検索パネルを開く 検索パネルを閉じる メニューを開く メニューを閉じる

ESGマテリアリティ②
セキュリティの強化

最終更新日:2021年2月24日

本格的なデジタル社会の到来とともに、デジタル化がもたらすリスクや機会が顕在化しています。このような中、セキュリティの確保は、情報資産を守るための防衛的手段としての費用要素だけでなく、事業の変革と成長、並びに新たな市場の形成に向けた戦略的な投資要素へと役割を広げています。

グローバルICT企業として、NTTはデジタル社会の将来性を信じ、グローバルなサイバー・レジリエンシー(靭性)に貢献することにコミットします。また、サイバーセキュアなICTサービスの提供を通じて、世界のサイバーセキュリティ貢献に積極的に取り組みます。

内的要因

  • ICTサービスを基軸に、電力、ライフサイエンス、農業等にわたる多様なスマート事業展開
  • 世界有数の通信・ICTサービス顧客基盤

➡ 情報資産を守るとともに、安全なICT基盤の確保を通じてデジタルビジネスを確実に遂行する必要がある

社会的要請

  • 高度化・多様化するサイバー攻撃
  • ICT機器についての脆弱性の報告

➡ サイバー・レジリエンシー(靭性)が必要とされ、企業は対策が求められるとともに、ICT業界には自社製品・ソリューション及び社会全体のセキュリティの強化が期待されている。

関連する法規制・世界の動向

  • セキュリティを、重要インフラやICT基盤の可用性の課題と捉える認識の伸張
  • 個人情報の取り扱いに関する法整備(欧州でGDPR(一般データ保護規制)施行)
  • IT/OT、IoTを含むデジタル基盤の安全性に向けた各国・地域の取り組み
    (EU Cybersecurity Act、各種の官民連携脅威情報共有施策等)

マテリアリティが
事業に与えるリスク

  • デジタルインフラの信頼失墜に起因する、社会経済のデジタル化の遅れ
  • サイバー攻撃による知的財産の喪失
  • セキュリティ対策が不十分な企業と認識されることによる、ICT企業としての信頼の失墜

マテリアリティが
事業にもたらす機会

  • 顧客経営層がサイバーセキュリティを、ビジネスリスクマネジメントとしてまたデジタル成長のための
  • 投資として捉えることによる市場機会の拡大
  • 国内外において、セキュリティに優れるICT企業として認知されることによる、ICTサービス全体の
  • 提供機会の拡大
  • 安心・安全なICT基盤を用いたソリューションの開発による競争優位の獲得

目標

  • 基盤的な研究開発を活かした自社サービスのセキュリティの強化
    及びセキュリティソリューションの提供
  • 高度な技術や外部連携によるセキュリティ脅威の早期検知・対応
  • セキュリティ人材の採用・育成、コミュニティづくり
  • グローバルコミュニティへの参画・貢献による先導的知見の発信

セキュリティ分野の取り組み方針

デジタル社会はまだ始まりの段階であり、サイバーセキュリティも揺籃期にあります。いまだ揺籃期にあるからこそ、NTTグループは産業が形成されるのを待つのではなく、それを自ら創成する先導的集団の一員となることを志します。

社会経済のデジタル化の進展や国際情勢の変化を受け、サイバー攻撃をはじめとするセキュリティ脅威はますます高度化・深刻化しています。このような中、ICTサービスインフラとお客さまの情報資産を守り、デジタル経済の成長に向けた健全な基盤を提供することはNTTグループの責務です。

中期経営戦略を受け、セキュリティにおいても、デジタル経済のインフラを支え、自由、オープン、安全なICT基盤の構築と発展に貢献することをミッションと定義し、お客さまとNTT自身の安心・安全なデジタルトランスフォーメーションを実現すること、またお客さまからNTTグループを選んでいただける理由となること、つまり「セキュリティがあるからNTTを選ぶ」と言われるようになることをビジョンと掲げています。

新型コロナウイルスの影響は、まだ収束の兆しが見えません。日本を含め世界各国で、社会経済活動を元に戻す動きが始まっていますが、今まで以上に、リモートやオンラインの活動が増えると思われ、通信・ITシステムを提供するNTTグループにとって、新たな挑戦が始まります。また、アフターコロナの時代は、セキュリティの重要性がますます高くなります。ビジョン実現のためには、お客さま対応、研究や開発、オペレーション、財務や人事など管理業務、すべての活動がセキュアである必要があります。今後、NTTがセキュリティのナンバーワン企業と言われるよう取り組みを進めていきたいと考えています。

ビジョン

  • お客さまとNTTグループのデジタルトランスフォーメーションのイネーブラー(支え手)となる
  • “セキュリティがあるからNTTグループを選んだ”と言われる存在になる

差異化戦略

事業スケールを活かした開発・検証による統合的な
セキュリティソリューションの提供
ニーズ
統合的セキュリティへのニーズの高まり
優位性
幅広いICT関連サービスを、グローバルな規模で提供するユニークなポジション
具体的な戦略
自社のグローバルなオペレーション環境、バリューチェーン、デジタルトランスフォーメーションを活かした「NTTで検証済み」のソリューションの開発
セキュリティ脅威の早期検知と
迅速対応
ニーズ
「100%の防御は不可能」という認識が増えたことによる被害最小化ニーズへのシフト
優位性
SIEM(Security Information and Event Management)エンジン等の高度分析能力と分析アナリスト
具体的な戦略
高度な分析システムと分析官によるプロフェッショナルなサポート
価値を共有する
セキュリティ人材群の育成
優位性
インテグリティ(誠実さ)を共有し、デジタル社会をセキュアにすることにコミットする3,500人以上の上・中級サイバーセキュリティ実務者
具体的な戦略
フォーマル、インフォーマルの両面で、人材を惹きつけ、採用し、成長させる仕組みづくり
知見発信の先導、デジタル社会の発展に向けた
ステークホルダーとの協力
優位性
日本企業で唯一のサイバーに特化したアドボカシーチーム(政策提言・社会提言チーム)
具体的な戦略
世界の主要プレイヤーや主要国政府との積極的な協力関係の構築

国際的なデジタル社会の健全な発展に向けて先導し、ICTサービス市場を拡大させる土壌を作ると同時に、高度な技術と人材を活かしたセキュリティソリューションの展開を進めていきます。

セキュリティの強化に向けた取り組み

自社サービスのセキュリティの強化

重要な社会インフラであり、社会経済のデジタル化の基盤となる、安心・安全な情報通信サービスを提供するため、電気通信設備、ITサービス環境、及びスマートシティやスマートビルディングなどのサービスの全てにおいて、セキュリティの強化に取り組んでいます。

グローバル連携

グローバル事業の統合を受け、セキュリティにおいてもグローバル連携を進めています。多様な事業や地域を含むNTTグループの連携にあたっては、リスクベースマネジメントの考え方と、NIST(米国立標準技術局)に基づくフレームワークを導入し、「特定」「防御」「検知」「対応」「復旧」の観点から、グループ共通の満たすべき基準を定めています。

グローバルコミュニティへの参画と貢献

米欧を中心に、各国政府や産業界のサイバーセキュリティ強化の取り組みに参画し、セキュリティ脅威情報やベストプラクティスの共有と、互いに信頼しあえる企業と組織によるコミュニティの形成に取り組んでいます。

活動状況

サイバー脅威情報やベストプラクティスを共有しあう国内外のコミュニティに参加

  • 日本のICT業界の情報共有・連携・協調を行う組織 ICT-ISAC Japan*1
  • 世界のCSIRTコミュニティ FIRST*2
  • 産業界発のグローバルイニシアティブCharter of Trust、Cybersecurity Tech Accord、CSDE*3

セキュアなデジタル経済に向けた国際評議会CSDE*3を世界のICT企業とともに設立

  • IABG*4(国際ボットネット対策ガイド)の発行

世界三極において、サイバー犯罪に関する情報共有や無力化に向けた連携を行う機関と協働

  • 欧州:EC3*5、米国:NCFTA*6、日本:JC3*7
  1. ICT-ISAC Japan:ICT Information Sharing and Analysis Center Japan
  2. FIRST:Forum of Incident Response and Security Teams
  3. CSDE:Council to Secure the Digital Economy
  4. IABG:International Anti-Botnet Guide
  5. EC3:European Cyber Crime Centre
  6. NCFTA:National Cyber-Forensics and Training Alliance
  7. JC3:Japan Cybercrime Control Center

セキュリティ人材の育成

セキュリティ人材を質・量ともに充実させることを目標に、人材タイプや人材レベルに応じた人材育成施策をグループ各社で推進しています。国際的なイベントに際してはサイバーセキュリティの脅威が増大し、より一層の対策が求められるため、セキュリティ監視体制を強化するとともに、更なる人材育成の強化を進めています。これらの取り組みにより、2019年度末時点でセキュリティ人材認定者が約47,000人、その中でも知識に加えて実務経験も認定条件になる中級・上級者が3,500人強に達し、大きなイベントが催される場合にも必要に応じた対処体制を取ることができると考えています。

※横スクロールできます

人材タイプ
呼称 セキュリティマネジメント・コンサル/セキュリティ運用/セキュリティ開発・研究
スキル
レベル
上級 セキュリティマスター/セキュリティプリンシパル 業界屈指の実績を持つ第一人者
中級 セキュリティプロフェッショナル 深い経験と判断力を備えたスペシャリスト
初級 セキュリティエキスパート 必須知識を持ち担当業務を遂行できる実務者

研究開発の取り組み

サービスセキュリティのための技術開発に加え、セキュリティ要素技術の開発にも力を入れています。世界レベルの先駆的研究者を中心として、サイバーセキュリティと暗号技術に取り組むグローバル研究所を2019年に米国パロアルトに設立しました。また、IOWN Global Forumを設立し、業界リーダー企業とのコラボレーションを通じて、次世代コミュニケーション基盤におけるセキュリティのアーキテクチャ策定に取り組んでいます。

セキュリティ推進体制・マネジメント体制

グループCISO委員会を中心に、NTTグループ各社が連携するガバナンス体制を構築しています。2019年度はグループCISO委員会を3回、セキュリティマネジメント連絡会を2回開催しました。さらに、執行役員会議を通じてセキュリティに関する外部脅威の動向等を定期的に経営幹部に報告するほか、インシデント発生時には迅速に経営陣へ報告するなど、経営幹部との連絡体制も確立しています。

また、2004年にインシデントに対応する組織としてNTT-CERTを立ち上げ、NTTグループのセキュリティ分野の中核として機能しています。NTT-CERTはNTTのサイバーセキュリティに特化した研究所に所属し、その知見を大いに活用することができるため、技術専門性に優れています。さらに、世界各地のセイバーセキュリティ団体とのネットワークを有することで、いち早く世界のトレンドや新たな脅威を入手することができます。これらの成果を、NTTグループ各社との連携を通じて、お客さま・NTTグループ双方のセキュリティ強化に活かしています。

サイバー攻撃の巧妙化・高度化に伴う対処態勢能力の強化

攻撃者視点にたった攻撃の想定

サイバー攻撃における手法の巧妙化と被害数の増加に伴い、対処態勢能力の強化を目的として、攻撃者の視点にたったサイバー攻撃の想定を行っています。昨今のサイバー攻撃技術には際立って目新しいものはありませんが、その傾向としてサイバーセキュリティ対策の弱いグループ会社や関連会社からの侵入を試みたり、現実にある商取引に見せかけたりすることで、より発見されにくいような工夫がされており、攻撃手法が多様化・巧妙化しています。

また、不安定化する世界情勢を背景に、サイバー攻撃の対象がITシステムから重要インフラにレベルアップし、経済的利益だけではなく政治的利益追求にシフトしている懸念もあります。

このような状況でサイバー被害を極小化するためには、攻撃者の視点に立ち、どのような方法で、何を目的としたサイバー攻撃を受けるかを想定することが重要です。また、自社にとって重要な資産を守るためのセキュリティ対策及び被害を最小限に抑えるための対処態勢能力を強化することが重要であり、ホワイトハッカー知識を有する検証チームを養成して、サイバー攻撃者の視点からのシステム及び体制面の脆弱性検証を進め、自社のセキュリティ対策の可視化や改善につなげていきます。

実践的サイバーセキュリティ研修

最新のサイバー攻撃に適切に対処するには運用技術者の技術知識だけでなく、経験に基づいた適切かつ速やかな判断が必要となります。また、サイバー攻撃に関する最新の情報に触れることで、対処できる判断力を維持する必要もあります。

これらの経験や知識は、従来は実務を通じた習得が中心であり、サイバー攻撃に必要な技術対策と組織設計を熟知し、自ら対処態勢を整えることができる人材を効率的に育成するには、時間と適切な環境が整っていることが必要でした。

このような問題を解決すべく、実際のサイバー攻撃を疑似環境において再現できる仕組みを用い、より本物の攻撃に近い状況で技術的・組織的対応を学習訓練できる研修環境を整備しました。これにより、実務経験者が最新の攻撃対処方法を知ることができることはもちろん、経験の浅い運用技術者も訓練を通じてレベルアップできることが可能になり、対処態勢が強化されることを狙いとしています。

主な研修の概要

  • 高度化するサイバー攻撃への模擬的な対応を経験
  • 最新のサイバー攻撃やツールへのキャッチアップ
  • グローバルスタンダード(NISTフレームワーク)準拠
  • 4分野(①セキュリティオペレーション、②インシデントレスポンス、③フォレンジック、④ペネトレーションテスト)、28講座の研修ラインナップ

その他初級・中級向けのサイバーセキュリティ研修

認定者向けのフォローアップ研修

2019年度は約42,000人の認定者全員に向け、昨今のサイバー攻撃・インシデント事例等について、Web学習の機会を提供しました。今後は全ての従業員をサイバーセキュリティの担い手とすべく、教育提供の範囲を全社員へ拡大してセキュリティ意識の醸成を図ります。

オンラインCTFコンテスト

ゲーム形式でサイバーセキュリティに関する問題を制限時間内に解答します。会社ごとに4名までのチームを編成し、競い合います。終了後には問題解説等も動画で配信し、学習効果も高い企画になっています。

新型コロナウイルス感染症の影響もあり、2019年度は初のオンライン形式にて開催としましたが、12社、50チーム、153名の参加がありました。腕試しを通じて、認知の拡大や興味関心の向上が期待できます。匿名参加方式等、エントリーしやすい工夫により、セキュリティ業務に従事している人はもちろん、現在は従事していない層への関心拡大も今後進めていきます。

カタログ教育

初級・中級認定に必要な知識やスキルを体系化し、市販の研修プログラムをカタログ化してグループ会社に展開しています。

セキュリティサービスの拡充

NTTグループでは、セキュリティ領域においてグローバルで業界トップクラスの地位を確立するために、米国子会社であるWhiteHat Security, Inc.(以下、WhiteHat)を通じ、アプリケーション・セキュリティやDevSecOps(アプリケーションの開発運用モデルにおいて当初からセキュリティを考慮し組み込む考え方)の領域の強化を推進しています。

WhiteHatでは、アプリケーション・セキュリティ分野において、安全なソフトウェアを作成して運用するために必要なツールとサービスを提供しています。市場から高い評価を受けているWhiteHatのアプリケーション・セキュリティ・プラットフォームは、組織のソフトウェア資産に対するリスクを継続的に評価し、セキュリティ対策を組み込むDevSecOpsを実現可能にします。

アプリケーション・セキュリティ分野におけるWhiteHatの強みは、Webアプリケーションの脆弱性検査においてソフトウェアツールとAI、エキスパートによる検証を組み合わせることで誤検知の少ない検査結果を提供できることにあります。一般的に、Webシステム等が外部から攻撃される危険性を回避するには、実装するアプリケーションにセキュリティの脆弱性が存在しないように設計・製造することが有効です。WhiteHatの強みを活かすことで、アプリケーションの製造工程の段階から運用中に至るまでセキュリティが確保されているかどうかを効率的に確認することが可能となります。ネットワークやエンドポイントのセキュリティに加え、アプリケーションの設計内容まで踏み込んだセキュリティ対応を行うことで、よりセキュアなシステム環境の確保に寄与することが可能となります。

大企業向けセキュリティビジネス

デジタルトランスフォーメーション(DX)により多様化するICT環境に対しサイバー脅威はますます巧妙化し、内部侵入を前提とするゼロ・トラストのセキュリティ対策が求められています。

NTTのグローバル事業会社(NTT Ltd.)ではマネージドセキュリティサービスによる高度なサイバー脅威検知に加え、MDR*による脅威への即時対処を実施しています。さらに、DXで重要な役割を担うことの多いアプリケーションの柔軟なアジャイル開発とセキュリティの両立を実現するDevSecOps、外部・内部(インサイダー含む)より侵入する脅威の拡散(ラテラルムーブメント)を検知し、セグメントや端末単位でのアクセス制御や隔離を実現するマイクロセグメンテーションを活用したセキュリティ技術など、DXを支える最先端のサイバーセキュリティ対策の開発、導入を継続的に進めます。

Managed Detection and Responseの略称

また、重要インフラ、工場、プラント、ビルオートメーションシステム等のサイバー脅威の高まりを受け、独自のシステム構成や仕様・環境を有する産業制御システム・IoTに対応した先進的なセキュリティソリューションを展開しています。グローバル各地域に専門チームを設けることで、幅広い業界のお客さまへのソリューション提供を可能としています。リスクアセスメント、先端的技術を用いた対策、マネージドセキュリティサービスによるリアルタイム脅威検知とインシデント対応で、お客さまのセキュリティ課題を解決します。

  • リスクアセスメントによる課題の把握と
    対策方針の策定

  • セグメント化とホスト要塞化による、
    マルウェア感染・拡散による
    操業停止のリスクの低減

  • 継続的なモニタリングによる脅威検知と
    インシデント対応

中堅・中小企業向けセキュリティビジネス

ビジネスにITが必要不可欠な存在になると同時に、事業の大小を問わずあらゆる企業でセキュリティリスクが増加しています。特に中堅・中小企業にはセキュリティ専門スタッフが従事していないことも多く、「セキュリティ対策が不十分ではないか」「セキュリティ対策について相談する相手がいない」といった不安を抱えていらっしゃるお客さまもいます。

このような現状を踏まえ、NTTグループではお客さまの専任セキュリティ担当に代わるようなトータルセキュリティソリューションを提供しています。具体的には「不正通信の検知・ブロック」に加え、「通信状況のモニタリング、レポート配信による状況報告」や「ウイルス感染時の復旧支援」等、平常時からインシデント発生時までお客さまのサポートを行う「おまかせサイバーみまもり」「おまかせアンチウイルス」(NTT東日本)、「セキュリティおまかせプラン」(NTT西日本)や「セキュリティサポートデスク」(NTTコミュニケーションズ)等のサービスを提供しています。

このようなおまかせ型セキュリティサービスの契約数は、近年急増しており、今後もお客さまの安心・安全なICT環境づくりを進めていきます。

株価情報(リアルタイム)

- 東証第1部 : 9432

現在値 -

前日比 -