NTT、内部不正などによる情報漏えいの対策を発表–総費用は約300億円

今回は「NTT、内部不正などによる情報漏えいの対策を発表–総費用は約300億円」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 NTT(持株会社)は3月8日、2023年にNTT西日本グループ企業の業務委託で発生した内部不正による情報漏えい事件を踏まえて、NTグループとして対策を発表した。既に多くを実行中とし、約300億円を投じて推進する。

 同日記者会見したグループCISO(最高情報セキュリティ責任者)の横浜信一氏は、「今回の情報漏えいは、既にルールがあったにも関わらず現場で守られていなかった」と言及。現在は「緊急対策」と「本格対策」の2段階で施策を進めているという。

 緊急対策では、2023年10月に国内グループ各社への説明を3回実施し、11~12月には、内部不正による情報漏えいを防ぐためなどに設けていた25項目のルールについて、グループ各社で業務現場の実態把握とNTT持株会社への報告を実施した。不備のある項目の改善策を2023年末までにほぼ完了させ、ITシステムを多数抱える一部のグループ企業でも2024年3月までに実施を完了する予定だといい、幾つかのグループ企業においては、持株会社の内部監査部門による直接往査を行っているという。

 本格対策では、システム面や技術面のみならず労務、法務、監査なども含む包括的な施策を行うとする。横浜氏は、「持株会社からグループ各社に指示するだけではなく、各社トップがけん引して現場への対策を実行していくことが重要になる」と話し、持株会社の国内直属会社24社から、各社の子会社を含む対策の策定状況を2月末までに報告させたとしている。この内容を各社で2024年度の事業計画に反映させ、海外のグループ企業についてもNTT DATA IncのCISOを中心とする取り組みを進めていくとした。

 横浜氏は、本格対策の方針について従来の「性善説」ではなく「性悪説」に立って、施策を実行しているとし、一部の施策は2025年度になるものの、多くを2024年度中に完了させる見通しを示した。技術的な対策のみならず人材の育成、配置、委託時などにおけるリスク評価、内部監査の強化、インシデント時の意思疎通など経営全般に及ぶ内容で、既存の内部システム整備を含め、今後3~4年間で300億円を投じる。300億円のうち約150億円をグループ各社の業務システムなどの共通化に充当し、残る半分は技術的な対策として講じるエンドポイント型脅威検知・対応(EDR)やユーザー行動分析検知(UEBA)などのソフトウェアライセンス費用などになるという。

 事業会社における本格対策の内容は、2月に発行された米国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク(CFS) 2.0」を基に遂行するとしている。主な対策項目と施策は以下の通り。

 また本格対策では、持株会社主導によるグループ横断型の施策も行うとし、各社で行ったベストプラクティスの共有や、グループで導入しているセキュリティ人材認定制度の推進、システムのITのグループ共通化によるセキュリティの確保を推進する。

 さらに、コロナ禍での働き方改革を念頭に置いた2年前に整備したというグループセキュリティポリシーを各社へのキャラバン活動で浸透させるほか、全社員向け研修では内部不正への注意を喚起する。情報漏えいの対処や報告をテーマとする演習も行う。他方で、USBメモリーの使用禁止に伴う業務効率低下への対応などとして代替策を講じるほか、特権アカウント管理のソリューション導入およびグループでの活用事例の共有などにも取り組む。

 業務面では、AIの活用などを通じた自動化を推進するとし、「例えば、コールセンターであれば、お客さまとの通話後にその内容をAIが要約して入力することにより、担当者が直接お客さまの情報に触れる(システムへの入力作業など)機会やリスクを減らせるだろう」(横浜氏)

 横浜氏は示した「性悪説」への転換による対策をグループ各社の業務現場に展開することについて、NTT セキュリティ&トラスト室長の木村正人氏は、「ほとんどの社員、関係者はまじめに働いている。残念ながら、今回の内部不正によって、正しいことをしていても疑われてしまうという意識を持つ必要性が生じた。対策は、内部関係者を信用しないということではなく、万一の事態に備えるもので、記録を残すことで身の潔白の証明にもつながることを理解してもらっている」と説明した。

 横浜氏も「グループ各社へのメッセージにおいて、会社が関係者を疑うということではなく、内部不正が起こり得ることで、万一起きればお客さまや会社のブランドなどに大きな影響が出てしまうことを伝えた」とした。また、NTTでは内部不正による情報漏えいをセキュリティリスクと位置付けつつも、外部からのサイバー攻撃などへの対策を優先して内部不正対策が手薄になっていたとも述べ、「(内部不正のトライアングルと呼ばれる)動機や機会、正当化のリスクを減らしていく」と話している。

元記事: https://japan.zdnet.com/article/35216276/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
サイバー犯罪のエコシステムは今–CrowdStrikeの脅威レポートにみる
IT関連
2021-03-11 22:47
プログラミングのためのBGMなど、仕事や勉強の邪魔にならない無料で使えそうなBGM集。2023年版
おもしろ
2023-06-12 23:41
高校生が人工衛星の開発と打ち上げに挑戦 通信制高校が「宇宙探求部」創設 2022年度に発射
企業・業界動向
2021-07-02 09:29
NTTデータの2022年度業績は増収増益–世界市場を狙う一端が鮮明に
IT関連
2023-05-13 10:20
ジョーシス、DX推進コミュニティーを本格始動–デジタル人材不足を解決へ
IT関連
2022-10-19 01:12
インテル、ノートPC向け次期CPU「Meteor Lake」で電力効率を大幅向上へ
IT関連
2023-09-21 22:47
Slackの情報集約機能「Slack canvas」が正式公開
IT関連
2023-04-27 02:01
質と量で世界初、工学院大学が約6360手話単語と10テーマ10件の対話を収録した高精度3D日本手話データベースを提供開始
パブリック / ダイバーシティ
2021-06-29 09:58
GMがアップグレードした自動運転支援システムSuper Cruiseを2022年に6車種に搭載へ
モビリティ
2021-07-25 22:36
弁護士ドットコム、「MeetingBaseCamp」公開–会議の生産性向上メソッドを発信
IT関連
2023-11-21 06:58
日本を代表する大手クラウド運用の裏側はどうなっている? 運用をクリエティブに改善する方法とは。Cloud Operator Days Tokyo 2022[PR]
PR
2022-07-13 20:31
「Twitterの検索結果が40件になったのは仕様変更」誤解広がる 実際は不具合で修正中
ネットトピック
2021-08-19 08:10
弁護士ドットコム、リクルートと業務提携–法務の規約管理を支援する「termhub」を共同開発へ
IT関連
2022-06-17 07:11
Twitter版Clubhouseの「Spaces」、4月から誰でも作成可能に
アプリ・Web
2021-03-12 02:52