サイト内の現在位置を表示しています。

情報セキュリティとサイバーセキュリティ

情報セキュリティとサイバーセキュリティの方針

NECは、よりよい製品やサービスを提供し社会の発展に寄与していくうえで、自社の情報資産に加えてお客さまやお取引先からお預かりした情報資産を守ることが責務であると考えています。こうした考え方のもと、セキュリティ(情報セキュリティ、サイバーセキュリティ)を、ESG視点での経営優先テーマ「マテリアリティ」の1つと位置づけ、「NECグループ情報セキュリティ基本方針」のもと、取り組みを進めています。

当社では、対策の必要性、企業経営への影響の大きさ、および社会への影響度などの観点から、特に影響が大きいと評価されるリスクを重点対策リスクとして選定し、経済産業省が策定する「サイバーセキュリティ経営ガイドラインVer 3.0」や「NIST Cyber Security Framework Ver1.1」に準拠しながら、高度化するサイバー攻撃への対策を進めています。

さらに、NECでは、「情報セキュリティ推進フレームワーク」に基づき、NECのPurposeに照らし、セキュアな情報社会を実現し、お客さまへ価値を提供することに努めています。

情報セキュリティ推進フレームワーク

情報セキュリティ推進フレームワークの図

情報資産を守るための情報セキュリティの取り組みとして、

  • サイバー攻撃対策
  • セキュアな製品・システム・サービスの提供
  • お取引先と連携した情報セキュリティ

を推進するとともに、情報セキュリティガバナンスとして、情報セキュリティマネジメント、情報セキュリティ基盤、情報セキュリティ人材の3つを柱に、NECグループ内への統制を図り、総合的かつ多層的に情報セキュリティの維持・向上を図っています。

セキュアな製品・システム・サービスの提供

NECではお客さまへ提供する製品・システム・サービスをセキュアに開発・運用するため、セキュリティ実装を推進するプロセスと体制を構築しています。プロセスでは、「セキュリティ・バイ・デザイン(SBD)」の思想に基づいて、企画段階から運用段階までセキュリティを考慮した実装およびライフサイクル管理を実施しています。体制は、全社のサイバーセキュリティ統括部門と各事業部門に配置したセキュリティ責任者で構成しています。これら体制でプロセスを推進するため「サイバーセキュリティ管理規程」を制定しています。

加えてサプライチェーンへのサイバー攻撃リスクに対応するため、NECでは「NECグループお取引先様向け情報セキュリティ基準」に基づいて、お取引先も含めたセキュリティ対策の見直しや強化を図り、お客さまへの製品・システム・サービスの供給を継続できるようにしています。

中長期目標/重点活動と進捗/成果/課題

中長期目標/重点活動

(対象:特に記載のない場合は日本電気(株)、期間:2021年4月〜2026年3月)

M:マテリアリティに関わる主な非財務目標を示しています。

  1. M:サイバー攻撃対策の強化
  2. M:セキュリティ提案実装のルール・ガバナンス定着
    • タレントマネジメントの発展・展開(CISSP有資格者3倍増)
    • サプライチェーンセキュリティマネジメント強化
    • SIプロセスの安全性の確立
  3. M:標準点検、サイバーセキュリティ対策強化による協力会社起因の事故撲滅

2022年度の目標と進捗/成果/課題と2023年度の目標

2022年度の目標

1. 国家レベルの脅威への対応

  • NIST CSF*1レベル向上、NECグループにおけるBitSightスコア*2の向上
  • DXを支えるゼロトラストセキュリティの実現
  • 意識と統制の変革
  • 社内システムのセキュリティ実装強化
  • *1
    NIST Cyber Security Framework
  • *2
    BitSight Technologies社が提供するサイバーセキュリティリスクスコアレーティン グサービス

2. 提案時にセキュリティ実装が組み込まれたプロセスへの改革、脆弱性マネジメントダッシュボードリリース

3-1. 標準点検強化

  • 管理対象会社を1,500社から2,000社へ拡大するとともに、書類点検を強化
  • 訪問点検を従来の100社ベースから200社ベースを目標に拡大検討(オンラインを活用した効率化)

3-2. サイバーセキュリティ対策強化

  • 情報セキュリティ基準を2022年度よりNIST-SP 800へ見直し
  • 「 情報セキュリティ説明会」を開催し、協力会社へ対応依頼の実施と改 善サポート
  • SSPのセルフアセスメントを対象1,800社に対し実施

進捗/成果/課題

1. 国家レベルの脅威への対応

  • NIST CSF目標レベル達成、BitSightスコアの向上
  • 端末管理基盤、SSPM展開完了、生体認証を利用したMFAの展開
  • 主要事業場へのSD-WAN展開完了
  • 社内システムのセキュリティ実装可視化

2. 提案時にセキュリティ実装が組み込まれたプロセスへの改革、脆弱性マネジメントダッシュボードリリース

  • 重点プロジェクトにおける脆弱性マネジメントシステムの利用率100%
  • CISSP取得者数 約300人(2020年度比約2倍)
  • お取引先向け基準に基づく、お取引先のセキュリティ管理体制や対策状況モニタリング実施
  • サイバーセキュリティ管理規程の制定と公布。体制・プロセス確立の展開

3-1. 標準点検強化

  • 管理対象会社を、2,000社ベースに拡大し、書類点検を強化
  • オンラインを活用し訪問点検を202社に拡大

3-2. サイバーセキュリティ対策強化

  • 情報セキュリティ基準をNIST SP 800-171ベースに改訂し、国内だけでなく、海外現法、海外重点パートナー向説明会を実施
  • 新基準への適合状況を分析し、改善促進を図るため「取引先向けSSP勉強会」を開催

2023年度の目標

1.セキュリティトランスフォーメーション推進

  • 国家レベルの脅威への対応
    - NIST CSF レベル向上、NECグループにおける第三者評価結果の向上
  • DXを支えるゼロトラストセキュリティの実現
    - パスワードレスの展開
    - 端末管理基盤によるデータ利活用の推進
  • 意識と統制の変革
    - コミュニケーションの強化
     グループ会社間との定期的な意見交換の実施
     独自動画コンテンツを使用した職場内のディスカッション頻度向上
    - 重要情報の現場でのセルフガバナンスの強化

2. セキュリティ提案実装の定着・実践・ガバナンス強化

  • リスク把握が迅速に可能となる脆弱性管理プロセスの策定
  • サイバーセキュリティ管理規定に準拠した組織マネジメントを担う人材育成プログラムの開発・運営
  • 高度なセキュリティプロフェッショナル資格(CISSP)の取得促進
  • 海外現地法人に対するセキュリティ実装施策の展開
  • グループ会社におけるサイバーセキュリティ管理規程の制定推進

3-1. サイバーセキュリティ対策強化

  • 情報セキュリティ基準への適合活動強化
  • 取引先向け情報セキュリティ基準改訂とSSP(システムセキュリティ計画書)を活用した改善活動促進
  • BitSightのNSP交流会への導入によるサプライチェーンにおけるセキュリティリスクの低減

3-2. 海外パートナーの情報セキュリティ強化

  • 中国重点パートナーに加え、インド、ベトナムへの新基準の展開

3-3. 標準点検強化

  • 訪問点検:昨年度の100社増の300社を実施予定
  • 書類点検:点検項目の見直しと対象会社の拡大

情報セキュリティとサイバーセキュリティの体制

NECグループの情報セキュリティ推進体制は、情報セキュリティ戦略会議と下部組織、各関連組織で構成されます。
情報セキュリティ戦略会議はCISOが議長を務め、情報セキュリティ施策の審議・評価・改善、事故の原因究明と再発防止策の方向付け、情報セキュリティビジネスへの成果活用などを審議します。また、ここで決定した施策の運営状況は、定期的に社長に説明し、了承を得ています。また、第三者機関のペネトレーションテストによる脆弱性リスク評価を、毎年1回定期的に実施しているほか、運用中のすべての外部サーバについて、年4回の定期監査を実施し、脆弱性にタイムリーに対応していることを確認しています。

CISOを補佐するコーポレート・エグゼティブ(Co.EX)は、情報セキュリティ対策を推進するCISO統括オフィスと、サイバー攻撃を監視しインシデント発生時には迅速に収拾を図るCSIRTを統括します。情報セキュリティ推進会議やワーキンググループは、セキュリティ実装の推進計画、実行施策討議・調整、指示事項徹底、施策進捗管理などを行います。

各組織の情報セキュリティ管理責任者は、主管するグループ会社も含め情報セキュリティの確保に責任を負い、組織内へルールの周知徹底、施策の導入・運用、実施状況の点検・見直し・改善などを継続的に実施します。

NECグループ情報セキュリティ推進体制

NECグループ情報セキュリティ推進体制の図

CSIRT:Computer Security Incident Response Team
PSIRT:Product Security Incident Response Team

情報セキュリティのマネジメント

情報セキュリティのマネジメント

各種施策をNECグループ全体に定着させるため、情報セキュリティマネジメントやセキュリティポリシーの体系を確立し、その維持・向上の徹底を図っています。

情報セキュリティのリスク評価

NECグループでは、ベースライン基準と現状の差異の分析手法と、詳細リスクの分析手法を使い分けてリスク評価と対策を実施します。まずベースラインとなる基準で共通に実施すべきセキュリティを維持し、高度な管理が必要な場合は詳細リスク分析を行い、きめ細かな対策を実施します。

情報セキュリティ事故のリスク管理

情報セキュリティ事故の報告を義務づけ、報告内容の分析結果はPDCAサイクルを回してリスク管理を行います。
事故情報はNECグループ全体で一元管理し、件数の変化、組織別や事故の類型別など傾向を分析して、共通施策に反映しつつ効果測定を実施します。

NECの情報セキュリティマネジメントの図解

重要情報管理

NECグループではThree Lines Modelの考え方に沿い、3層の役割を明確にして重要な情報を管理する仕組みを整えています。
取り扱う企業秘密は秘密区分によって分類管理されます。各組織においては、取り扱う情報を細分化し、各情報の秘密区分を明確にして、認識ミスや管理漏れのない情報管理を実現しています。また、重要な情報に対して、その重要度に応じた取り扱い・保管管理を定めており、情報漏えいなどの対策を徹底しています。

情報セキュリティに関する規程類の整備

NECでは、全グループの指針として「NECグループ経営ポリシー」を展開しています。まず、「NECグループ情報セキュリティ基本方針」を公開し、情報セキュリティ全般に関する規程、企業秘密管理に関する規程、ITセキュリティに関する規程などを体系化しています。

情報セキュリティに関する研修・啓発

NECグループの全社員を対象に、情報セキュリティと個人情報保護(マイナンバー対応を含む)に関するWeb研修を実施し、情報セキュリティの知識やスキルの向上を図っています。新しい脅威への対応や情報の取り扱い、テレワークにおけるセキュリティ対策などセキュリティ脅威のトレンドなどを考慮し、教育内容を毎年更新しています。

パートナー企業に対する情報セキュリティ管理の強化

NECグループでは、お取引先と連携して事業活動を推進しています。連携にあたっては、お取引先の技術力とともに、「情報セキュリティ水準」がNECの定める水準に達していることが重要であると考えています。そのため、NECではお取引先の情報セキュリティ対策状況により、情報セキュリティレベルを分類しています。そして、業務に求められる情報セキュリティレベルに応じて、適切なレベルのお取引先を選定して委託する仕組みを取り入れています。

お取引先に求める対策は、大きく分類すると①契約管理、②再委託管理、③作業従事者の管理、④情報の管理、 ⑤技術対策の導入、⑥セキュリティ実装、⑦点検の実施 の7項になります。特に、再委託管理では、お取引先は、委託元から書面による事前承諾を得ない限り、第三者に再委託してはならない旨、基本契約で定めています。また、再委託先確認書の提出を義務化しておりプロジェクトごとの体制を明確化しています。やむを得ず再委託先を活用する場合には、委託先と同様のセキュリティ水準を求めています。

これにより、お取引先で発生する情報セキュリティ事故リスクを低減しています。さらに、お取引先に対して書類点検と訪問点検を実施しており、当社の求める情報セキュリティ基準に適合しているかの確認および改善指導を実施し ています。

毎年、インシデントの状況などを勘案して点検項目を見直し、点検結果をお取引先に報告書でフィードバックするとともに改善が必要な課題に対するフォローアップを行います。

情報セキュリティに関する認証

NECの情報セキュリティ全般に関する規程は国際標準であるISO/IEC27001(本文・管理策)に準じて作成しており、規程に則って情報セキュリティの管理をしています。また、当社ではISMS認証(ISO27001)についても、情報セキュリティの重要性が高い医療、金融、クラウドや官公事業などの事業部門においてほぼ100%取得しています

サイバー攻撃対策

サイバー攻撃が巧妙化・高度化する中、お客さまやお取引先からお預かりした情報資産や当社グループの情報資産を守るため、NECではサイバーセキュリティリスク分析に基づく先進的な対策を国内外で一律に実施するとともに、CSIRTによるインシデント対応を行い、サイバーセキュリティ経営を実現しています。

特に、社会ソリューション事業を国内外に展開するNECにおいて、サイバー攻撃などによる情報セキュリティ事故が発生した場合、NECグループ全体の社会的信用の低下など、会社経営に大きな影響を及ぼす可能性があります。そのため、グローバルで包括的にサイバーセキュリティリスクに対応することは、事業継続の必須条件ととらえています。

グローバルサイバー攻撃対策では、多層防御の考え方に基づき、巧妙化するサイバー攻撃への対策を強化しており、特に次の点に注力しています。

Red Teamによるサイバーリスクアセスメント

  • NECグループのサイバーレジリエンス、アカウンタビリティ向上を目指しRed Teamによるサイバーリスクアセスメントを定期的に実施
  • 重要情報管理の調査、公開サーバの脆弱性やデータ漏えいなどのリスク調査、攻撃者視点での外部と内部の侵入調査の3つをパッケージ化し、グローバルにアセスメントを行い、既存のセキュリティ対策と運用における抜け漏れを洗い出し、改善策を実施
  • 監査法人およびセキュリティ専門企業による第三者の攻撃診断についても実施

脅威インテリジェンス生成・活用

  • 脅威インテリジェンス専門チームが、NECに対する脅威とその予兆を把握し、高度な事前防御を実施
  • NECグループの全社に展開したEDR*3、CSIRTで独自に開発したNDR*4、ログ統合分析基盤により、未知の脅威へのハンティングを実施
    アクティブな独自CTI*5生成強化を目的とした調査環境を構築し、詳細な脅威分析を実施

組織的なセキュリティレジリエンス強化

  • 組織的なセキュリティレジリエンス強化
  • ランサムウェアのインシデントが発生した場合、迅速に対応できるようマニュアルを整備
    有事に備え、関係部門や専門家による演習を半年に1回以上実施

サイバーセキュリティダッシュボードによるカルチャー変革

  • NECグループへのサイバー攻撃の状況、脅威インテリジェンス情報、各社・各部門のセキュリティリスク状況を可視化した、サイバーセキュリティダッシュボードをリリースし、全社員に公開
  • 社員一人ひとりがリスクを実感することで、セキュリティアウェアネスの向上を目指す
  • 経営幹部や全海外現地法人が参加する会議の中でダッシュボードを利用し、スピーディーな経営判断、各セキュリティ推進者への管理推進にも貢献
  • *3
    EDR:Endpoint Detection and Response
  • *4
    NDR:Network Detection and Response
  • *5
    CTI:Cyber Threat Intelligence