティ情報の融合、重要インフラ、及び国家重要機能へのリスクを低減するためのサイバー防衛ガイダンスの普及を主導しています。メンバーは民間企業としては、AT&T、Verizon、Lumen、Microsoft、Google、Cisco、Mandiant、Palo Alto Networks等のいわゆる大手通信企業、メガテック企業、主要セキュリティ会社であり、加えて米国政府のインテリジェンス関連省庁が名を連ね、米国にとっての友好国のサイバーセキュリティ関連省庁も参加しています。NTTは、JCDCから得られるグローバルなインテリジェンスを活用し、重要な情報ネットワークの保護や、サイバーインシデントへの対応等をより効果的に実施することが可能となります。また、NTTは他のJCDCメンバーとの情報共有を通じ、サイバーセキュリティに関する取組みをさらに推進することができます。
これまでのCISA、並びに米国政府との協力・信頼関係を基に、JCDCにアジアからのユニークな視点を提供するとともに、NTTのリーダーシップ、及びセキュリティに関するグローバルな経験や幅広い専門知識を共有します。サイバーセキュリティをめぐりグローバル規模で不透明な時代が当面続くと思われますので、私たちの日常生活を支える重要な社会インフラシステムを脅かすサイバー攻撃を防御するために、サイバーセキュリティの官民連携は、米国とのみならず、国際的に必要とされるものと確信しています。
セキュリティの高度化② ~攻撃者目線での防御~
レッドチーム
NTTでは、2019年にレッドチームを設立しました。レッドチームとは、外部の攻撃者の視点に立って疑似的なサイバー攻撃を行うチームです。サイバーセキュリティにおける攻撃と防御の関係はいたちごっこのようなところがあり、どんなに防御をしても次々と新しい攻撃手法が編み出されてしまいます。また、攻める方は何度でも様々な攻撃を仕掛けてそのうち1回成功すればよいのに対し、守る方はすべてを守り切らなければならず、攻撃者優位の構図にあります。こうした状況に対応するため、内部に疑似的攻撃チームを持って、攻撃者目線で対応策を練るという発想に立って作られたのがNTTのレッドチームです。その目的はあくまで防御力の向上であり、したがって活動も疑似攻撃を行ったら終了ではありません。疑似攻撃の後に、対象となったシステムの脆弱性や組織としての課題を分析・整理して報告し、改善のアドバイスまで提供すること、場合によっては改善の実行支援まで行うこと、それがNTTのレッドチームの活動内容です。
バグ・バウンティ・プログラム
NTTでは、2022年にバグ・バウンティ・プログラムの試験運用を行い、2023年から本格的に開始しました。バグ・バウンティとは、情報システムに潜むセキュリティの穴を見つけた人に支払う報奨金です。NTTではこの制度を以下の目的で実施しています。
①悪意ある第三者に脆弱性を悪用される前に発見・対処することで、NTTグループのセキュリティレベル向上をめざす。
②参加する社員に攻撃者目線でのセキュリティスキルを研鑽する場を提供することで、セキュリティ人材の育成を図る。
試験運用では、会社のセキュリティ向上に貢献するだけでなく、潜在的なセキュリティ人材を発見し、さらには腕を磨く効果もあることがわかりました。本格運用は2023年から始まったばかりなので、継続的に洗練度を高めていくことになりますが、その過程でセキュリティ向上は全社員参加・会社全体で進めるもの、という意識も広めていきます。
情報セキュリティ研修
各グループ会社にて、全従業員および協力会社社員に対し、情報セキュリティリテラシー向上を目的とした研修を実施しています。研修はeラーニング形式で実施し、受講者は年1回の受講が義務づけられています。今後は、グループ全体で業務に必要な情報セキュリティ知識の同一水準化をめざし、研修コンテンツの統一化を検討しています。これにより、NTTグループのセキュリティケーパビリティを向上させ、お客さまや社会に安全安心な事業を提供するための人材力を強化することをめざします。
セキュリティ関連規程の抜本見直し
2021年度から2022年度にかけて、全社規模で、セキュリティ関連規程の抜本見直しを行いました。ゼロトラスト時代は勿論のこと、その先を見据えた打ち手をとっています。
レジリエンスに関する戦略〈セキュリティ〉
セキュリティに関する指標及び目標
(注)外部からのサイバー攻撃に伴う電気通信サービス停止件数の集計範囲は、指定公共機関である通信4社(NTT東日本、NTT西日本、NTTコミュニケーションズ、NTTドコモ)です。
研究開発の取組み
サービスセキュリティのための技術開発に加え、セキュリティ要素技術の開発にも力を入れています。暗号基礎研究を土台として、サイバーセキュリティやデータセキュリティなどの応用分野のセキュリティ研究を行っています。また、技術的な側面からのアプローチだけではなく、プライバシー・倫理・法制度等、技術的側面に限らず学際的なセキュリティ研究にも取組んでいます。
活動事例紹介
情報セキュリティ研修初級
セキュリティ人材を質・量ともに充実させることを目標に、人材タイプやスキルレベルを3段階に定めたセキュリティ人材認定制度を2015年より導入しています。
特にこの数年の、セキュリティをめぐる技術の変化(ゼロトラスト、クラウドネイティブ、デジタルトランスフォーメーション(DX)、テレワーク等)は、NTTグループ総体にとっても不断のキャッチアップを必要としており、セキュリティ人材の急速かつ着実な育成をコンスタントに行うことが重要となっています。
当初は認定制度を採用していたものの、認定者の順調な増加に加え、セキュリティの重要性の浸透度合いを踏まえて、この流れをさらに促進し、海外社員も含めたグループ全社員に対するセキュリティ全社員研修をスタートさせました。
一般的にセキュリティ研修は、その内容の難易度の高さや、利便性を抑制されがちであることへの嫌気から敬遠されがちな傾向があります。そこで、CISOによる芝居風の機知に富んだ冒頭メッセージを皮切りに、アニメーション動画を中心とした親しみやすいコンテンツを通じて、社員の興味を引くことを第一目標とし、全社員がセキュリティを意識することの必要性や、日々の業務のなかで具体的に役立つ「怪しいと思ったらすぐ報告」という基本動作を身につけることで、組織としての早期検知・迅速対応に一人ひとりの社員が参加・貢献できるよう意識づけています。
NTTグループにおけるCSIRTの取組み
CSIRTの運営
NTTグループは、コンピュータセキュリティにかかわるインシデントに対応する組織(CSIRT:Computer Security Incident Response Team)として、2004年に「NTT-CERT」を立ち上げ、グループに関連するセキュリティインシデント情報の受付け、対応支援、再発防止策の検討、トレーニングプログラムの開発およびセキュリティ関連情報の提供などに取組んでいます。
さらに、NTTグループのセキュリティ分野における取組みの中核として、情報セキュリティに関する信頼できる相談窓口を提供し、NTTグループ内外の組織や専門家と協力して、セキュリティインシデントの検知、解決、被害極小化および発生の予防を支援することにより、NTTグループおよび情報ネットワーク社会のセキュリティ向上に貢献しています。
NTT-CERTは、US-CERT※1やJPCERTコーディネーションセンター※2と連携するとともに、FIRSTや日本シーサート協議会※3への加盟などにより国内外のCSIRT組織と連携し、動向や対策法などの情報共有を図っています。また、内閣サイバーセキュリティセンター(NISC)が主催する分野横断的演習にも参加し、ノウハウ共有・情報収集に努めています。加えて、NTT-CERTはグループ各社のCSIRT構築を推進し、対応能力の向上にも努めています。
今後も、NTT-CERTは脆弱性や攻撃情報などの収集範囲をDarkWebなどにまで広げ、情報分析プラットフォームの強化、サイバー脅威対応のさらなる自動化・高度化など、変化する脅威に継続的に対応していきます。
※1US-CERT:米国国土安全保障省(DHS)配下の情報セキュリティ対策組織
※2 JPCERTコーディネーションセンター:インターネットを介して発生する侵入やサービス妨害などのコンピュータセキュリティインシデントについて、日本国内に関する報告の受付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行っている組織
※3 NTT-CERTは日本シーサート協議会の発起人
NTT-CERT
日本シーサート協議会
FIRST Forum of Incident Response and Security Teams
個人情報の保護
方針・考え方
世界各国における個人情報保護や情報管理の徹底の重要性は年々高まっていますが、NTTグループでは、個人のお客さまから法人のお客さまに至るまで、多数の個人情報をお預かりしていますので、日本の個人情報保護法、EU(欧州連合)の一般データ保護規則(GDPR)をはじめとした各国の法規制などに従い適切に個人情報を取扱うこととしています。
このようななか、個人情報の漏えいは、NTTグループの企業価値のき損やお客さまの流出など、事業運営にさまざまな影響をおよぼす可能性があり、NTTグループにおける最重要事項として個人情報の管理を徹底しています。
推進体制
NTTグループは、「NTTグループ情報セキュリティポリシー」のもと、お客さまや株主のみなさまの個人情報保護に関する方針や、マイナンバー制度にともなう特定個人情報の保護に関する方針などをWebサイト上で公開しています。これらの方針では、NTTグループがお預かりしている個人情報の開示・訂正・利用停止などのお申し出に対応するための手続きについても定めています。
また、セキュリティマネジメント体制としては、NTTにおいて情報セキュリティの最高責任者としてCISO( Chief Information Security Officer)を設置し、NTTグループとしての情報セキュリティを徹底しています。
NTTの個人情報保護に関する方針
個人情報保護について
お客様個人情報の保護に関する方針
株主様個人情報の保護に関する方針
お取引先等特定個人情報等の保護に関する方針
株主様特定個人情報等の保護に関する方針
主な取組み
NTTでは、お客さま個人情報の取扱いにあたり、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置を講じています。
-
組織的安全管理措置
委員会や各組織の管理責任者などの管理体制の構築、社内規程の整備、管理台帳やプロセス管理表などのステートメントの作成、さらに継続的な改善など組織的な管理体制を構築しています。
-
人的安全管理措置
役員、社員、派遣社員を問わず、お客さま個人情報を取扱う全ての従業者に、お客さま個人情報保護の重要性を周知・啓発し、守秘義務契約の締結とともに必要な監査・監督を行い、その実効性を担保します。
-
物理的安全管理措置
お客さま個人情報を取扱う建物やフロアの入退室管理、盗難等の防止、火災・落雷等によるお客さま個人情報のき損に対する対策、システムや文書の持ち出し・移送・保管時における施錠などの諸対策を講じます。
-
技術的安全管理措置
個人データにアクセスする場合の認証・権限管理・制御・記録などのアクセス管理、システムへの不正ソフトウェア対策やウイルス対策、暗号化や責任の明確化などによる移送・送受信時の対策、情報システムの監視などの技術的安全管理措置を講じます。
国内グループ各社では、個人情報保護法にもとづき、それぞれの事業に合わせた個人情報保護体制を確立し、物理面、システム面での厳格なセキュリティ対策を講じ、委託先への適切な監督など、情報保護に向けた取組みを継続的に実施しています。また、国内グループ各社において、携帯電話やインターネットアクセスなど、個人・家庭向け国内サービスに伴い取得した個人情報は、2021年5月以降、日本国内で保持かつ国内からアクセスすることを原則とし、さらなる情報管理の強化を図っています。
国内グループ各社の主な取組み
- 規程・規則として各種社内ルールを制定
- 上記社内ルールの適切な運用に向けた社員研修の実施
- 情報セキュリティ管理を推進する組織の設置
- 情報への不正なアクセス、情報の紛失・改ざん・漏えいの防止、ウイルス対策や外部への情報持ち出しなどを管理するセキュリティ対策システムの導入
個人情報対応窓口の設置
NTTにおいて「お客さま個人情報対応窓口」を設けるとともに、NTTグループ各社において各種サービスなどの個人情報に関するお問い合わせ窓口を設けています。なお、NTTは持株会社のため電気通信サービスの提供を行っておらず、サービスの提供などにかかわる個人情報に関するお問い合わせについてはサービスを提供している各事業会社の窓口にお問い合わせいただいています。
また、法令等にもとづく個人情報に関する照会などがあった場合の対応についても、各事業会社の情報セキュリティの責任者の責任のもと実施しています。
Business Activity 21
リモートワークを基本とする
分散型社会の推進
コミットメント内容
afterコロナの時代を見据えて、業務変革やDXを推進するとともに、制度見直しやIT環境の整備を進めることで、リモートワークを基本とする新しいスタイルへの変革を図っていきます。
具体的目標
0件
重大な個人データ流出(毎年)
方針・考え方
NTTグループは、afterコロナにおいてもリモートを基本とした社会が継続されるとの認識のもと、今まで以上にリモートワークの実施を可能とするDXや環境整備についてICT企業として主体的に取組むことで、グループの持続的な成長と企業価値の向上、ひいては社会的課題の解決への貢献につながるものと考えています。
そのような観点から、現在、①クラウドベースシステム/ゼロトラストシステムの導入等を通じた「環境整備」、②業務の自動化・効率化などリモートワークの実施を可能とする「DX推進」、③リモートワークを基本とする働き方を推進する「制度見直し」などの具体的な各種取組みを推進しており、とりわけリモートワークを基本とする働き方の推進については、リモートワーク制度・リモートワーク手当を創設し、社員の「働く時間」や「働く場所」の自由度を高めてきたところです。
今後は、仕事とそれ以外の生活を切り分けてバランスを図る「ワークライフバランス」とは異なり、社員一人ひとりが仕事を生活の一部として捉え、自身の働き方を自由に選択、設計可能とする「ワークインライフ(健康経営)」を推進していく考えです。その実現にあたっては、「働く時間」と「働く場所」の柔軟性に加え、「住む場所」の自由度を高めることが重要であることから、リモートワーク制度において、新たにリモートワークを基本とする働き方が可能となるよう見直しを図っています。
組織(本社・間接部⾨含む)の地域への分散
NTTグループは、⾸都圏等から地域(中核都市)へ組織を分散する取組みを始めました。
<具体的な取組み>
- 持株会社において、地域への組織分散トライアルを開始(2022年10月~)
- レジリエンスの観点から、高崎市、京都市にオフィスを開設し、分散勤務を推進することで、サステナブルな事業運営の実現をめざします。まずは持株会社の一部組織(約200名規模)でのトライアルを実施
- トライアルを通じ、分散勤務における業務遂行・コミュニケーション等における課題や対策の検証を行い、本格実施に向け検討を深めていきます
- 地域に居住しながら本社業務に従事するテレワーク前提の働き方を導入
- 現在の業務を継続しつつ、地元やゆかりのある地域の活性化に貢献する「ふるさとダブルワーク」を導入
職住近接による分散型社会とワークインライフ(健康経営)の推進
NTTグループは、リモートワークを基本とする新しいスタイルへの変革の取組みを行っています。
- リモートワーク実施率:70.8%(2021年10月〜12月実施)
- 働く場所の選択拡大に向けた環境整備
- 都度承認の不要なリモートワーク、リモートワーク可能な社員の居住地に関する制限の撤廃、遠隔地からの出社に係る費用等の負担(2022年度~)
- 転勤・単身赴任の解消、リモート前提社員の採用(2022年度~)
- DXを通じたリモートワーク対象組織の拡大(主要コンタクトセンターにおけるセキュリティ要件策定、覗き見防止ツール導入開始)
- サテライトオフィス、シェアオフィスの整備:578拠点(2023年3月末、2022年度260拠点以上を目標)
-
オフィス環境の見直し
出社一人当たりスペースを1.5倍に拡大し、アイデア創出、共創の場を充実(2022年度~)
活動事例紹介
ゼロトラスト・セキュリティを導入し、リモートワーク率を向上
今やITは、私たちの暮らしや仕事において欠かせないものとなっていますが、その一方で、サイバー攻撃による脅威はますます高まっています。お客さまの大切な情報を扱う企業にとって、その対策は最重要課題。セキュリティを担保するために、社員の働き方を制限しなくてはならないことも少なくありません。
働き方改革のために「Work from Anywhere」というスローガンを掲げ、どこでも会社と同じように働けるIT環境を構築しました。ITの進化により実現する自由な働き方。そこにはどこで業務を実施しても変わらない、高いレベルのセキュリティが必要です。そこで、採用したのが「ゼロトラスト」という考え方です。「これまでは、安全性を保つために社内ネットワークですべての業務を完結させて、そこにしっかり鍵をかけましょう、という発想でした。でも近年、サイバー攻撃は高度化していて、社内ネットワークも不正にアクセスされる可能性を想定しなければなりません。そこで発想を変えて、社外・社内を問わず、すべてのアクセスを『信頼しない』という前提で全体の設計をしたのです。これがゼロトラスト・セキュリティの基本的な考え方です」
自宅、サテライトオフィスなど、あらゆる場所でWork from Anywhereを実現し、社員のモチベーションにも良い影響を与えています。
「もう一つの職場」が生み出す新たな地域コミュニティーという価値の創造
~社員の健康を守りつつ、事業の継続に向けたオフィス同様の環境を整備~
早急に社員の働く環境を用意する必要があった緊急事態宣言下を経て、ウィズコロナ、アフターコロナに向けた長期的なビジョンが生まれてきた昨今では、これらのサテライトオフィスは、社員一人ひとりが生き生きと働ける環境を用意することに役割がシフトしています。その中で、サテライトオフィスのコミュティーとしての価値が改めて見直されています。
全世界で900社以上、約33万人の社員に支えられているNTTグループ。その背景には、社員の数だけ家庭の事情や環境があります。従来のオフィスでもなく、自宅でもない。リモートワークに適した場所を早急に用意することが必要となりました。社員が生き生きと働ける環境を自ら選択できるようにするため、NTTグループ社員に向けたサテライトオフィス開設プロジェクトが始まりました。
NTTグループは、通信設備を設置している「局舎」を国内約7000カ所に所有しています。都市部だけでなく、住宅街など、全国津々浦々に存在する局舎。それを全国のNTTグループ社員向けの郊外型サテライトオフィスとして利活用しようというのが、今回のプロジェクトです。サテライトオフィスとなる局舎ごとに細かな対応が必要な状況。しかし、プロジェクトチームは最初の緊急事態宣言の半年後になる2020年10月に1拠点目を開設したのを皮切りに、2020年度中に10拠点、2021年度には50拠点という異例のスピードで、次々にサテライトオフィスを開設させます。NTTグループ内で徐々に広がっていったサテライトオフィスには現在約5000人が利用登録しています。
NTTのサステナビリティ
