サイト内の現在位置を表示しています。

情報セキュリティとサイバーセキュリティ

取り組み方針

NECは、より良い商品やサービスを提供し社会の発展に寄与していく上で、お客さまやお取引先からお預かりした情報資産や当社の情報資産を守ることが責務であると考えています。こうした考えのもと、セキュリティ(情報セキュリティ、サイバーセキュリティ)を、ESG視点での経営の優先テーマ「マテリアリティ」の一つと位置付け、「情報セキュリティ基本方針」のもと、取り組みを進めています。

さらにNECでは、「情報セキュリティ推進フレームワーク」(下図)に基づき、セキュアな情報社会を実現し、お客さまへ価値を提供することに努めています。

情報資産を守るための情報セキュリティの取り組みとして、サイバー攻撃対策、セキュアな製品・システム・サービスの提供、お取引先と連携した情報セキュリティを推進するとともに、「情報セキュリティガバナンス」として、「情報セキュリティマネジメント」「情報セキュリティ基盤」「情報セキュリティ人材」の3つを柱に、NECグループ内への統制をはかり、総合的かつ多層的に情報セキュリティの維持・向上をはかっています。

情報セキュリティ推進フレームワーク

推進体制

NECグループの情報セキュリティ推進体制は、「情報セキュリティ戦略会議」とその下部組織、および各組織の情報セキュリティ管理責任者/推進者で構成されています。CISO(Chief Information Security Officer)の指示のもと、各NECグループが連携し情報セキュリティ対策を推進しています。

情報セキュリティ推進体制

施策と2018年度の主な活動実績

サイバー攻撃対策と情報漏えい対策

サイバー攻撃が巧妙化・高度化する中、お客さまやお取引先からお預かりした情報資産や当社の情報資産を守るため、NECではサイバーセキュリティリスク分析に基づく先進的な対策を国内外で一律に実施するとともに、CSIRT*1によるインシデント対応を行い、サイバーセキュリティ経営を実現しています。

NECでは毎年、サイバーセキュリティリスク分析に基づいて対策の計画を立案し、CISOの承認のもと、対策を実施しています。
とりわけ、社会ソリューション事業を国内外に展開するNECにおいて、グローバルで包括的にサイバーセキュリティリスクに対応することは、事業継続の必須条件と捉えています。
グローバルサイバー攻撃対策では、多層防御の考え方に基づき、巧妙化するサイバー攻撃への対策を強化しています。中でも、①未知の攻撃検知・対処、②ログ統合管理・監視、③エンドポイント対策(EDR展開)、④グローバルCSIRT体制の構築、⑤脅威インテリジェンス活用、の大きく5点に注力し、施策を展開しています。

グローバルサイバー攻撃対策の全体像
  • (1)
    未知の攻撃検知・対処
    入口・出口対策として、未知のマルウェア検知システムを導入し、Web通信とメール受信を監視します。検知した未知のマルウェア情報などを基に、不正通信をフィルタリングするとともに、感染が疑われるPC及びサーバへの処置を実施します。
  • (2)
    ログ統合管理・監視
    NECグループ18万台のPC・サーバの通信ログデータなどを統合的に集約管理し、解析調査の効率化、高度化をはかっています。また、複数のログを相関的に分析することで、潜在的なリスクの発見と、情報漏えいリスクの低減につなげています。
  • (3)
    エンドポイント対策(EDR展開)
    NECイントラネット内部に侵入した脅威の早期検知とインシデントレスポンスの効率化を目的として、NECグループ全社にEDR*2の展開を実施しています。また、PC・サーバの脆弱性対策として、GCAPS*3を展開しています。
    当社におけるGCAPSの導入実績をもとに開発された、脆弱性管理ソリューション「NCSP*4」は、導入企業におけるサーバやPCなどの端末の脆弱性を見える化し、迅速かつ適切なセキュリティ対策を実現しています。

(ご参考)

  • (4)
    グローバルCSIRT体制の構築
    NECでは、CISOの配下にCSIRTを設置しています。CSIRTではサイバー攻撃を監視し、攻撃やマルウェアの特徴を分析しており、各関係機関との情報共有も行っています。2018年度は、24時間、365日でサイバー攻撃の監視を行う体制をシンガポールに構築し、日本のCSIRTと連携しながら検知状況や不正通信先などの脅威インテリジェンスをグローバルに共有する体制を整備しました。
  • (5)
    脅威インテリジェンス活用
    NECに対する脅威とその動向(予兆)を把握し、既存の対策をすり抜けるような高度な脅威に対して、リスクの回避、被害の極小化、収束時間短縮化をはかることを目的に、脅威インテリジェンスを活用しています。
  • *1
    CSIRT:Computer Security Incident Response Team
  • *2
    EDR:Endpoint Detection and Response
  • *3
    GCAPS:Global Cyber Attack Protection System
  • *4
    NCSP:NEC Cyber Security Platform

セキュアな製品・システム・サービスの提供

NECがお客さまに提供する製品・システム・サービスについては、企画・設計段階からセキュリティを確保する「セキュリティ・バイ・デザイン(SBD)」の思想に基づき、企画フェーズから運用まで含めたセキュア開発・運用を実施しています。システム開発の早い段階でセキュリティを確保することは、コストの削減や納期遵守、保守性に優れたシステム開発などさまざまなメリットに繋がります。

各フェーズにおいては、セキュリティタスクが実施されていることを確認するためのチェックリストを活用しています。本チェックリストでは、ISO/IEC15408などのセキュリティ国際標準、政府機関が定めるセキュリティ基準、業界ガイドラインなどの要件が考慮されていることに加え、新たな脅威に対するセキュリティ対策についても随時反映されています。
また、本チェックリストに基づいたセキュリティ対策状況を見える化するために「セキュア開発・運用点検システム」を活用しています。本システムによって、約7,000の業務プロジェクトが管理されており、管理者はセキュリティ対策状況を効率的に点検・監査することが可能となっています。

お取引先と連携した情報セキュリティ

NECの事業活動は、お取引先と連携して遂行されます。お取引先との連携にあたっては、お取引先の技術力とともに、情報セキュリティ水準がNECの定める水準に達していることが非常に重要であると考えています。そのため、NECではお取引先の情報セキュリティ対策状況により、情報セキュリティレベルを分類しています。そして業務に求められる情報セキュリティレベルに応じて、適切なレベルのお取引先を選定して委託する仕組みを取り入れています。これにより、お取引先で発生する情報セキュリティ事故リスクを低減しています。

NECはお取引先に対して、①契約管理、②再委託先管理、③作業従事者の管理、④情報の管理、⑤技術対策の導入、⑥セキュア開発・運用、⑦点検の実施、の大きく7つの情報セキュリティ対策を要求しています。2018年度は、お取引先向けに情報セキュリティ説明会を実施し、新たな脅威に対するリスクや施策を周知・展開し、リスクの極小化をはかりました。
NECでは、お客さま情報を守るために、お取引先と一体となって情報セキュリティ対策の浸透活動や点検および是正活動を推進し、お取引先における情報セキュリティのレベルアップをはかっています。

お取引先への情報セキュリティ対策