NTT、内部不正などによる情報漏えいの対策を発表–総費用は約300億円
今回は「NTT、内部不正などによる情報漏えいの対策を発表–総費用は約300億円」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
NTT(持株会社)は3月8日、2023年にNTT西日本グループ企業の業務委託で発生した内部不正による情報漏えい事件を踏まえて、NTグループとして対策を発表した。既に多くを実行中とし、約300億円を投じて推進する。
同日記者会見したグループCISO(最高情報セキュリティ責任者)の横浜信一氏は、「今回の情報漏えいは、既にルールがあったにも関わらず現場で守られていなかった」と言及。現在は「緊急対策」と「本格対策」の2段階で施策を進めているという。
緊急対策では、2023年10月に国内グループ各社への説明を3回実施し、11~12月には、内部不正による情報漏えいを防ぐためなどに設けていた25項目のルールについて、グループ各社で業務現場の実態把握とNTT持株会社への報告を実施した。不備のある項目の改善策を2023年末までにほぼ完了させ、ITシステムを多数抱える一部のグループ企業でも2024年3月までに実施を完了する予定だといい、幾つかのグループ企業においては、持株会社の内部監査部門による直接往査を行っているという。
本格対策では、システム面や技術面のみならず労務、法務、監査なども含む包括的な施策を行うとする。横浜氏は、「持株会社からグループ各社に指示するだけではなく、各社トップがけん引して現場への対策を実行していくことが重要になる」と話し、持株会社の国内直属会社24社から、各社の子会社を含む対策の策定状況を2月末までに報告させたとしている。この内容を各社で2024年度の事業計画に反映させ、海外のグループ企業についてもNTT DATA IncのCISOを中心とする取り組みを進めていくとした。
横浜氏は、本格対策の方針について従来の「性善説」ではなく「性悪説」に立って、施策を実行しているとし、一部の施策は2025年度になるものの、多くを2024年度中に完了させる見通しを示した。技術的な対策のみならず人材の育成、配置、委託時などにおけるリスク評価、内部監査の強化、インシデント時の意思疎通など経営全般に及ぶ内容で、既存の内部システム整備を含め、今後3~4年間で300億円を投じる。300億円のうち約150億円をグループ各社の業務システムなどの共通化に充当し、残る半分は技術的な対策として講じるエンドポイント型脅威検知・対応(EDR)やユーザー行動分析検知(UEBA)などのソフトウェアライセンス費用などになるという。
事業会社における本格対策の内容は、2月に発行された米国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク(CFS) 2.0」を基に遂行するとしている。主な対策項目と施策は以下の通り。
また本格対策では、持株会社主導によるグループ横断型の施策も行うとし、各社で行ったベストプラクティスの共有や、グループで導入しているセキュリティ人材認定制度の推進、システムのITのグループ共通化によるセキュリティの確保を推進する。
さらに、コロナ禍での働き方改革を念頭に置いた2年前に整備したというグループセキュリティポリシーを各社へのキャラバン活動で浸透させるほか、全社員向け研修では内部不正への注意を喚起する。情報漏えいの対処や報告をテーマとする演習も行う。他方で、USBメモリーの使用禁止に伴う業務効率低下への対応などとして代替策を講じるほか、特権アカウント管理のソリューション導入およびグループでの活用事例の共有などにも取り組む。
業務面では、AIの活用などを通じた自動化を推進するとし、「例えば、コールセンターであれば、お客さまとの通話後にその内容をAIが要約して入力することにより、担当者が直接お客さまの情報に触れる(システムへの入力作業など)機会やリスクを減らせるだろう」(横浜氏)
横浜氏は示した「性悪説」への転換による対策をグループ各社の業務現場に展開することについて、NTT セキュリティ&トラスト室長の木村正人氏は、「ほとんどの社員、関係者はまじめに働いている。残念ながら、今回の内部不正によって、正しいことをしていても疑われてしまうという意識を持つ必要性が生じた。対策は、内部関係者を信用しないということではなく、万一の事態に備えるもので、記録を残すことで身の潔白の証明にもつながることを理解してもらっている」と説明した。
横浜氏も「グループ各社へのメッセージにおいて、会社が関係者を疑うということではなく、内部不正が起こり得ることで、万一起きればお客さまや会社のブランドなどに大きな影響が出てしまうことを伝えた」とした。また、NTTでは内部不正による情報漏えいをセキュリティリスクと位置付けつつも、外部からのサイバー攻撃などへの対策を優先して内部不正対策が手薄になっていたとも述べ、「(内部不正のトライアングルと呼ばれる)動機や機会、正当化のリスクを減らしていく」と話している。