サイト内の現在位置を表示しています。

情報セキュリティとサイバーセキュリティ

ガバナンス

情報セキュリティとサイバーセキュリティの体制

NECグループの情報セキュリティ推進体制は、情報セキュリティ戦略会議と下部組織、各関連組織で構成されます。

情報セキュリティ戦略会議は当社のCISOが議長を務め、情報セキュリティ施策の審議・評価・改善、事故の原因究明と再発防止策の方向づけ、情報セキュリティビジネスへの成果活用などを審議します。また、ここで決定した施策の運営状況は、定期的に当社のCEOに説明し、了承を得ています。また、第三者機関のペネトレーションテストによる脆弱性リスク評価を、毎年1回定期的に実施しているほか、運用中のすべての外部サーバについて、年4回の定期監査を実施し、脆弱性にタイムリーに対応していることを確認しています。

CISOは、情報セキュリティ対策を推進するCISO統括オフィスと、サイバー攻撃を監視しインシデント発生時には迅速に収拾を図るCSIRTを統括します。情報セキュリティ推進会議やワーキンググループは、セキュリティ実装の推進計画、実行施策討議・調整、指示事項徹底、施策進捗管理などを行います。

当社の各部門長は情報セキュリティ管理責任者として、主管するグループ会社も含め情報セキュリティの確保に責任を負い、組織内へルールの周知徹底、施策の導入・運用、実施状況の点検・見直し・改善などを継続的に実施します。

2023年度においては、CSIRTのCyber Threat Intelligence(CTI)チームがNECグループのサイバー脅威に関連のある4,000以上の情報(IPアドレス、ファイルハッシュ、URL、ドメイン)を収集・分析し、脅威インテリジェンスを生成しました。また、CTIチームはCTIを活用した脅威ハンティングをとおして、プロアクティブなリスク低減を実現しています。

Red Team*1のサイバーセキュリティリスクアセスメント(CRA)の仕組みを導入して、サイバー攻撃に対する組織のレジリエンスとセキュリティ管理の説明責任を拡大することで、組織能力を向上させています。 NECグループの脅威、ICT利用状況、インシデント状況、取り扱う情報レベルに基づいた攻撃シナリオを作成し、Red Teamによる偵察と攻撃を実施して、耐性とリスクを評価しています。

  • *1
    企業や組織に対し、実際の脅威に即した疑似的な攻撃を行い、組織としての攻撃への耐性とリスクの評価、および改善・追加対策案の提示を行うチーム

NECグループ情報セキュリティ推進体制

NECグループ情報セキュリティ推進体制の図

CSIRT:Computer Security Incident Response Team
PSIRT:Product Security Incident Response Team

戦略

情報セキュリティとサイバーセキュリティの方針

NECは、よりよい製品やサービスを提供し社会の発展に寄与していくうえで、自社の情報資産に加えてお客さまやお取引先からお預かりした情報資産を守ることが責務であると考えています。こうした考え方のもと、セキュリティ(情報セキュリティ、サイバーセキュリティ)を、ESG視点での経営優先テーマ「マテリアリティ」の1つと位置づけ、「NECグループ情報セキュリティ基本方針」のもと、取り組みを進めています。

当社では、対策の必要性、企業経営への影響の大きさ、および社会への影響度などの観点から、特に影響が大きいと評価されるリスクを重点対策リスクとして選定し、経済産業省が策定する「サイバーセキュリティ経営ガイドラインVer 3.0」や「NIST Cyber Security Framework(CSF) 2.0」に準拠しながら、高度化するサイバー攻撃への対策を進めています。

さらに、NECでは、「情報セキュリティ推進フレームワーク」に基づき、NECのPurposeに照らし、セキュアな情報社会を実現し、お客さまへ価値を提供することに努めています。

情報セキュリティ推進フレームワーク

情報セキュリティ推進フレームワークの図

情報資産を守るための情報セキュリティの取り組みとして、サイバー攻撃対策、セキュアな製品・システム・サービスの提供、お取引先と連携した情報セキュリティを推進するとともに、情報セキュリティガバナンスとして、情報セキュリティマネジメント、情報セキュリティ基盤、情報セキュリティ人材の3つを柱に、NECグループ内の統制を図り、総合的かつ多層的に情報セキュリティの維持・向上を目指しています。

セキュアな製品・システム・サービスの提供

お客さまに提供する製品・システム・サービスをセキュアに開発・運用するため、NECではセキュリティ実装推進体制を構築しています。本体制は当社のサイバーセキュリティ統括部門と各事業部門のセキュリティ責任者で構成され、この体制およびセキュリティ実装プロセスは「サイバーセキュリティ管理規程」に定めています。NECグループ会社でも、NECと同様のセキュリティ実装推進体制の構築とサイバーセキュリティ管理規程の制定を推進しています。

またNECでは、セキュリティを確保する「セキュリティ・バイ・デザイン(SBD)」の思想に基づき、企画・提案フェーズから運用・保守フェーズまでセキュリティを実装しています。開発の各フェーズではセキュリティタスクの実施確認にチェックリストを活用し、セキュリティタスク実施状況を一元管理し可視化する「セキュリティ実装点検システム」とあわせ、セキュリティ対策状況を効率的に点検・監視しています。運用・保守フェーズでは、脆弱性情報を一括収集・配信して事業部門とお客さまへ提供することで、セキュリティ確保に取り組んでいます。

さらにProduct Security Incident Response Team(PSIRT)を設置し、NECグループの製品に関する脆弱性情報の収集・対処を実施しています。社外からの受付窓口の設置や脆弱性公開ポリシーの公開など、自社製品の未公開脆弱性情報を適切にハンドリングしています。

そしてシステム開発の社内標準環境として、クラウド型ソフトウェア開発基盤を整備しています。本基盤はセキュリティ脆弱性検査の検証ツールなどセキュリティ実装を効率化、自動化するツールも備え、システム開発の生産性・品質・セキュリティを向上させています。本基盤で委託先も含めたサプライチェーンの開発環境を集約し、開発環境自体のセキュリティ管理を一元化しています。

リスク管理(含む機会創出)

情報セキュリティのマネジメント

各種施策をNECグループ全体に定着させるため、情報セキュリティマネジメントやセキュリティポリシーの体系を確立し、その維持・向上の徹底を図っています。

情報セキュリティのリスク評価

NECグループでは、ベースライン基準と現状の差異の分析手法と、詳細リスクの分析手法を使い分けてリスク評価と対策を実施します。まずベースラインとなる基準で共通に実施すべきセキュリティを維持し、高度な管理が必要な場合は詳細リスク分析を行い、きめ細かな対策を実施します。

情報セキュリティ事故のリスク管理

情報セキュリティ事故の報告を義務づけ、報告内容の分析結果はPDCAサイクルを回してリスク管理を行います。事故情報はNECグループ全体で一元管理し、件数の変化、組織別や事故の類型別など傾向を分析して、共通施策に反映しつつ効果測定を実施します。

重要情報管理

NECグループでは3つの防衛線(Three Lines of Defense)の考え方に沿い、3層の役割を明確にして重要な情報を管理する仕組みを整えています。

取り扱う企業秘密は秘密区分によって分類管理されます。各組織においては、取り扱う情報を細分化し、各情報の秘密区分を明確にして、認識ミスや管理漏れのない情報管理を実現しています。また、重要な情報に対して、その重要度に応じた取り扱い・保管管理を定めており、情報漏えいなどの対策を徹底しています。

情報セキュリティに関する規程類の整備

NECでは、「NECグループ情報セキュリティ基本方針」を公開し、情報セキュリティ全般に関する規程、企業秘密管理に関する規程、ITセキュリティに関する規程などを体系化しています。

情報セキュリティに関する研修・啓発

NECグループの全従業員(請負含む)を対象に、情報セキュリティに関するWeb研修を実施し、情報セキュリティの知識やスキルの向上を図っています。情報管理、社外でのセキュリティ対策、委託先管理などセキュリティ脅威のトレンドなどを考慮し、教育内容を毎年更新しています。

パートナー企業に対する情報セキュリティ管理の強化

NECグループでは、お取引先と連携して事業活動を推進しています。連携にあたっては、お取引先の技術力とともに、情報セキュリティ水準がNECの定める水準に達していることが重要であると考えています。そのため、NECではお取引先の情報セキュリティ対策状況により、情報セキュリティレベルを分類しています。そして、業務に求められる情報セキュリティレベルに応じて、適切なレベルのお取引先を選定して委託する仕組みを取り入れています。

お取引先に求める対策は、①契約管理、②再委託管理、③作業従事者の管理、④情報の管理、 ⑤技術対策の導入、⑥セキュリティ実装、⑦点検の実施 の7項です。特に、再委託管理では、お取引先は、委託元から書面による事前承諾を得ない限り、第三者に再委託してはならない旨、基本契約で定めています。また、再委託先確認書の提出を義務化しておりプロジェクトごとの体制を明確化しています。やむを得ず再委託先を活用する場合には、委託先と同様のセキュリティ水準を求めています。

これにより、お取引先で発生する情報セキュリティ事故リスクを低減しています。さらに、お取引先に対して書類点検と訪問点検を実施し、当社の求める情報セキュリティ基準に適合しているかの確認および改善指導を実施しています。また毎年、インシデントの状況などを勘案して点検項目を見直し、点検結果をお取引先に報告書でフィードバックするとともに改善が必要な課題に対するフォローアップを行います。

2022年4月には、サイバーセキュリティ対策を強化するため、これまでの情報セキュリティ基準を、インシデント発生を前提とし、「準備・検知・分析・抑制・回復・ユーザ対応」を含めたインシデント対応能力の確立を要求しているNIST SP800-171をベースとした内容に改訂しました。毎年SSP(システムセキュリティ計画書)を実施し、情報セキュリティ基準への進捗状況を確認して、お取引先が対策に苦慮されている項目については、サイバーセキュリティ対策の勉強会を開催しています。

また、重点お取引先に、攻撃リスク低減・セキュリティレベル向上を目的に第三者評価結果を開示し、リスクの改善活動を実施しています。これによりお取引先のリスク低減を支援しています。

情報セキュリティに関する認証

NECの情報セキュリティ全般に関する規程は国際標準であるISO/IEC27001(本文・管理策)に準じて作成しており、規程に則って情報セキュリティの管理をしています。また、当社ではISMS認証(ISO27001)についても、情報セキュリティの重要性が高い医療、金融、クラウドや官公事業などの事業部門においてほぼ100%取得しています。

サイバー攻撃対策

サイバー攻撃が巧妙化・高度化する中、お客さまやお取引先からお預かりした情報資産や当社グループの情報資産を守るため、NECではサイバーセキュリティリスク分析に基づく先進的な対策を国内外で一律に実施するとともに、CSIRTによるインシデント対応を行い、サイバーセキュリティ経営を実現しています。

特に、社会ソリューション事業を国内外に展開するNECにおいて、サイバー攻撃などによる情報セキュリティ事故が発生した場合、NECグループ全体の社会的信用の低下など、会社経営に大きな影響を及ぼす可能性があります。そのため、グローバルで包括的にサイバーセキュリティリスクに対応することは、事業継続 の必須条件ととらえています。

グローバルサイバー攻撃対策では、生成AI等を活用しながら、多層防御の考え方に基づき、巧妙化するサイバー攻撃への対策を強化しており、特に次の点に注力しています。

Red Teamによるサイバーリスクアセスメント

  • NECグループのサイバーレジリエンス、アカウンタビリティ向上を目指しRed Teamによるサイバーリスクアセスメントを定期的に実施
  • 重要情報管理の調査、公開サーバの脆弱性やデータ漏えいなどのリスク調査、攻撃者視点での外部と内部の侵入調査の3つをパッケージ化し、グローバルにアセスメントを行い、既存のセキュリティ対策と運用における抜け漏れを洗い出し、改善策を実施
  • 監査法人およびセキュリティ専門企業による第三者の攻撃診断を実施

脅威インテリジェンス生成・活用

  • 脅威インテリジェンス専門チームが、NECに対する脅威とその予兆を把握し、高度な事前防御を実施
  • NECグループの全社に展開したEndpoint Detection and Response(EDR)、CSIRTで独自に開発したNetwork Detection and Response(NDR)、ログ統合分析基盤により、未知の脅威へのハンティングを実施
  • アクティブな独自CTI生成強化を目的とした調査環境を構築し、詳細な脅威分析を実施。組織的なセキュリティレジリエンスを強化

組織的なセキュリティレジリエンス強化

  • ランサムウェアのインシデントが発生した場合、迅速に対応できるようマニュアルを整備
  • 有事に備え、経営層や関係部門、専門家による演習を半年に1回以上実施

AIを活用した高度なサイバーセキュリティ対策

  • サイバーリスクアセスメントにおける診断業務、脅威インテリジェンスの生成・活用、NDRの検知、インシデント調査、標的型攻撃メール訓練など、幅広い分野において生成AIを含めたAI活用を促進。自動化・効率化・高度化を実現

サイバーセキュリティダッシュボードによるカルチャー変革

  • NECグループへのサイバー攻撃の状況、脅威インテリジェンス情報、各社・各部門のセキュリティリスク状況を可視化した、サイバーセキュリティダッシュボードをリリースし、全従業員に公開
  • 従業員一人ひとりがリスクを実感することで、セキュリティアウェアネスの向上を目指す
  • 経営幹部や全海外現地法人が参加する会議の中でサイバーセキュリティダッシュボードを利用し、スピーディーな経営判断、各セキュリティ推進者への管理推進にも貢献

指標および目標

中長期目標/重点活動と進捗/成果/課題

中長期目標/重点活動

(対象:特に記載のない場合は日本電気(株)、期間:2021年4月〜2026年3月)

M:マテリアリティに関わる主な非財務目標を示しています。

  1. サイバー攻撃対策の強化
  2. セキュリティ提案実装のルール・ガバナンス定着
    M:タレントマネジメントの発展・展開(CISSP有資格者3倍増)
    • サプライチェーンセキュリティマネジメント強化
    • SIプロセスの安全性の確立
  3. 標準点検、サイバーセキュリティ対策強化による協力会社起因の事故撲滅

2023年度の目標と進捗/成果/課題と2024年度の目標

2023年度の目標

  1. セキュリティトランスフォーメーション推進
    • 国家レベルの脅威への対応
      NIST CSF向上、NECグループにおける第三者評価結果の向上
    • DXを支えるゼロトラストセキュリティの実現
      - パスワードレスの展開
      - 端末管理基盤によるデータ利活用の推進
    • 意識と統制の変革
      - コミュニケーションの強化
      グループ会社間との定期的な意見交換の実施独自動画コンテンツを使用した職場内のディスカッション頻度向上
      - 重要情報の現場でのセルフガバナンスの強化
  2. セキュリティ提案実装の定着・実践・ガバナンス強化
    • リスク把握が迅速に可能となる脆弱性管理プロセスの策定
    • サイバーセキュリティ管理規定に準拠した組織マネジメントを担う人材育成プログラムの開発・運営
    • 高度なセキュリティプロフェッショナル資格(CISSP)の取得促進
    • 海外現地法人に対するセキュリティ実装施策の展開
    • グループ会社におけるサイバーセキュリティ管理規程の制定推進
  3. ①サイバーセキュリティ対策強化
    • 情報セキュリティ基準への適合活動強化
    • お取引先向け情報セキュリティ基準改訂とSSP(システムセキュリティ計画書)を活用した改善活動促進
    • BitSightのNECソフトウェアパートナーズ(NSP)交流会への導入によるサプライチェーンにおけるセキュリティリスクの低減
    ②海外パートナーの情報セキュリティ強化
    • 中国重点パートナーに加え、インド、ベトナムへの新基準の展開

進捗/成果/課題

  1. セキュリティトランスフォーメーション推進
    • 国家レベルの脅威への対応
      - NIST CSF 1.1に基づく評価において全項目で目標を達成。第三者評価結果(BitSight)についても昨年度を上回るスコアを達成
    • DXを支えるゼロトラストセキュリティの実現
      - 全従業員に対して普段の利用方法と異なるときに認証を要求するリスクベース認証を適用。通常利用のパスワードレスの本番運用を開始
      - 端末管理基盤、BI(ビジネスインテリジェンス)ツールと連携した脆弱性管理状況の可視化を実現
    • 意識と統制の変革
      - NECとグループ会社のうち、2023年度10社の情報セキュリティの責任者(経営層)と情報セキュリティ、経済安全保障を中心に意見交換
      - 職場内のディスカッション機会としてマイクロテーマトークの頻度を四半期ごとに増やすことに決定(昨年度比130%)
    • ファイル内から秘密管理規程に抵触するような単語を自動検索し、その結果をもとに情報ラベリングのレコメンド機能を搭載
      - 重要情報管理状況のモニタリングを実施し現場責任者に対してサマリレポートで見える化を実施。現場の管理プロセス改善のきっかけを提供
  2. セキュリティ提案実装の定着・実践・ガバナンス強化
    • 脆弱性管理システムの刷新による脆弱性情報公開から入手展開までの時間短縮(最短2時間)
    • 国際認定資格(CISSP)取得者数 450人超、2020年度比約3倍
    • 主要な海外グループ会社に対するセキュリティルール展開
    • 主要な国内グループ会社におけるセキュリティ担当者配置、および各社のサイバーセキュリティ管理規程策定に着手
  3. ①サイバーセキュリティ対策強化
    • お取引先向け情報セキュリティ基準を2022年4月に改訂し、SSPを活用した勉強会を開催し、改善活動促進
    • BitSightをNSP交流会へ導入。第三者評価結果を開示し、リスクの改善活動を実施
    ②海外パートナーの情報セキュリティ強化
    • 中国重点パートナーに加え、インド、ベトナムへ新基準の説明会を開催

2024年度の目標

  1. セキュリティトランスフォーメーション推進
    • 国家レベルの脅威への対応
      - NIST CSF 2.0対応、第三者評価の向上
      - AI Red Teamによる攻撃診断自動化
      - 脅威インテリジェンスのパフォーマンス向上
    • DXを支えるゼロトラストセキュリティの実現
      - グローバル認証基盤強化
      - 内部不正対策強化
      - 脆弱性管理等のセキュリティ業務自動化
    • 意識と統制の変革
      - セキュリティサーベイ実施
      - グループ会社のリスクアセスメント強化
      - 重要情報管理状況の可視化
  2. セキュリティ提案実装の定着・実践・ガバナンス強化
    • 国内外グループ会社におけるセキュリティ実装体制・プロセスの構築
    • NECグループ製プロダクト(製品・サービス)の脆弱性管理と是正プロセスの徹底
    • 適切な知識・スキルに基づいたセキュリティ提案・実装を行うタレントの育成と配置
  3. ①サイバーセキュリティ対策強化
    • NIST SP800-171をベースとした情報セキュリティ基準への適合活動強化(2024年度は、新基準への移行期間の最終年度)
    • BitSight活用拡大
      NSP交流会への改善活動定着化と新規加盟会社の拡大
      開発委託以外の領域におけるアラーム機能の導入検討
    ②海外パートナーの情報セキュリティ強化
    • 中国、インド、ベトナムにおける新基準をベースとした運用準備
    • 書類点検、訪問点検実施による進捗状況確認