NTT、内部不正などによる情報漏えいの対策を発表–総費用は約300億円

今回は「NTT、内部不正などによる情報漏えいの対策を発表–総費用は約300億円」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 NTT(持株会社)は3月8日、2023年にNTT西日本グループ企業の業務委託で発生した内部不正による情報漏えい事件を踏まえて、NTグループとして対策を発表した。既に多くを実行中とし、約300億円を投じて推進する。

 同日記者会見したグループCISO(最高情報セキュリティ責任者)の横浜信一氏は、「今回の情報漏えいは、既にルールがあったにも関わらず現場で守られていなかった」と言及。現在は「緊急対策」と「本格対策」の2段階で施策を進めているという。

 緊急対策では、2023年10月に国内グループ各社への説明を3回実施し、11~12月には、内部不正による情報漏えいを防ぐためなどに設けていた25項目のルールについて、グループ各社で業務現場の実態把握とNTT持株会社への報告を実施した。不備のある項目の改善策を2023年末までにほぼ完了させ、ITシステムを多数抱える一部のグループ企業でも2024年3月までに実施を完了する予定だといい、幾つかのグループ企業においては、持株会社の内部監査部門による直接往査を行っているという。

 本格対策では、システム面や技術面のみならず労務、法務、監査なども含む包括的な施策を行うとする。横浜氏は、「持株会社からグループ各社に指示するだけではなく、各社トップがけん引して現場への対策を実行していくことが重要になる」と話し、持株会社の国内直属会社24社から、各社の子会社を含む対策の策定状況を2月末までに報告させたとしている。この内容を各社で2024年度の事業計画に反映させ、海外のグループ企業についてもNTT DATA IncのCISOを中心とする取り組みを進めていくとした。

 横浜氏は、本格対策の方針について従来の「性善説」ではなく「性悪説」に立って、施策を実行しているとし、一部の施策は2025年度になるものの、多くを2024年度中に完了させる見通しを示した。技術的な対策のみならず人材の育成、配置、委託時などにおけるリスク評価、内部監査の強化、インシデント時の意思疎通など経営全般に及ぶ内容で、既存の内部システム整備を含め、今後3~4年間で300億円を投じる。300億円のうち約150億円をグループ各社の業務システムなどの共通化に充当し、残る半分は技術的な対策として講じるエンドポイント型脅威検知・対応(EDR)やユーザー行動分析検知(UEBA)などのソフトウェアライセンス費用などになるという。

 事業会社における本格対策の内容は、2月に発行された米国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク(CFS) 2.0」を基に遂行するとしている。主な対策項目と施策は以下の通り。

 また本格対策では、持株会社主導によるグループ横断型の施策も行うとし、各社で行ったベストプラクティスの共有や、グループで導入しているセキュリティ人材認定制度の推進、システムのITのグループ共通化によるセキュリティの確保を推進する。

 さらに、コロナ禍での働き方改革を念頭に置いた2年前に整備したというグループセキュリティポリシーを各社へのキャラバン活動で浸透させるほか、全社員向け研修では内部不正への注意を喚起する。情報漏えいの対処や報告をテーマとする演習も行う。他方で、USBメモリーの使用禁止に伴う業務効率低下への対応などとして代替策を講じるほか、特権アカウント管理のソリューション導入およびグループでの活用事例の共有などにも取り組む。

 業務面では、AIの活用などを通じた自動化を推進するとし、「例えば、コールセンターであれば、お客さまとの通話後にその内容をAIが要約して入力することにより、担当者が直接お客さまの情報に触れる(システムへの入力作業など)機会やリスクを減らせるだろう」(横浜氏)

 横浜氏は示した「性悪説」への転換による対策をグループ各社の業務現場に展開することについて、NTT セキュリティ&トラスト室長の木村正人氏は、「ほとんどの社員、関係者はまじめに働いている。残念ながら、今回の内部不正によって、正しいことをしていても疑われてしまうという意識を持つ必要性が生じた。対策は、内部関係者を信用しないということではなく、万一の事態に備えるもので、記録を残すことで身の潔白の証明にもつながることを理解してもらっている」と説明した。

 横浜氏も「グループ各社へのメッセージにおいて、会社が関係者を疑うということではなく、内部不正が起こり得ることで、万一起きればお客さまや会社のブランドなどに大きな影響が出てしまうことを伝えた」とした。また、NTTでは内部不正による情報漏えいをセキュリティリスクと位置付けつつも、外部からのサイバー攻撃などへの対策を優先して内部不正対策が手薄になっていたとも述べ、「(内部不正のトライアングルと呼ばれる)動機や機会、正当化のリスクを減らしていく」と話している。

元記事: https://japan.zdnet.com/article/35216276/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
ソフトバンクが社長交代 宮川副社長が昇格 宮内氏は会長、孫氏は「創業者取締役」に
企業・業界動向
2021-01-27 09:37
マイクロソフト、「AWS Nitro」対抗のクラウド基盤用プロセッサを自社開発か、DPUベンダのFungible買収を発表
Microsoft Azure
2023-01-23 03:19
第23回:実態調査で判明した「コロナ時代の新たなひとり情シス」の姿
IT関連
2021-04-01 00:27
マイクロソフト、ChatGPTに任意のドキュメントを読み込ませて回答を得られる「Azure OpenAI Service On Your Data」パブリックプレビュー開始
Microsoft
2023-06-21 01:29
Coltテクノロジーサービス、国内ネットワークの拡張に3年で150億円を投資へ
IT関連
2023-09-01 16:25
「Office」プレビュー、「Windows 11」に合わせ新デザイン–Arm向けの64ビット版も登場
IT関連
2021-06-30 12:24
伊藤園、基幹システムの会計・購買領域を「Oracle Cloud ERP」で刷新–営業社員の経費精算を自動化
IT関連
2024-04-18 13:13
「全国再始動!」 東京・大阪の映画館が制限付きで営業再開 新作も相次ぎ公開へ
くらテク
2021-06-02 17:24
国民的アニメのリメイクは「デマ」 カラー、庵野監督次回作についての一部報道を否定
くらテク
2021-05-18 22:14
「脱セキュリティベンダー目指す」–タニウム新社長が事業戦略語る
IT関連
2024-02-17 08:30
VRブラウザー「Firefox Reality」、提供終了–技術はIgaliaの「Wolvic」に継承
IT関連
2022-02-08 08:03
Switch版「Apex Legends」は3月10日配信 パッケージ版は18日発売
くらテク
2021-02-04 04:39
TikTokが10代に与える悪影響について米国各州の司法長官団が調査を行うと発表
IT関連
2022-03-07 17:15
異色スマートウォッチから“着るクーラー”まで ソニーが7年で17件の新規事業に成功したワケ
PR
2021-03-12 16:05