サイト内の現在位置を表示しています。

情報セキュリティとサイバーセキュリティ

取り組み方針

情報セキュリティの脅威は日々変化しており、ITで高度化された社会において、情報セキュリティは欠くことのできない重要な経営課題となっています。

NECは、より良い商品やサービスを提供し社会の発展に寄与していくうえで、自社の情報資産に加えてお客さまやお取引先からお預かりした情報資産を守ることが責務であると考えています。
こうした考えのもと、セキュリティ(情報セキュリティ、サイバーセキュリティ)を、ESG視点での経営の優先テーマ「マテリアリティ」の1つと位置づけ、「情報セキュリティ基本方針」のもと、取り組みを進めています。

当社では、対策の必要性、企業経営への影響の大きさ、および社会への影響度などの観点から、特に影響が大きいと評価されるリスクを重点対策リスクとして選定しています。2019年度は「情報セキュリティに関わるリスク」が選定され、全社の経営方針とも整合をとりながら対策を進めています。

さらにNECでは、「情報セキュリティ推進フレームワーク」(右図)に基づき、NECのPurpose(存在意義)に照らし、セキュアな情報社会を実現し、お客さまへ価値を提供することに努めています。

情報資産を守るための情報セキュリティの取り組みとして、

  • サイバー攻撃対策
  • セキュアな製品・システム・サービスの提供
  • お取引先と連携した情報セキュリティ

を推進するとともに、情報セキュリティガバナンスとして、情報セキュリティマネジメント、情報セキュリティ基盤、情報セキュリティ人材の3つを柱に、NECグループ内への統制を図り、総合的かつ多層的に情報セキュリティの維持・向上を図っています。

情報セキュリティ推進フレームワーク

推進体制

NECグループの情報セキュリティ推進体制は、「情報セキュリティ戦略会議」とその下部組織、および各組織の情報セキュリティ管理責任者/推進者で構成されています。チーフインフォメーションセキュリティオフィサーの指示のもと、NECグループ各社が連携し情報セキュリティ対策を推進しています。

NECグループ情報セキュリティ推進体制

施策と2019年度の主な活動実績

サイバー攻撃対策

サイバー攻撃が巧妙化・高度化する中、お客さまやお取引先からお預かりした情報資産や当社グループの情報資産を守るため、NECではサイバーセキュリティリスク分析に基づく先進的な対策を国内外で一律に実施するとともに、CSIRT(Computer Security Incident Response Team)によるインシデント対応を行い、サイバーセキュリティ経営を実現しています。

サイバーセキュリティリスク分析に基づいた対策の計画・立案は毎年行っており、CISOの承認のもと、対策を実施しています。
とりわけ、社会ソリューション事業を国内外に展開するNECにおいて、グローバルで包括的にサイバーセキュリティリスクに対応することは、事業継続の必須条件ととらえています。

グローバルサイバー攻撃対策では、多層防御の考え方に基づき、巧妙化するサイバー攻撃への対策を強化しています。2019年度は、主に、次の5点に注力し、施策を展開しました。

  • (1)
    未知の攻撃検知・対処
  • (2)
    モバイルアクセス環境のセキュリティ強化
  • (3)
    エンドポイント対策(EDR*1展開)
  • (4)
    Red Team*2によるリスクアセスメント
  • (5)
    脅威インテリジェンス活用
  • *1
    EDR:Endpoint Detection and Response
  • *2
    Red Team:企業や組織に対し、実際の脅威に即した疑似的なサイバー攻撃を行い、ポリシー・CSIRT運用・システムの観点で組織としての攻撃への耐性とリスクの評価、および改善・追加対策案の提示を行うチーム
zoom拡大する
グローバルサイバー攻撃対策の全体像
  • (1)
    未知の攻撃検知・対処
    入口・出口対策として、未知のマルウェア検知システムを導入し、Web通信とメール受信を監視します。検知した未知のマルウェア情報などをもとに、不正通信をフィルタリングするとともに、感染が疑われるPCやサーバへの処置を実施します。
    また、ネットワーク上の重点監視ポイントに対して不審なアクティビティを検知するシステムを導入し、内部侵入の監視・対応力強化を図っています。
  • (2)
    モバイルアクセス環境のセキュリティ強化
    近年、働き方の多様化が進み、自宅やワーキングスペースなどオフィス以外で業務を行う機会が増えてきています。社外持ち出し用PCやスマートデバイスに加えて、イントラネットに接続していない小規模拠点のWebアクセスについても、イントラネットと同等のセキュリティを担保するべく強化を行っています。
  • (3)
    エンドポイント対策(EDR展開)
    イントラネット内部に侵入した脅威の早期検知とインシデントレスポンスの効率化を目的として、NECグループ全社にEDRの展開を実施しています。また、PC・サーバの脆弱性対策として、GCAPS*3を展開しています。
    当社におけるGCAPSの導入実績をもとに開発された、脆弱性管理ソリューション「NCSP(NEC Cyber Security Platform)」は、導入企業におけるサーバやPCなどの端末の脆弱性を“見える化”し、迅速かつ適切なセキュリティ対策を実現しています。

    (ご参考)
    • *3
      GCAPS:Global Cyber Attack Protection System
  • (4)
    Red Teamによるサイバーリスクアセスメント
    NECグループのサイバーレジリエンシー、アカウンタビリティ向上を目的としてRed Teamによるサイバーリスクアセスメントを行っています。
    攻撃者の視点でアセスメントシナリオを作成し、組織内の重要システムに対して疑似的な攻撃を仕掛けることで既存のセキュリティ対策の抜け・漏れを洗い出し、それらに対する改善を図っています。
  • (5)
    脅威インテリジェンス活用
    NECに対する脅威とその動向(予兆)を把握し、既存の対策をすり抜けるような高度な脅威に対して、リスクの回避、被害の極小化、収束時間短縮化をはかることを目的に、脅威インテリジェンスを活用しています。

セキュアな製品・システム・サービスの提供

NECがお客さまに提供する製品・システム・サービスについては、企画・設計段階からセキュリティを確保する「セキュリティ・バイ・デザイン(SBD)」の思想に基づき、企画フェーズから運用までを含めたセキュア開発・運用を実施しています。システム開発の早い段階でセキュリティを確保することは、コストの削減や納期遵守、保守性に優れたシステム開発などさまざまなメリットにつながります。

SBDの思想に基づいたセキュア開発・運用

各フェーズにおいては、セキュリティタスクが実行されていることを確認するためのチェックリストを活用しています。従来のセキュリティ基準・チェックリストでは、情報資産の機密性に応じて、セキュリティ対策が決定されていました。しかし、情報漏えい以外にも、ランサムウェアやサービス妨害による脅迫など、サイバー攻撃手法や対象の変化に伴い、機密性以外に完全性や可用性を考慮する必要がでてきました。そのため、より現状に即したセキュア開発・運用を実現に向けて、セキュリティ基準およびチェックリストを見直しました。

また、攻撃者視点でのシステム分析により、ツールによる定型的な検査では発見が難しいリスクを発見するスキルに長けた、リスクハンティングチームを立ち上げました。
従来のチェックリストによる網羅的なリスク分析に加え、特にリスクが高い領域に対してはリスクハンティングチームの検査を行うことによって、より堅牢なシステム開発・運用が可能となっています。

お取引先と連携した情報セキュリティ

NECは、お取引先と連携して事業活動を推進しています。連携にあたっては、お取引先の技術力とともに、情報セキュリティ水準がNECの定める水準に達していることが非常に重要であると考えています。そのため、NECではお取引先の情報セキュリティ対策状況により、情報セキュリティレベルを分類しています。そして業務に求められる情報セキュリティレベルに応じて、適切なレベルのお取引先を選定して委託する仕組みを取り入れています。これにより、お取引先で発生する情報セキュリティ事故リスクを低減しています。

NECはお取引先に対して、①契約管理、②再委託管理、③作業従事者の管理、④情報の管理、⑤技術対策の導入、⑥セキュア開発・運用、⑦点検の実施、の大きく7つの情報セキュリティ対策を要求しています。2019年度は、お取引先向けに情報セキュリティ説明会を実施し、サイバー攻撃のリスクや対策を周知・展開し、情報漏えいリスクの極小化を図りました。

NECでは、お客さま情報を守るために、お取引先と一体となって情報セキュリティ対策の浸透活動や点検および是正活動を推進し、お取引先における情報セキュリティのレベルアップを図っています。

zoom拡大する
お取引先への情報セキュリティ対策