情報セキュリティ・個人情報保護の強化

CISOメッセージ

NTTグループのセキュリティには5つの独自の強みがあります。1番目は、当グループのスケールです。当社は情報通信インフラを運営するため、数多くのサイバー攻撃のターゲットとなっています。このため、世界最先端の攻撃手法を知ることができます。

2番目はサイバー攻撃の早期検知と迅速な対応・復旧に役立つ優れた技術を持っていることです。AI（人工知能）を活用した、脅威を自動で検出・可視化・通知するエンジンを保有しており、脅威情報の収集・共有のグローバルパートナーシップ、SOC（Security Operation Center）の高度分析エンジニア等を有しています。

さらに3番目は人材です。国内グループ全社員を対象にセキュリティに関する講習の受講を義務付けており、国内社員の約３％、約4,700人がセキュリティの現場で活躍できる人材として認められる「中級」のランクを取得しています。また、外部の有識者も認める業界屈指の実績を持つトップガン集団が約100人います。

4番目はノウハウです。2021年に東京で開催された国際スポーツイベントでは、パートナー企業としてサイバー攻撃等からの防衛の一部を担いました。その他過去のG7やG20などの国際的大イベントへの対応経験も蓄積しています。

5番目の強みは情報発信力です。日本企業で唯一サイバーセキュリティに特化した対外情報発信チームを持ち、あえて手の内も可能な範囲で外部に公開・発信することでグローバルな仲間づくりを進めています。
情報セキュリティの確保と個人情報保護を通じて守っているのは「信頼」だと考えています。社会はコネクティッド・ソサエティ時代となり、すべてのモノがつながっています。
上に述べた5つの強みをベースに、自社だけではなくお客さま、当グループが依存する会社、広い意味のサプライチェーン全体を守って社会全体をセキュアにし、安心安全で信頼ある社会の実現に貢献してまいります。

NTTグループCISO　横浜 信一

情報セキュリティ・個人情報保護の強化

NTTグループにおいては、ゼロトラスト＆クラウドネイティブの時代に向けて事業活動を通じてパートナーの皆さまとともに社会的課題の解決をめざすという考え方のもと、安心・安全なICT基盤の責任ある担い手として、お客さまや株主、お取引先等の個人情報保護を含む情報セキュリティの確保に努め、デジタル経済・リモート社会の健全な発展に貢献していきます。

情報セキュリティの確保においては、デジタル経済・リモート社会における情報セキュリティの重要性を認識し、ICTサービスを提供する重要インフラ事業者として、CISOの統括のもと、統一的な情報セキュリティ管理体制を以て臨んでいます。「サイバーインシデントは必ず起きる、被害の最小化が大切」という考えに基づき、持株会社ならびにグループ各社のトップリーダーシップのもと、規程の整備および順守の徹底、サービスセキュリティの強化、高度人材の育成、グローバル連携などに取り組んでいます。

個人情報の保護においては、その漏えいはNTTグループの企業価値のき損やお客さまの流出など、事業運営にさまざまな影響をおよぼす可能性があることを、NTTグループの役員・従業員が認識し、最重要事項として個人情報の管理を徹底しています。個人のお客さまから法人のお客さまに至るまで、多数の個人情報をお預かりしている企業として、国内外の法規制などに従い適切に個人情報を取扱っており、組織的、人的、物理的、技術的安全措置を講ずると共に、個人情報対応窓口の設置も行っています。また、重要な情報漏えい事案に際しては、外部専門家を交え、原因分析、再発防止策の立案・実行に直ちに取組みます。

NTTグループでは、役員・従業員はもちろんのこと、機密事項を扱う委託先等のサプライヤーに対しても適切な情報セキュリティの確保を求める「NTTグループ情報セキュリティポリシー」を定め、情報セキュリティならびに個人情報保護の強化に取り組んでいます。
「NTTグループ情報セキュリティポリシー」ならびに社内規程である「情報セキュリティマネジメント規程」とその関連規則等に違反して個人情報漏えいを起こした場合には、社員就業規則等に基づき懲戒等の処分を受けることも定めています。

情報セキュリティ

方針・考え方

社会経済のデジタル化の進展や国際情勢の変化を受け、サイバー攻撃をはじめとするセキュリティ脅威はますます高度化・深刻化しています。このような中、ICTサービスインフラとお客さまの基本的な権利および自由、そして情報資産を守り、デジタル経済の成長に向けた健全な基盤を提供することはNTTグループの責務です。セキュリティにおいても、デジタル経済のインフラを支え、自由、オープン、安全なICT基盤の構築と発展に貢献することをミッションと定義し、お客さまとNTTグループ自身のデジタルトランスフォーメーションを実現すること、またお客さまからNTTグループを選んでいただける理由となることをビジョンとして掲げました。

これらの実現に向け、自らのスケールを活かした研究開発・サービス開発に取り組むこと、早期検知と迅速な対応能力に優れること、誠実さと高度な技能という価値を共有する人材群の育成に努めること、利益主義を超え社会に対して先導的な知見を発信することを柱に取り組んでいます。2023年に策定した中期経営戦略を受け、セキュリティの果たす役割はますます大きくなることが想定されます。引き続きビジョンの実現に取り組んでまいります。

中期経営戦略「New value creation & Sustainability 2027 powered by IOWN」には3本の柱がありますが、セキュリティは、特に「新たな価値の創造とグローバルサステナブル社会を支えるNTTへ」を支えていく、重要な要素です。
日々刻々と変化する脅威に対応するためグローバルな情報連携や攻撃者目線での防御などに取組み、サイバー攻撃に強いネットワーク/システムを実現し、事業基盤のさらなる強靭化をめざしています。

【リスクベースマネジメントの実践】
NTTグループ情報セキュリティ規程にて、リスクマネジメントの枠組み、実施ステップを定め、グループ各社にリスクマネジメントの実践を義務化しています。リスクベースマネジメントの考え方に基づき、情報セキュリティリスクのリスクヒートマップを四半期ごとに更新し、ビジネスリスクマネジメント委員会や執行役員会議での議論を経て、リスクに優先順位をつけて対策を実施しています。

【グローバル連携】
米欧を中心に、各国政府や産業界のサイバーセキュリティ強化の取組みに参画し、セキュリティ脅威情報やベストプラクティスの共有と、互いに信頼し合える企業と組織によるコミュニティの形成に取り組んでいます。

【国内外のインテリジェンスを活用したサイバー脅威への先読み対応】
米国JCDC^※1など各国政府や産業界のセキュリティ強化の取組みへの参加を通じて得たインテリジェンスを基にサイバーリスクを評価し、グループ横断の対策チームによるスレットハンティングを実施するなど、リスクの先読みを行うことで、潜在的な脅威の早期発見と迅速な対応に努めています。
さらに、重要サービスやシステムに対して、攻撃者の視点で疑似的なサイバー攻撃を仕掛ける「レッドチーム」を運用し、セキュリティ対策の有効性を検証・評価しています。
これらの取組みを通じて、事業基盤のさらなる強靭化を図っています。

^※1共同サイバー防衛連携（JCDC、Joint Cyber Defense Collaborative）。サイバーセキュリティとレジリエンスに対する米国政府の国際的取組みをさらに強化するためのイニシアティブであり、NTTは2023年1月より参加

推進体制

NTTグループは、CISO（Chief Information Security Officer）を最高責任者とする情報セキュリティマネジメント体制を整備し、情報セキュリティの管理を徹底しています。また、「グループCISO委員会」を設置し、NTTグループ全社における情報セキュリティマネジメント戦略の策定や各種対策の計画・実施、人材の育成等、グループ各社と連携しながら取り組んでいます。また、グループ内のセキュリティ防御の維持向上については、「三線組織」を意識した取組みを進めています。

こうした体制のもと、NTTグループ各社^※では、情報資産の保護に関する国際的な基準に基づいた情報セキュリティの管理体制を構築・運用しており、これらの取り組みの結果として、ISO/IEC 27001（ISMS）認証を取得しています。

^※主な取得会社：NTT、NTTドコモ、NTTドコモビジネス、NTTドコモソリューションズ、NTT東日本、NTT西日本、NTTデータグループ、NTTアーバンソリューションズ他

NTTグループがめざすセキュリティガバナンス

目標と実績

サステナビリティ指標

^⑫-1バウンダリ：通信4社（NTTドコモ、NTTドコモビジネス、NTT東日本、NTT西日本）

^⑫-2バウンダリ：NTT連結子会社

主な取組み

NTTグループでは、「サイバーインシデントは必ず起きる、被害の最小化が大切」という考えのもと、持株会社ならびにグループ各社のトップリーダーシップのもとで、情報セキュリティリスクへの対応を推進しています。グループ全体で守るべき規程の整備（情報セキュリティの体系化）と順守の徹底を図るとともに、社長はじめ全社員を対象とした研修を通じて、セキュリティ意識や対応力の向上を図っています。また、高度な専門人材の育成にも力をいれており、こうした人材は、CSIRTを中心としたインシデント対応体制や、攻撃者視点による検証（レッドチーム）、脆弱性発見制度（バグ・バウンティ）などの実践的な活動を担っています。さらに、技術的な進化に対応する研究開発、社会インフラとしてのサービスセキュリティの強化、そして国内外の政府機関・産業界との連携を通じたグローバルな対応力の向上にも取り組んでおり、NTTグループ全体として、安心・安全な社会の実現に貢献しています。

情報セキュリティの体系化

勤務場所を限定しない自由な働き方を前提としたゼロトラスト型のセキュリティ対策に対応するため、2022年に情報セキュリティ規程を全面的に見直しました。情報セキュリティ部門だけでなく全社員がセキュリティへの感度をあげるため、曖昧さをなくし可読性を高め、確実に準拠できる規程類に作り直しました。

情報セキュリティ研修

各グループ会社にて、全従業員および協力会社社員に対し、情報セキュリティリテラシー向上を目的とした研修を実施しています。研修はeラーニング形式で実施し、受講者は年1回の受講が義務づけられています。加えて、NTTグループ会社の国内全社長に対し、会社としてのセキュリティ対策遂行やバッドニュースファーストの組織文化醸成、万一のインシデント対応におけるリーダーシップの発揮等を目的として研修を実施しています。これにより、NTTグループのセキュリティケーパビリティを向上させ、お客さまや社会に安全安心な事業を提供するための人材力を強化することをめざします。

一般的にセキュリティ研修は、その内容の難易度の高さや、利便性を抑制されがちであることへの嫌気から敬遠されがちな傾向があります。そこでNTTでは、CISOによる芝居風の機知に富んだ冒頭メッセージを皮切りに、アニメーション動画を中心とした親しみやすいコンテンツを通じて、社員の興味を引くことを第一目標とし、全社員がセキュリティを意識することの必要性や、日々の業務のなかで具体的に役立つ「怪しいと思ったらすぐ報告」という基本動作を身につけることで、組織としての早期検知・迅速対応に一人ひとりの社員が参加・貢献できるよう意識づけています。

高度セキュリティ人材育成

コーポレートとしての情報セキュリティの強化においても、サービスセキュリティの強化においても、高度な知識とスキルを持った専門的な人材が欠かせません。特にこの数年の、セキュリティをめぐる技術の変化（ゼロトラスト、クラウドネイティブ、デジタルトランスフォーメーション（DX）、テレワーク等）は、NTTグループ総体にとっても不断のキャッチアップを必要としており、セキュリティ人材の急速かつ着実な育成をコンスタントに行うことが重要となっています。
NTTでは、セキュリティ人材を質・量ともに充実させることを目標に、人材タイプやスキルレベルを定めたセキュリティ人材認定制度を2015年より導入しています。国内外において業界屈指の「実績」を持ち、社内外から大きな信頼と評価を得る「第一人者」である上級人材は約100名（内今年度新規認定12名）、チームをけん引する必要十分な業務経験、専門性を持った中級人材は約5000人が認定されています。（2025年5月時点）

こうした専門人材をめざす社員のため、セキュリティ技術コンテストやバグ発見報奨金制度（バグ・バウンティ・プログラム）なども整えました。高度なセキュリティエンジニアに成長するための約一年間の専門的・体系的研修も設け、成長した人材はNTT-CERTやレッドチームなどの専門組織に加え、国際的なスポーツイベントのセキュリティ強化など、社会的に重要な場面でも活躍しています。

取組みグループ全体のセキュリティ対応力を高めるうえでも、また、成長した専門人材が働き続けたいと感じる環境を提供するうえでも、セキュリティ実務者同士の知見共有や連携強化、交流が欠かせない要素です。NTTでは、現場のノウハウの共有、グループ各社の垣根を越えた人間関係の構築を図るコミュニティ活動として、年に一度、海外を含むグループ各社の実務者が一堂に会するグローバルセキュリティ実務者会議「Cyber Security Practitioner Meeting」や、四半期に一度、国内グループ各社の実務者が集う「サイバーセキュリティミーティング」を開催しています。

CSIRTを中心としたインシデント対応体制と対応演習

インシデント発生時に迅速かつ的確な対応を行うため、各社に設置されたCSIRT（Computer Security Incident Response Team）を中心とした対応体制を整備しています。インシデント発生時にはこの体制のもと、指揮・統制、関係部署との連携・情報共有、原因分析および再発防止策の策定までを一貫して実施し、インシデントの早期収束、事業継続の確保、そして信頼の回復に努めています。

加えて、グループ横断で対策知見・ノウハウを共有する仕組みを構築しており、過去のインシデント事例や対応経験をもとに、再発防止策やベストプラクティスをグループ全体に展開することで、インシデントの未然防止にも取り組んでいます。各社で対応が困難な高度・複雑な問題については、持株会社のNTT-CERTが中心となって対応を担い、技術支援や外部機関との連携を通じて、グループ全体のセキュリティ対応力の底上げを図っています。

また、年に１回、最新の脅威を反映した発災のシナリオを準備し、グループの全CSIRTが参加する形でインシデント時の対応を確認する演習を行っています。実際のインシデント発生時には対外コミュニケーションも重要となってくるので、ここ数年は広報関連部署も参加しています。加えて、重要インフラ事業者として政府機関が主催する演習にも参加しており、有事の際の対応力向上に取り組んでいます。

攻撃者視点によるセキュリティ検証体制（レッドチーム）

NTTでは、2019年にレッドチームを設立しました。レッドチームとは、外部の攻撃者の視点に立って疑似的なサイバー攻撃を行うチームです。サイバーセキュリティにおける攻撃と防御の関係はいたちごっこのようなところがあり、どんなに防御をしても次々と新しい攻撃手法が編み出されてしまいます。また、攻める方は何度でも様々な攻撃を仕掛けてそのうち1回成功すればよいのに対し、守る方はすべてを守り切らなければならず、攻撃者優位の構図にあります。こうした状況に対応するため、内部に疑似的攻撃チームを持って、攻撃者目線で対応策を練るという発想に立って作られたのがNTTのレッドチームです。その目的はあくまで防御力の向上であり、したがって活動も疑似攻撃を行ったら終了ではありません。疑似攻撃の後に、対象となったシステムの脆弱性や組織としての課題を分析・整理して報告し、改善のアドバイスまで提供すること、場合によっては改善の実行支援まで行うこと、それがNTTのレッドチームの活動内容です。

バグ・バウンティ・プログラム

NTTでは、2022年にバグ・バウンティ・プログラムの試験運用を行い、2023年から本格的に開始しました。バグ・バウンティとは、情報システムに潜むセキュリティの穴を見つけた人に支払う報奨金です。NTTではこの制度を以下の目的で実施しています。

①悪意ある第三者に脆弱性を悪用される前に発見・対処することで、NTTグループのセキュリティレベル向上をめざす。

②参加する社員に攻撃者目線でのセキュリティスキルを研鑽する場を提供することで、セキュリティ人材の育成を図る。

試験運用では、会社のセキュリティ向上に貢献するだけでなく、潜在的なセキュリティ人材を発見し、さらには腕を磨く効果もあることがわかりました。本格運用は2023年から始まったばかりなので、継続的に洗練度を高めていくことになりますが、その過程でセキュリティ向上は全社員参加・会社全体で進めるもの、という意識も広めていきます。

研究開発

サービスセキュリティのための技術開発に加え、セキュリティ要素技術の開発にも力を入れています。暗号理論研究を土台として、サイバーセキュリティやデータセキュリティなどの応用分野の研究を行うとともに、AI（人工知能）の活用とAIそのものを保護する観点を取り入れつつ、技術的側面とプライバシー・倫理・法制度等を含む学際的なアプローチによって研究に取り組んでいます。

サービスセキュリティの強化

重要な社会インフラであり、社会経済のデジタル化の基盤となる、安心・安全な情報通信サービスを提供するため、電気通信設備、ITサービス環境、およびスマートシティやスマートビルディングなどのサービスの全てにおいて、セキュリティの強化に継続的に取り組んでいます。

NTTグループでは、情報セキュリティへの取組みを、リスクへの対策にとどまらず、お客さまやNTTグループのビジネスを支え、競争力を高めるビジネスイネーブラーとして位置づけています。セキュリティに関する先端の知見やノウハウは、新規ビジネスの創出やパートナー企業との共創事業の推進など、さまざまな場面で活用されており、事業成長の加速にも貢献しています。

NTTグループ内外とのグローバル連携

One NTTでのグローバル事業の競争力強化に向けて、セキュリティにおいてもグローバル連携を進めています。多様な事業や地域を含むNTTグループの連携にあたっては、リスクベースマネジメントの考え方と、共通言語となるフレームワークを導入し、「特定」「防御」「検知」「対応」「復旧」の観点から、グループ共通の満たすべき基準を定めています。

NTTは、 サイバーセキュリティとレジリエンスに対する米国政府のイニシアティブである、共同サイバー防衛連携（JCDC、Joint Cyber Defense Collaborative）にアジアで最初のメンバーとして加入しました。
2021年に米国サイバーセキュリティ・インフラセキュリティ庁（CISA）によって設立されたJCDCは、官民合同のサイバー防衛計画、サイバーセキュリティ情報の融合、重要インフラ、及び国家重要機能へのリスクを低減するためのサイバー防衛ガイダンスの普及を主導しています。メンバーは民間企業としては、AT&T、Verizon、Lumen、Microsoft、Google、Cisco、Mandiant、Palo Alto Networks等のいわゆる大手通信企業、メガテック企業、主要セキュリティ会社であり、加えて米国政府のインテリジェンス関連省庁が名を連ね、米国にとっての友好国のサイバーセキュリティ関連省庁も参加しています。NTTは、JCDCから得られるグローバルなインテリジェンスを活用し、重要な情報ネットワークの保護や、サイバーインシデントへの対応等をより効果的に実施することが可能となります。また、NTTは他のJCDCメンバーとの情報共有を通じ、サイバーセキュリティに関する取組みをさらに推進することができます。

これまでのCISA、並びに米国政府との協力・信頼関係を基に、JCDCにアジアからのユニークな視点を提供するとともに、NTTのリーダーシップ、及びセキュリティに関するグローバルな経験や幅広い専門知識を共有します。サイバーセキュリティをめぐりグローバル規模で不透明な時代が当面続くと思われますので、私たちの日常生活を支える重要な社会インフラシステムを脅かすサイバー攻撃を防御するために、サイバーセキュリティの官民連携は、米国とのみならず、国際的に必要とされるものと確信しています。

個人情報の保護

方針・考え方

世界各国における個人情報保護や情報管理の徹底の重要性は年々高まっていますが、NTTグループでは、個人のお客さまから法人のお客さまに至るまで、多数の個人情報をお預かりしていますので、日本の個人情報保護法、EU（欧州連合）の一般データ保護規則（GDPR）をはじめとした各国の法規制などに従い適切に個人情報を取扱うこととしています。

このようななか、個人情報の漏えいは、NTTグループの企業価値のき損やお客さまの流出など、事業運営にさまざまな影響をおよぼす可能性があり、NTTグループにおける最重要事項として個人情報の管理を徹底しています。

推進体制

NTTグループは、「NTTグループ情報セキュリティポリシー」のもと、お客さまや株主のみなさまの個人情報保護に関する方針や、マイナンバー制度にともなう特定個人情報の保護に関する方針などをWebサイト上で公開しています。これらの方針では、NTTグループがお預かりしている個人情報の開示・訂正・利用停止などのお申し出に対応するための手続きについても定めています。
また、セキュリティマネジメント体制としては、NTTにおいて情報セキュリティの最高責任者としてCISO（ Chief Information Security Officer）を設置し、NTTグループとしての情報セキュリティを徹底しています。
なお、内部監査においても、持株会社及び各社の対処状況を確認し、必要に応じて改善提案を行うことでグループ全体の情報セキュリティガバナンス強化に努めています。

主な取組み

NTTでは、お客さま個人情報の取扱いにあたり、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置を講じています。

お客様の個人情報の扱いについて

NTTは持株会社のため自らでサービスの提供を行っていないことから、お客さまの個人の情報をお伺いする場合は限定的となっています。お客様の個人の情報をお伺いする具体的な場面であるホームページをご利用されるお客様に向けては、下記の通り定めています。
なお、NTTグループにおいては、それぞれの事業内容に合わせてプライバシーポリシーを定めており、NTTグループとして個人情報の適切な取り扱いを実施しています。

個人情報対応窓口の設置

NTTにおいて「お客さま個人情報対応窓口」を設けるとともに、NTTグループ各社において各種サービスなどの個人情報に関するお問い合わせ窓口を設けています。なお、NTTは持株会社のため自らでサービスの提供を行っておらず、サービスの提供などにかかわる個人情報に関するお問い合わせについてはサービスを提供している各事業会社の窓口にお問い合わせいただいています。
また、法令等にもとづく個人情報に関する照会などがあった場合の対応についても、各事業会社の情報セキュリティの責任者の責任のもと実施しています。

国内グループ各社の主な取組み

国内グループ各社では、個人情報保護法にもとづき、それぞれの事業に合わせた個人情報保護体制を確立し、物理面、システム面での厳格なセキュリティ対策を講じ、委託先への適切な監督など、情報保護に向けた取組みを継続的に実施しています。また、国内グループ各社において、携帯電話やインターネットアクセスなど、個人・家庭向け国内サービスに伴い取得した個人情報は、2021年5月以降、日本国内で保持かつ国内からアクセスすることを原則とし、さらなる情報管理の強化を図っています。

情報漏えい事案への対応状況

2023年10月に公表した、NTTビジネスソリューションズ株式会社に派遣された元派遣社員がお客さま情報を不正に持ち出し第三者に流出させていた件について、グループとして大変重く受け止めています。NTT西日本では外部専門家も交えて、各種の調査、原因分析を行った上で、再発防止策を立案、現在はその実行に取り組んでいます。グループ全体でも2023年度中に類似事象の緊急点検と不備対処を行い、2024年度から本格対策として各社ごとに重要情報漏えい対策を進めています。この対策では、まずNTT西日本グループとして、リスクの視える化やリスク箇所の最小化を目的に、技術的・運用的な対策を体系的に推進しています。具体的には、実査の充実、ファイルを外部に持ち出せないセキュアFAT端末^※の展開、特権アカウント管理の強化などを通じて、情報漏えいリスクの低減を図っています。

加えて、持株会社が主体となり、NTTグループ横断の取組みも進めています。各社の社長が、社長としてのセキュリティ知識・スキルを習得し、組織としてのセキュリティ対策の遂行およびインシデント発生時のリーダーシップ発揮が可能となるよう、研修を実施しています。特に「バッドニュースファースト」の組織文化の醸成を重視し、現場からの迅速な報告と対応が可能な体制づくりを推進しています。さらに、ゼロトラスト型ITシステムへの移行を含む技術的対策、セキュリティ規程の順守徹底、グループCISO委員会を通じたグループ内連携の強化、人材の育成・配置、内部監査機能の強化など、複数の取組みを体系的に進めています。グループ各社の社長を中心に、NTTグループ全体としてセキュリティレベルの継続的な強化・向上に取組み、お客さまの信頼に応えてまいります。

^※セキュアFAT端末とは、利便性を最大限に生かしながら、万一の際のセキュリティ対策が講じられたPCです。