NTT(持株会社)は3月8日、2023年にNTT西日本グループ企業の業務委託で発生した内部不正による情報漏えい事件を踏まえて、NTグループとして対策を発表した。既に多くを実行中とし、約300億円を投じて推進する。
同日記者会見したグループCISO(最高情報セキュリティ責任者)の横浜信一氏は、「今回の情報漏えいは、既にルールがあったにも関わらず現場で守られていなかった」と言及。現在は「緊急対策」と「本格対策」の2段階で施策を進めているという。
内部不正による情報漏えい対策を発表したNTT グループCISOの横浜信一氏(左)とNTT セキュリティ&トラスト室長の木村正人氏
緊急対策では、2023年10月に国内グループ各社への説明を3回実施し、11~12月には、内部不正による情報漏えいを防ぐためなどに設けていた25項目のルールについて、グループ各社で業務現場の実態把握とNTT持株会社への報告を実施した。不備のある項目の改善策を2023年末までにほぼ完了させ、ITシステムを多数抱える一部のグループ企業でも2024年3月までに実施を完了する予定だといい、幾つかのグループ企業においては、持株会社の内部監査部門による直接往査を行っているという。
本格対策では、システム面や技術面のみならず労務、法務、監査なども含む包括的な施策を行うとする。横浜氏は、「持株会社からグループ各社に指示するだけではなく、各社トップがけん引して現場への対策を実行していくことが重要になる」と話し、持株会社の国内直属会社24社から、各社の子会社を含む対策の策定状況を2月末までに報告させたとしている。この内容を各社で2024年度の事業計画に反映させ、海外のグループ企業についてもNTT DATA IncのCISOを中心とする取り組みを進めていくとした。
横浜氏は、本格対策の方針について従来の「性善説」ではなく「性悪説」に立って、施策を実行しているとし、一部の施策は2025年度になるものの、多くを2024年度中に完了させる見通しを示した。技術的な対策のみならず人材の育成、配置、委託時などにおけるリスク評価、内部監査の強化、インシデント時の意思疎通など経営全般に及ぶ内容で、既存の内部システム整備を含め、今後3~4年間で300億円を投じる。300億円のうち約150億円をグループ各社の業務システムなどの共通化に充当し、残る半分は技術的な対策として講じるエンドポイント型脅威検知・対応(EDR)やユーザー行動分析検知(UEBA)などのソフトウェアライセンス費用などになるという。
情報漏えい対策の実施スケジュール(NTTの報道向け資料より)
事業会社における本格対策の内容は、2月に発行された米国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク(CFS) 2.0」を基に遂行するとしている。主な対策項目と施策は以下の通り。
ガバナンス
- 経営陣の積極関与、経営会議への定期報告
- 人材リソースの確保:セキュリティ人材育成・配置状況の可視化、2線(情報セキュリティ部門)で育成した人材の1線、3線への還流
- 外部有識者によるアドバイザリーボード
- 内部監査機能の強化
- 社内風土改革に社長自らコミット
- 社員アンケートによる現状把握と働きかけ
識別
- IT資産管理方法を改善、精緻化
- 内部不正観点での重要情報保有リスクの可視化
- 個別に構築されていたシステム群の一元化、管理業務の集約
防御
- USBメモリー禁止、重要情報の暗号化
- 社内OAシステムで導入中のゼロトラスト型端末「セキュアドPC」を商用システムに展開
- 委託先選定時のリスク分析、優良な委託先への集約
検知
- 内部不正対策として、普段と異なるユーザー操作を検知するソリューション導入(UEBA)
- EDR導入、ログ確認のツール化
- 監視カメラ設置
対応および復旧
- 有事の際のエスカレーション体制の確認、再整備
また本格対策では、持株会社主導によるグループ横断型の施策も行うとし、各社で行ったベストプラクティスの共有や、グループで導入しているセキュリティ人材認定制度の推進、システムのITのグループ共通化によるセキュリティの確保を推進する。
システム面における対策の一例(NTTの報道向け資料より)
さらに、コロナ禍での働き方改革を念頭に置いた2年前に整備したというグループセキュリティポリシーを各社へのキャラバン活動で浸透させるほか、全社員向け研修では内部不正への注意を喚起する。情報漏えいの対処や報告をテーマとする演習も行う。他方で、USBメモリーの使用禁止に伴う業務効率低下への対応などとして代替策を講じるほか、特権アカウント管理のソリューション導入およびグループでの活用事例の共有などにも取り組む。
業務面では、AIの活用などを通じた自動化を推進するとし、「例えば、コールセンターであれば、お客さまとの通話後にその内容をAIが要約して入力することにより、担当者が直接お客さまの情報に触れる(システムへの入力作業など)機会やリスクを減らせるだろう」(横浜氏)
横浜氏は示した「性悪説」への転換による対策をグループ各社の業務現場に展開することについて、NTT セキュリティ&トラスト室長の木村正人氏は、「ほとんどの社員、関係者はまじめに働いている。残念ながら、今回の内部不正によって、正しいことをしていても疑われてしまうという意識を持つ必要性が生じた。対策は、内部関係者を信用しないということではなく、万一の事態に備えるもので、記録を残すことで身の潔白の証明にもつながることを理解してもらっている」と説明した。
横浜氏も「グループ各社へのメッセージにおいて、会社が関係者を疑うということではなく、内部不正が起こり得ることで、万一起きればお客さまや会社のブランドなどに大きな影響が出てしまうことを伝えた」とした。また、NTTでは内部不正による情報漏えいをセキュリティリスクと位置付けつつも、外部からのサイバー攻撃などへの対策を優先して内部不正対策が手薄になっていたとも述べ、「(内部不正のトライアングルと呼ばれる)動機や機会、正当化のリスクを減らしていく」と話している。
グループにおける内部不正による情報漏えい対策のガバナンスイメージ(NTTの報道向け資料より)
