サイト内の現在位置を表示しています。

情報セキュリティとサイバーセキュリティ

取り組み方針

情報セキュリティの脅威は日々変化しており、ITで高度化された社会において、情報セキュリティは欠くことのできない重要な経営課題となっています。

NECは、よりよい製品やサービスを提供し社会の発展に寄与していくうえで、自社の情報資産に加えてお客さまやお取引先からお預かりした情報資産を守ることが責務であると考えています。こうした考え方のもと、セキュリティ(情報セキュリティ、サイバーセキュリティ)を、ESG視点での経営の優先テーマ「マテリアリティ」の1つと位置づけ、「情報セキュリティ基本方針」のもと、取り組みを進めています。

当社では、対策の必要性、企業経営への影響の大きさ、および社会への影響度などの観点から、特に影響が大きいと評価されるリスクを重点対策リスクとして選定し、経済産業省が策定する「サイバーセキュリティ経営ガイドラインVer 2.0」や「NIST Cyber Security Framework Ver1.1」に準拠しながら、高度化するサイバー攻撃への対策を進めています。

また、ISMS認証についても、当社では医療、金融、クラウドや官公事業など、情報セキュリティの重要性が高い事業部門ではほぼ100%取得しています。

さらにNECでは、「情報セキュリティ推進フレームワーク」(下図)に基づき、NECのPurposeに照らし、セキュアな情報社会を実現し、お客さまへ価値を提供することに努めています。


情報資産を守るための情報セキュリティの取り組みとして、

  • サイバー攻撃対策
  • セキュアな製品・システム・サービスの提供
  • お取引先と連携した情報セキュリティ

を推進するとともに、情報セキュリティガバナンスとして、情報セキュリティマネジメント、情報セキュリティ基盤、情報セキュリティ人材の3つを柱に、NECグループ内への統制を図り、総合的かつ多層的に情報セキュリティの維持・向上を図っています。

情報セキュリティ推進フレームワーク

推進体制

NECグループの情報セキュリティ推進体制は、「情報セキュリティ戦略会議」とその下部組織、および各組織の情報セキュリティ管理責任者/推進者で構成されています。CISO(チーフインフォメーションセキュリティオフィサー)の指示のもと、NECグループ各社が連携し、情報セキュリティ対策を推進しています。

施策と2020年度の主な活動実績

サイバー攻撃対策

サイバー攻撃が巧妙化・高度化する中、お客さまやお取引先からお預かりした情報資産や当社グループの情報資産を守るため、NECではサイバーセキュリティリスク分析に基づく先進的な対策を国内外で一律に実施するとともに、CSIRT(Computer Security Incident Response Team)によるインシデント対応を行い、サイバーセキュリティ経営を実現しています。

サイバーセキュリティリスク分析に基づいた対策の計画・立案は毎年行っており、CISOの承認のもと、対策を実施しています。

特に、社会ソリューション事業を国内外に展開するNECにおいて、サイバー攻撃などによる情報セキュリティ事故が発生した場合、NECグループ全体の社会的信用の低下など、会社経営に大きな影響を及ぼす可能性があります。そのため、グローバルで包括的にサイバーセキュリティリスクに対応することは、事業継続の必須条件ととらえています。

グローバルサイバー攻撃対策では、多層防御の考え方に基づき、巧妙化するサイバー攻撃への対策を強化しています。2020年度は、主に次の点に注力し、施策を展開しました。

Red Team*1によるサイバーリスクアセスメント

NECグループのサイバーレジリエンシー、アカウンタビリティ向上を目的としてRed Teamによるサイバーリスクアセスメントを行っています。

攻撃者の視点でアセスメントシナリオを作成し、組織内の重要システムに対して疑似的な攻撃を仕掛けることで既存のセキュリティ対策の抜け・漏れを洗い出し、それらに対する改善を図っています。

  • *1
    Red Team:企業や組織に対し、実際の脅威に即した疑似的なサイバー攻撃を行い、ポリシー・CSIRT運用・システムの観点で組織としての攻撃への耐性とリスクの評価、および改善・追加対策案の提示を行うチーム

脅威インテリジェンス活用

NECに対する脅威とその動向(予兆)を把握し、既存の対策をすり抜けるような高度な脅威に対して、リスクの回避、被害の極小化、収束時間短縮化を図ることを目的に、脅威インテリジェンスを活用しています。

EDR*2による検知、対処の高度化

イントラネット内部に侵入した脅威の早期検知とインシデントレスポンスの効率化を目的として、NECグループ全社にEDRを展開しています。また、PCやサーバの脆弱性対策として、GCAPS*3を展開しており、EDR、GCAPSと脅威インテリジェンスを組み合わせることにより、より高度な攻撃への検知、対処を実現しています。

  • *2
    EDR:Endpoint Detection and Response
  • *3
    GCAPS:Global Cyber Attack Protection System

重要情報管理

情報漏えいによる影響を極小化するため、外部に情報が流出した場合、経営や事業へ甚大な影響を与えるような情報を重要情報と定義し、重要情報の運用管理とそれに関する点検、経営監査本部による監査を実施するなど、全社・組織として管理、対策を徹底しています。

セキュリティ・ガバナンスの体制強化

有事の際の対応力強化、平時の監視力強化のため、SOC(Security Operation Center)、CSIRTの運用プロセスの見直し、体制の強化を行いました。

また、各グローバルの拠点にRegional CISOを設置し、担当領域におけるセキュリティ管理とその結果に責任を持たせることで、グローバルセキュリティ・ガバナンスを強化しています。

セキュアな製品・システム・サービスの提供

NECがお客さまに提供する製品・システム・サービスについては、企画・設計段階からセキュリティを確保する「セキュリティ・バイ・デザイン(SBD)」の思想に基づき、企画フェーズから運用までを含めたセキュア開発・運用を実施しています。システム開発の早い段階でセキュリティを確保することは、コストの削減や納期遵守、保守性に優れたシステム開発などさまざまなメリットにつながります。

各フェーズにおいては、セキュリティタスクが実行されていることを確認するためのチェックリストを活用しています。しかし、セキュリティを開発プロセスに組み込む際に、各担当者の独自なセキュリティ設定による“抜け漏れ”や、ヒューマンエラーによる設定ミスが生じてしまうという課題が残ります。

このような課題を解決するために、NECではセキュア開発の自動化ツールを整備しています。例えば、サーバにセキュアな設定を自動的に施す「OS/ミドルウェアの要塞化ツール」が挙げられます。また、近年急増しているクラウドの構築においても、環境全体へ均質的なセキュリティを実現する技術を導入しています。具体的には、IaC(Infrastructure as Code)と呼ばれるクラウド環境をコードで記述する技術を使い、セキュアなクラウド環境そのもののテンプレートを配布して活用する取り組みを進めています。

また、2020年度はプライバシーに関する法令やガイドライン(NIST Privacy Framework、ISO 29100/29134など)を参考に、プライバシー評価のベースラインを試作しました。サイバーリスクに加え、プライバシーへの配慮不足など、ビジネス継続に関わるリスクを包括的に検査する手法を確立するため、このベースラインの有効性を検証しています。

お取引先と連携した情報セキュリティ

NECは、お取引先と連携して事業活動を推進しています。連携にあたっては、お取引先の技術力とともに、情報セキュリティ水準がNECの定める水準に達していることが非常に重要であると考えています。そのため、NECではお取引先の情報セキュリティ対策状況により、情報セキュリティレベルを分類しています。そして業務に求められる情報セキュリティレベルに応じて、適切なレベルのお取引先を選定して委託する仕組みを取り入れています。これにより、お取引先で発生する情報セキュリティ事故リスクを低減しています。

NECはお取引先に対して、①契約管理、②再委託管理、③作業従事者の管理、④情報の管理、⑤技術対策の導入、⑥セキュア開発・運用、⑦点検の実施という7つの情報セキュリティ対策を要求しています。2020年度は、お取引先向けに情報セキュリティ説明会(資料公開方式)を実施し、サイバー攻撃のリスクや対策を周知・展開して情報漏えいリスクの極小化を図りました。

NECでは、お客さま情報を守るために、お取引先と一体となって情報セキュリティ対策の浸透活動や点検および是正活動を推進し、お取引先における情報セキュリティのレベルアップを図っています。