NTT、内部不正などによる情報漏えいの対策を発表–総費用は約300億円

今回は「NTT、内部不正などによる情報漏えいの対策を発表–総費用は約300億円」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 NTT(持株会社)は3月8日、2023年にNTT西日本グループ企業の業務委託で発生した内部不正による情報漏えい事件を踏まえて、NTグループとして対策を発表した。既に多くを実行中とし、約300億円を投じて推進する。

 同日記者会見したグループCISO(最高情報セキュリティ責任者)の横浜信一氏は、「今回の情報漏えいは、既にルールがあったにも関わらず現場で守られていなかった」と言及。現在は「緊急対策」と「本格対策」の2段階で施策を進めているという。

 緊急対策では、2023年10月に国内グループ各社への説明を3回実施し、11~12月には、内部不正による情報漏えいを防ぐためなどに設けていた25項目のルールについて、グループ各社で業務現場の実態把握とNTT持株会社への報告を実施した。不備のある項目の改善策を2023年末までにほぼ完了させ、ITシステムを多数抱える一部のグループ企業でも2024年3月までに実施を完了する予定だといい、幾つかのグループ企業においては、持株会社の内部監査部門による直接往査を行っているという。

 本格対策では、システム面や技術面のみならず労務、法務、監査なども含む包括的な施策を行うとする。横浜氏は、「持株会社からグループ各社に指示するだけではなく、各社トップがけん引して現場への対策を実行していくことが重要になる」と話し、持株会社の国内直属会社24社から、各社の子会社を含む対策の策定状況を2月末までに報告させたとしている。この内容を各社で2024年度の事業計画に反映させ、海外のグループ企業についてもNTT DATA IncのCISOを中心とする取り組みを進めていくとした。

 横浜氏は、本格対策の方針について従来の「性善説」ではなく「性悪説」に立って、施策を実行しているとし、一部の施策は2025年度になるものの、多くを2024年度中に完了させる見通しを示した。技術的な対策のみならず人材の育成、配置、委託時などにおけるリスク評価、内部監査の強化、インシデント時の意思疎通など経営全般に及ぶ内容で、既存の内部システム整備を含め、今後3~4年間で300億円を投じる。300億円のうち約150億円をグループ各社の業務システムなどの共通化に充当し、残る半分は技術的な対策として講じるエンドポイント型脅威検知・対応(EDR)やユーザー行動分析検知(UEBA)などのソフトウェアライセンス費用などになるという。

 事業会社における本格対策の内容は、2月に発行された米国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク(CFS) 2.0」を基に遂行するとしている。主な対策項目と施策は以下の通り。

 また本格対策では、持株会社主導によるグループ横断型の施策も行うとし、各社で行ったベストプラクティスの共有や、グループで導入しているセキュリティ人材認定制度の推進、システムのITのグループ共通化によるセキュリティの確保を推進する。

 さらに、コロナ禍での働き方改革を念頭に置いた2年前に整備したというグループセキュリティポリシーを各社へのキャラバン活動で浸透させるほか、全社員向け研修では内部不正への注意を喚起する。情報漏えいの対処や報告をテーマとする演習も行う。他方で、USBメモリーの使用禁止に伴う業務効率低下への対応などとして代替策を講じるほか、特権アカウント管理のソリューション導入およびグループでの活用事例の共有などにも取り組む。

 業務面では、AIの活用などを通じた自動化を推進するとし、「例えば、コールセンターであれば、お客さまとの通話後にその内容をAIが要約して入力することにより、担当者が直接お客さまの情報に触れる(システムへの入力作業など)機会やリスクを減らせるだろう」(横浜氏)

 横浜氏は示した「性悪説」への転換による対策をグループ各社の業務現場に展開することについて、NTT セキュリティ&トラスト室長の木村正人氏は、「ほとんどの社員、関係者はまじめに働いている。残念ながら、今回の内部不正によって、正しいことをしていても疑われてしまうという意識を持つ必要性が生じた。対策は、内部関係者を信用しないということではなく、万一の事態に備えるもので、記録を残すことで身の潔白の証明にもつながることを理解してもらっている」と説明した。

 横浜氏も「グループ各社へのメッセージにおいて、会社が関係者を疑うということではなく、内部不正が起こり得ることで、万一起きればお客さまや会社のブランドなどに大きな影響が出てしまうことを伝えた」とした。また、NTTでは内部不正による情報漏えいをセキュリティリスクと位置付けつつも、外部からのサイバー攻撃などへの対策を優先して内部不正対策が手薄になっていたとも述べ、「(内部不正のトライアングルと呼ばれる)動機や機会、正当化のリスクを減らしていく」と話している。

元記事: https://japan.zdnet.com/article/35216276/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
東大IPCがガンの診断・治療に役立つ独自抗体医薬を開発する凜研究所に2億円を出資
ヘルステック
2021-01-20 15:17
花王とPFN、健康や生活など1600項目以上のデータを推定できる統計モデル「仮想人体生成モデル」プロトタイプを共同開発
IT関連
2022-03-02 13:56
生成AI支出、2027年に約21兆円規模に–IDC
IT関連
2023-10-18 22:16
社員の「プロアクティブ度」、40代で落ち込む傾向–日本総研ら調査
IT関連
2023-06-08 11:05
ソフトバンクら、PayPayドームをメタバース化–ボールの軌跡を仮想空間に再現
IT関連
2022-05-27 09:24
データサイエンティストとエンジニア、役割のあり方–製薬大手ノバルティスのアプローチに学ぶ
IT関連
2022-05-21 22:12
KDDIがデータクリーンルームで実現する「データコラボレーション構想」とは
IT関連
2023-12-26 09:27
グーグル「Chrome」のロゴ、8年ぶりに変更
IT関連
2022-02-08 13:44
インテルとデル、「AI for Workforce Program」を拡大–次世代のAI人材育成に向け
IT関連
2021-08-05 03:38
SaaS企業に新規顧客の呼び込みスピードと内容の向上を提案するOnboard
ソフトウェア
2021-02-18 11:14
アークサーブ、新戦略「ハイスピード ハイレゾリューション」で年率30%成長を実現
IT関連
2023-09-09 12:51
インドのEdTech大手Byju’sが約940億円調達、その半分を創業者が出資
IT関連
2022-03-15 15:11
日立ら、指静脈認証を用いたゴルフ場への入場や決済処理を実証
IT関連
2021-05-26 14:42
日本のゼロトラスト推進状況は28の国と地域中27位–トレンドマイクロ調査
IT関連
2023-05-11 13:31