Japan
サイト内の現在位置
日本セキュリティ大賞2024 大賞受賞事例紹介
~NECグループにおけるデータドリブンな包括的セキュリティ経営について~
日本電気株式会社
『日本セキュリティ大賞2024』において、「大賞」を受賞した
「NECグループにおけるデータドリブンな包括的セキュリティ経営」
についてご紹介します。
エンタープライズセキュリティアーキテクチャ再構築と
包括的なグローバルセキュリティガバナンス
デジタルトランスフォーメーションやAIの進展に伴い、サイバー脅威の高度化・拡大はますます加速しています。このような環境下で、NECグループは海底から宇宙まで幅広い事業を支える存在(Enabler)として、社会に安全・安心を提供することをミッションとしています。
そのため、グローバルで統一されたポリシーのもと、ゼロトラストアーキテクチャを再構築し、包括的なセキュリティの確保に取り組んでいます。これにより、サプライチェーン全体を網羅した統一的な防御体制の強化や、インシデント発生時の迅速な実態把握を実現し、リスク低減を図っています。
Global Cyber Defense Legacy:プロアクティブなサイバー防衛の実現
NECでは2018年頃より脅威警戒レベルを引き上げ、脅威インテリジェンスやオフェンシブな診断を行うサイバーリスクアセスメントなど、グローバルなサイバーディフェンス体制を強化しました。
現在は60名程度で、体系化したDigital Opsのもと、1日7,000件を超える包括的なインテリジェンスを活用し、プロアクティブなサイバー防衛を遂行しています。
グローバルなサイバーリスクアセスメントによるリスクの低減と
セキュリティマネジメントサイクルの確立
最近はランサムウェアの事案でも明らかなように、特に外部公開アセットが狙われやすいです。
NECでは、Red Teamによるグローバルなサイバーリスクアセスメントを実施しています。
リスクの特定から対処まで、経営層と現場が一体となったマネジメントサイクルで、事業継続を図っています。
サイバーセキュリティダッシュボードが切り拓く経営課題解決への道すじ
しかし、リスク低減のマネジメントサイクルを、現場と一体となって継続的かつ迅速に回していくためには、自律的なアクションを促す仕組みが必要となってきます。
NECではガバナンス、アカウンタビリティ、アウェアネスの3つの経営課題の解決に向けて、データドリブンなセキュリティカルチャーへ変革を起こすべく、サイバーセキュリティダッシュボードを考案しました。
ダッシュボードでは主にリスクの可視化とアクションの実行を促すリスクダッシュボード、脅威・防衛分析とアウェアネス醸成を促す脅威ダッシュボード、セキュリティ施策のパフォーマンス可視化のためのマネジメントダッシュボードの3つの機能を有しています。
例えばリスクダッシュボードでは組織ごとのセキュリティリスク状況をガラス張りにし、対処が滞った場合にはトップへの自動エスカレーションを行うことで、リスクの対処速度は2倍以上加速、ランサムウェアの被害リスクも1/6以下に低減しました。
そのほかの詳細はこちらの記事で動画を含めご紹介していますので、ぜひご覧ください。
ステークホルダとのコミュニケーション活性化と
デジタルなアカウンタビリティの実現
ダッシュボード公開当初は、どこまで情報を出してよいのか?という議論もありましたが、社長を含めたトップダウン型で推進し、現在では、透明性のある定量的な会話が浸透しています。
また、社外取締役や、管轄省庁など、ステークホルダの方々とも、ダッシュボードを用いたリスクコミュニケーションを図っています。
サイバー防衛における生成AI活用
NECでは、攻撃メール訓練に生成AIを活用し、文面作成において90%以上の工数削減を実現するとともに、訓練用の悪質なURLやファイルのクリック率が10%程度低下するなどの効果が上がっています。一方でこれは、攻撃者側にとっても、ケイパビリティの面で、質・量ともに加速しているとも考えられます。
私たちはAIにはAIで対抗するべく、以下の図にあるように、Red Team とBlue Team双方向から、研究開発を含め積極的なAI活用に取り組んでおります。
社内で実践したセキュリティの取り組みをお客様への価値として提供し社会へ還元
今後もValue Creatorとして、社内で実践したセキュリティの取り組み事例を共有して参りますのでよろしくお願いいたします。
CISO統括オフィスの公式サイトはこちらです。
日本セキュリティ大賞
主催:一般社団法人日本デジタルトランスフォーメーション推進協会 セキュリティ部会
後援(申請予定):総務省、経済産業省、デジタル庁
メディアパートナー:JAPANSecuritySummit Update
URL:https://security-awards.jp/
「NECグループにおけるデータドリブンな包括的セキュリティ経営」が
日本セキュリティ大賞2024 大賞を受賞
NEC、日本セキュリティ大賞2024 セキュリティ対策・運用部門で
「大賞」を受賞
『日本セキュリティ大賞2024』受賞企業を決定
【DX事例】経営から社員までつなぐデータドリブン経営
NECの社内セキュリティの取り組み
"Data-Driven Comprehensive Enterprise Security Management
at NEC Group" Wins Grand Prize at Japan Security Awards 2024
Enterprise Security Architecture Reconstruction and Comprehensive Global Security Governance
As cyber threats become increasingly sophisticated and widespread with the advancement of digital transformation and AI,NEC Group serves as an enabler supporting a broad range of businesses from the ocean floor to space, with a mission to provide safety and security to society. To achieve this, we are working to ensure comprehensive security by reconstructing our zero-trust architecture under globally unified policies. This enables us to strengthen unified defense systems covering the entire supply chain and achieve rapid situation assessment during incidents, thereby reducing risks.
Global Cyber Defense Legacy: Achieving Proactive Cyber Defense
Since around 2018, NEC has raised its cybersecurity alert levels and strengthened its global cyber defense system through threat intelligence and offensive security assessments. Currently, a team of about 60 members executes proactive cyber defense under systematized Digital Operations, utilizing over 7,000 comprehensive intelligence daily.
Risk Reduction through Global Cyber Risk Assessment and Establishment of Security Management Cycle
Recent ransomware incidents have made it clear that externally exposed assets are particularly targeted. NEC conducts global cyber risk assessments through its Red Team. We maintain business continuity through a management cycle where leadership and field operations work together, from risk identification to response.
Cybersecurity Dashboard Paving the Way for Solving Management Challenges
To maintain a continuous and rapid risk reduction management cycle in coordination with field operations, we need mechanisms that encourage autonomous action. NEC developed the Cybersecurity Dashboard to transform into a data-driven security culture, addressing three management challenges: governance, accountability, and awareness.
The dashboard features three main functions: a Risk Dashboard for risk visualization and action promotion, a Threat Dashboard for threat/defense analysis and awareness building, and a Management Dashboard for security measure performance visualization.
For example, the Risk Dashboard makes organizational security risks transparent and automatically escalates to top management when responses are delayed, resulting in doubled risk response speed and and more than 80% reduction in ransomware risk. For more details, including videos, please refer to our article.
Activating Stakeholder Communication and Achieving Digital Accountability
When launching the dashboard, there were initial discussions about information disclosure levels. We proceeded with top-down implementation from the president. Now, transparent, quantitative conversations have become standard. We also engage in risk communication using the dashboard with external directors and goverment agencies.
AI-Driven Cyber Defense
NEC has implemented generative AI for attack email training., achieving over 90% reduction in workload for content creation. The training has shown positive results, including approximately 10% decrease in click rates for malicious URLs and files used in training.
However, this suggests that attackers' capabilities are also advancing in both quality and quantity. We are actively implementing AI from both Red Team and Blue Team perspectives, including research and development, to counter AI with AI.
Creating Value with Security Thought Leadership by Providing Internal Security Practices
As a Value Creator, we will continue sharing our internal security practice examples. Please visit the CISO Office's official website for more information.
About the Japan Security Awards
The Japan Security Awards program recognizes excellence in security initiatives implemented by private enterprises, public organizations, municipal governments, and support organizations in response to constantly evolving security threats. Through the recognition and broad dissemination of these best practices, the awards program aims to enhance security awareness and establish robust support frameworks across Japan.
Organized by: Security Division, Japan Digital Transformation Promotion Association
Under the Auspices of: Ministry of Internal Affairs and Communications (MIC), Ministry of Economy, Trade and Industry (METI), and Digital Agency
Web:https://security-awards.jp/