情報セキュリティ・個人情報保護の強化

CISOメッセージ

NTTグループのセキュリティには5つの独自の強みがあります。1番目は、当グループのスケールです。当社は情報通信インフラを運営するため、数多くのサイバー攻撃のターゲットとなっています。このため、世界最先端の攻撃手法を知ることができます。

2番目はサイバー攻撃の早期検知と迅速な対応・復旧に役立つ優れた技術を持っていることです。AI（人工知能）を活用した、脅威を自動で検出・可視化・通知するエンジンを保有しており、脅威情報の収集・共有のグローバルパートナーシップ、SOC（Security Operation Center）の高度分析エンジニア等を有しています。

さらに3番目は人材です。国内グループ全社員を対象にセキュリティに関する講習の受講を義務付けており、国内社員の約３％、約4,700人がセキュリティの現場で活躍できる人材として認められる「中級」のランクを取得しています。また、外部の有識者も認める業界屈指の実績を持つトップガン集団が約100人います。

4番目はノウハウです。2021年に東京で開催された国際スポーツイベントでは、パートナー企業としてサイバー攻撃等からの防衛の一部を担いました。その他過去のG7やG20などの国際的大イベントへの対応経験も蓄積しています。

5番目の強みは情報発信力です。日本企業で唯一サイバーセキュリティに特化した対外情報発信チームを持ち、あえて手の内も可能な範囲で外部に公開・発信することでグローバルな仲間づくりを進めています。
情報セキュリティの確保と個人情報保護を通じて守っているのは「信頼」だと考えています。社会はコネクティッド・ソサエティ時代となり、すべてのモノがつながっています。
上に述べた5つの強みをベースに、自社だけではなくお客さま、当グループが依存する会社、広い意味のサプライチェーン全体を守って社会全体をセキュアにし、安心安全で信頼ある社会の実現に貢献してまいります。

NTTグループCISO　横浜 信一

情報セキュリティ・個人情報保護の強化

NTTグループにおいては、ゼロトラスト＆クラウドネイティブの時代に向けて事業活動を通じてパートナーの皆さまとともに社会的課題の解決をめざすという考え方のもと、安心・安全なICT基盤の責任ある担い手として、お客さまや株主、お取引先等の個人情報保護を含む情報セキュリティの確保に努め、デジタル経済・リモート社会の健全な発展に貢献していきます。

情報セキュリティの確保においては、デジタル経済・リモート社会における情報セキュリティの重要性を認識し、ICTサービスを提供する重要インフラ事業者として、CISOの統括のもと、統一的な情報セキュリティ管理体制を以て臨んでいます。「サイバーインシデントは必ず起きる、被害の最小化が大切」という考えに基づき、持株会社ならびにグループ各社のトップリーダーシップのもと、規程の整備および順守の徹底、サービスセキュリティの強化、高度人材の育成、グローバル連携などに取組んでいます。

個人情報の保護においては、その漏えいはNTTグループの企業価値のき損やお客さまの流出など、事業運営にさまざまな影響をおよぼす可能性があることを、NTTグループの役員・従業員が認識し、最重要事項として個人情報の管理を徹底しています。個人のお客さまから法人のお客さまに至るまで、多数の個人情報をお預かりしている企業として、国内外の法規制などに従い適切に個人情報を取扱っており、組織的、人的、物理的、技術的安全措置を講ずると共に、個人情報対応窓口の設置も行っています。また、重要な情報漏えい事案に際しては、外部専門家を交え、原因分析、再発防止策の立案・実行に直ちに取組みます。

NTTグループでは、役員・従業員はもちろんのこと、機密事項を扱う委託先等のサプライヤーに対しても適切な情報セキュリティの確保を求める「NTTグループ情報セキュリティポリシー」を定め、情報セキュリティならびに個人情報保護の強化に取組んでいます。
「NTTグループ情報セキュリティポリシー」ならびに社内規程である「情報セキュリティマネジメント規程」とその関連規則等に違反して個人情報漏えいを起こした場合には、社員就業規則等に基づき懲戒等の処分を受けることも定めています。

情報セキュリティ

方針・考え方

社会経済のデジタル化の進展や国際情勢の変化を受け、サイバー攻撃をはじめとするセキュリティ脅威はますます高度化・深刻化しています。このような中、ICTサービスインフラとお客さまの基本的な権利および自由、そして情報資産を守り、デジタル経済の成長に向けた健全な基盤を提供することはNTTグループの責務です。セキュリティにおいても、デジタル経済のインフラを支え、自由、オープン、安全なICT基盤の構築と発展に貢献することをミッションと定義し、お客さまとNTTグループ自身のデジタルトランスフォーメーションを実現すること、またお客さまからNTTグループを選んでいただける理由となることをビジョンとして掲げました。

これらの実現に向け、自らのスケールを活かした研究開発・サービス開発に取組むこと、早期検知と迅速な対応能力に優れること、誠実さと高度な技能という価値を共有する人材群の育成に努めること、利益主義を超え社会に対して先導的な知見を発信することを柱に取組んでいます。2023年に策定した中期経営戦略を受け、セキュリティの果たす役割はますます大きくなることが想定されます。引き続きビジョンの実現に取り組んでまいります。

中期経営戦略「New value creation & Sustainability 2027 powered by IOWN」には3本の柱がありますが、セキュリティは、特に「新たな価値の創造とグローバルサステナブル社会を支えるNTTへ」を支えていく、重要な要素です。
日々刻々と変化する脅威に対応するためグローバルな情報連携や攻撃者目線での防御などに取組み、サイバー攻撃に強いネットワーク/システムを実現し、事業基盤のさらなる強靭化をめざしています。

【グローバル連携】
米欧を中心に、各国政府や産業界のサイバーセキュリティ強化の取組みに参画し、セキュリティ脅威情報やベストプラクティスの共有と、互いに信頼し合える企業と組織によるコミュニティの形成に取組んでいます。

【事業基盤の更なる強靭化】
NTTグループでは、自社グループ内の重要サービスやシステムに対して、攻撃者の目線で疑似的なサイバー攻撃を仕掛け、セキュリティ対策の有効性を検証・評価するグループ横断のレッドチームを持っています。

推進体制

NTTグループは、CISO（Chief Information Security Officer）を最高責任者とする情報セキュリティマネジメント体制を整備し、情報セキュリティの管理を徹底しています。また、「グループCISO委員会」を設置し、グループにおける情報セキュリティマネジメント戦略の策定や各種対策の計画・実施、人材の育成等、グループ各社と連携しながら取組んでいます。また、グループ内のセキュリティ防御の維持向上については、「三線組織」を意識した取組みを進めています。

NTTグループがめざすセキュリティガバナンス

目標と実績

⑫-1サイバー攻撃に伴う重大なインシデント発生件数
2021年度実績：0件
2022年度実績：0件
2023年度実績：0件
2024年度目標：0件

^※2021-2023年度についてはサイバー攻撃に伴うサービス停止件数

⑫-2情報漏洩件数
2024年度目標：0件

主な取組み

情報セキュリティリスクへの対応として、NTTグループでは、「サイバーインシデントは必ず起きる、被害の最小化が大切」という考えに基づき、持株会社ならびにグループ各社のトップリーダーシップのもと、グループ全体で守るべき規程の整備（情報セキュリティの体系化）および順守の徹底、さまざまなセキュリティ研修やインシデント対応演習に取り組んでいます。また、サービスセキュリティの強化、高度セキュリティ人材の育成、グローバル連携などに取り組んでいます。

情報セキュリティの体系化

勤務場所を限定しない自由な働き方を前提としたゼロトラスト型のセキュリティ対策に対応するため、2022年に情報セキュリティ規程を全面的に見直しました。情報セキュリティ部門だけでなく全社員がセキュリティへの感度をあげるため、曖昧さをなくし可読性を高め、確実に準拠できる規程類に作り直しました。

情報セキュリティ研修

各グループ会社にて、全従業員および協力会社社員に対し、情報セキュリティリテラシー向上を目的とした研修を実施しています。研修はeラーニング形式で実施し、受講者は年1回の受講が義務づけられています。今後は、グループ全体で業務に必要な情報セキュリティ知識の同一水準化をめざし、研修コンテンツの統一化を目指しています。加えて、NTTグループ会社の社長に対し、会社としてのセキュリティ対策遂行、万一のインシデント対応におけるリーダーシップの発揮を目的として研修を実施します。これにより、NTTグループのセキュリティケーパビリティを向上させ、お客さまや社会に安全安心な事業を提供するための人材力を強化することをめざします。

一般的にセキュリティ研修は、その内容の難易度の高さや、利便性を抑制されがちであることへの嫌気から敬遠されがちな傾向があります。そこでNTTでは、CISOによる芝居風の機知に富んだ冒頭メッセージを皮切りに、アニメーション動画を中心とした親しみやすいコンテンツを通じて、社員の興味を引くことを第一目標とし、全社員がセキュリティを意識することの必要性や、日々の業務のなかで具体的に役立つ「怪しいと思ったらすぐ報告」という基本動作を身につけることで、組織としての早期検知・迅速対応に一人ひとりの社員が参加・貢献できるよう意識づけています。

インシデント対応演習

年に１回、最新の脅威を反映した発災のシナリオを準備し、グループの全CSIRTが参加する形でインシデント時の対応を確認する演習を行っています。実際のインシデント発生時には対外コミュニケーションも重要となってくるので、ここ数年は広報関連部署も参加しています。

また、NTTでは、 2019年にレッドチームを設立しました。レッドチームとは、外部の攻撃者の視点に立って疑似的なサイバー攻撃を行うチームです。サイバーセキュリティにおける攻撃と防御の関係はいたちごっこのようなところがあり、どんなに防御をしても次々と新しい攻撃手法が編み出されてしまいます。また、攻める方は何度でも様々な攻撃を仕掛けてそのうち1回成功すればよいのに対し、守る方はすべてを守り切らなければならず、攻撃者優位の構図にあります。こうした状況に対応するため、内部に疑似的攻撃チームを持って、攻撃者目線で対応策を練るという発想に立って作られたのがNTTのレッドチームです。その目的はあくまで防御力の向上であり、したがって活動も疑似攻撃を行ったら終了ではありません。疑似攻撃の後に、対象となったシステムの脆弱性や組織としての課題を分析・整理して報告し、改善のアドバイスまで提供すること、場合によっては改善の実行支援まで行うこと、それがNTTのレッドチームの活動内容です。

サービスセキュリティの強化

重要な社会インフラであり、社会経済のデジタル化の基盤となる、安心・安全な情報通信サービスを提供するため、電気通信設備、ITサービス環境、およびスマートシティやスマートビルディングなどのサービスの全てにおいて、セキュリティの強化に取組んでいます。

バグ・バウンティ・プログラム

NTTでは、2022年にバグ・バウンティ・プログラムの試験運用を行い、2023年から本格的に開始しました。バグ・バウンティとは、情報システムに潜むセキュリティの穴を見つけた人に支払う報奨金です。NTTではこの制度を以下の目的で実施しています。

①悪意ある第三者に脆弱性を悪用される前に発見・対処することで、NTTグループのセキュリティレベル向上をめざす。

②参加する社員に攻撃者目線でのセキュリティスキルを研鑽する場を提供することで、セキュリティ人材の育成を図る。

試験運用では、会社のセキュリティ向上に貢献するだけでなく、潜在的なセキュリティ人材を発見し、さらには腕を磨く効果もあることがわかりました。本格運用は2023年から始まったばかりなので、継続的に洗練度を高めていくことになりますが、その過程でセキュリティ向上は全社員参加・会社全体で進めるもの、という意識も広めていきます。

研究開発

サービスセキュリティのための技術開発に加え、セキュリティ要素技術の開発にも力を入れています。暗号理論研究を土台として、サイバーセキュリティやデータセキュリティなどの応用分野の研究を行うとともに、AI（人工知能）の活用とAIそのものを保護する観点を取り入れつつ、技術的側面とプライバシー・倫理・法制度等を含む学際的なアプローチによって研究に取組んでいます。

高度セキュリティ人材育成

コーポレートとしての情報セキュリティの強化においても、サービスセキュリティの強化においても、高度な知識とスキルを持った専門的な人材が欠かせません。特にこの数年の、セキュリティをめぐる技術の変化（ゼロトラスト、クラウドネイティブ、デジタルトランスフォーメーション（DX）、テレワーク等）は、NTTグループ総体にとっても不断のキャッチアップを必要としており、セキュリティ人材の急速かつ着実な育成をコンスタントに行うことが重要となっています。
NTTでは、セキュリティ人材を質・量ともに充実させることを目標に、人材タイプやスキルレベルを定めたセキュリティ人材認定制度を2015年より導入しています。国内外において業界屈指の「実績」を持ち、社内外から大きな信頼と評価を得る「第一人者」である上級人材は99名（内今年度新規認定13名）、チームをけん引する必要十分な業務経験、専門性を持った中級人材は4715名が認定されています。（2024年４月時点）

NTTグループ内外とのグローバル連携

One NTTでのグローバル事業の競争力強化に向けて、セキュリティにおいてもグローバル連携を進めています。多様な事業や地域を含むNTTグループの連携にあたっては、リスクベースマネジメントの考え方と、共通言語となるフレームワークを導入し、「特定」「防御」「検知」「対応」「復旧」の観点から、グループ共通の満たすべき基準を定めています。

NTTは、 サイバーセキュリティとレジリエンスに対する米国政府のイニシアティブである、共同サイバー防衛連携（JCDC、Joint Cyber Defense Collaborative）にアジアで最初のメンバーとして加入しました。
2021年に米国サイバーセキュリティ・インフラセキュリティ庁（CISA）によって設立されたJCDCは、官民合同のサイバー防衛計画、サイバーセキュリティ情報の融合、重要インフラ、及び国家重要機能へのリスクを低減するためのサイバー防衛ガイダンスの普及を主導しています。メンバーは民間企業としては、AT&T、Verizon、Lumen、Microsoft、Google、Cisco、Mandiant、Palo Alto Networks等のいわゆる大手通信企業、メガテック企業、主要セキュリティ会社であり、加えて米国政府のインテリジェンス関連省庁が名を連ね、米国にとっての友好国のサイバーセキュリティ関連省庁も参加しています。NTTは、JCDCから得られるグローバルなインテリジェンスを活用し、重要な情報ネットワークの保護や、サイバーインシデントへの対応等をより効果的に実施することが可能となります。また、NTTは他のJCDCメンバーとの情報共有を通じ、サイバーセキュリティに関する取組みをさらに推進することができます。

これまでのCISA、並びに米国政府との協力・信頼関係を基に、JCDCにアジアからのユニークな視点を提供するとともに、NTTのリーダーシップ、及びセキュリティに関するグローバルな経験や幅広い専門知識を共有します。サイバーセキュリティをめぐりグローバル規模で不透明な時代が当面続くと思われますので、私たちの日常生活を支える重要な社会インフラシステムを脅かすサイバー攻撃を防御するために、サイバーセキュリティの官民連携は、米国とのみならず、国際的に必要とされるものと確信しています。

個人情報の保護

方針・考え方

世界各国における個人情報保護や情報管理の徹底の重要性は年々高まっていますが、NTTグループでは、個人のお客さまから法人のお客さまに至るまで、多数の個人情報をお預かりしていますので、日本の個人情報保護法、EU（欧州連合）の一般データ保護規則（GDPR）をはじめとした各国の法規制などに従い適切に個人情報を取扱うこととしています。

このようななか、個人情報の漏えいは、NTTグループの企業価値のき損やお客さまの流出など、事業運営にさまざまな影響をおよぼす可能性があり、NTTグループにおける最重要事項として個人情報の管理を徹底しています。

推進体制

NTTグループは、「NTTグループ情報セキュリティポリシー」のもと、お客さまや株主のみなさまの個人情報保護に関する方針や、マイナンバー制度にともなう特定個人情報の保護に関する方針などをWebサイト上で公開しています。これらの方針では、NTTグループがお預かりしている個人情報の開示・訂正・利用停止などのお申し出に対応するための手続きについても定めています。
また、セキュリティマネジメント体制としては、NTTにおいて情報セキュリティの最高責任者としてCISO（ Chief Information Security Officer）を設置し、NTTグループとしての情報セキュリティを徹底しています。
なお、内部監査においても、持株会社及び各社の対処状況を確認し、必要に応じて改善提案を行うことでグループ全体の情報セキュリティガバナンス強化に努めています。

主な取組み

NTTでは、お客さま個人情報の取扱いにあたり、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置を講じています。

お客様の個人情報の扱いについて

NTTは持株会社のため自らでサービスの提供を行っていないことから、お客さまの個人の情報をお伺いする場合は限定的となっています。お客様の個人の情報をお伺いする具体的な場面であるホームページをご利用されるお客様に向けては、下記の通り定めています。
なお、NTTグループにおいては、それぞれの事業内容に合わせてプライバシーポリシーを定めており、NTTグループとして個人情報の適切な取り扱いを実施しています。

個人情報対応窓口の設置

NTTにおいて「お客さま個人情報対応窓口」を設けるとともに、NTTグループ各社において各種サービスなどの個人情報に関するお問い合わせ窓口を設けています。なお、NTTは持株会社のため自らでサービスの提供を行っておらず、サービスの提供などにかかわる個人情報に関するお問い合わせについてはサービスを提供している各事業会社の窓口にお問い合わせいただいています。
また、法令等にもとづく個人情報に関する照会などがあった場合の対応についても、各事業会社の情報セキュリティの責任者の責任のもと実施しています。

国内グループ各社の主な取組み

国内グループ各社では、個人情報保護法にもとづき、それぞれの事業に合わせた個人情報保護体制を確立し、物理面、システム面での厳格なセキュリティ対策を講じ、委託先への適切な監督など、情報保護に向けた取組みを継続的に実施しています。また、国内グループ各社において、携帯電話やインターネットアクセスなど、個人・家庭向け国内サービスに伴い取得した個人情報は、2021年5月以降、日本国内で保持かつ国内からアクセスすることを原則とし、さらなる情報管理の強化を図っています。

情報漏えい事案への対応状況

2023年10月に公表した、NTTビジネスソリューションズ株式会社に派遣された元派遣社員がお客さま情報を不正に持ち出し第三者に流出させていた件について、グループとして大変重く受け止めています。NTT西日本では外部専門家も交えて、各種の調査、原因分析を行った上で、再発防止策を立案、現在はその実行に取り組んでいます。グループ全体でも2023年度中に類似事象の緊急点検と不備対処を行い、2024年度は本格対策として各社ごとに重要情報漏えい対策を進めています。また、グループ横断の取組みとして、対策・経験の共有、人材の育成・配置、IT共通化の加速、グループセキュリティポリシーの浸透、技術ソリューションの導入推進、内部監査機能の強化などを進めています。グループ各社社長を筆頭にグループ全体のセキュリティレベルを継続的に強化・向上させ、お客さまの信頼に応えてまいります。