マテリアリティの具体例① 情報セキュリティ・個人情報保護の強化

最終更新日:2017年12月27日

「9 産業と技術革新の基盤をつくろう」「11 住み続けられるまちづくりを」

NTTグループでは、個人のお客さまから法人のお客さまに至るまで、多数の個人情報をお預かりしています。近年、国内外で大規模な個人情報漏えい事件が発生し、お客さまからの個人情報保護への要求は高まっています。また、EU(欧州連合)の個人情報保護規則など、法規制の面からも個人情報管理の徹底がますます求められています。
このような中、個人情報の漏えいが発生することは、NTTグループの企業価値の毀損やお客さまの流出など、事業運営に様々な影響を及ぼす可能性があるため、情報セキュリティ・個人情報保護を強化し、情報の管理を徹底していく必要があります。

NTTグループにおける情報セキュリティ・個人情報保護に向けた取り組みのイメージ

NTTグループではセキュリティオーケストレーション技術、パーソナルデータ活用に向けた匿名加工技術などの研究開発力を活かし、セキュリティ・個人情報保護に関する方針の整備・運用やグループCISO委員会を中心とした情報セキュリティマネジメント体制、CSIRT運営、セキュリティ人材育成の取り組みなどのネットワーク保守や、NTTセキュリティによるセキュリティサービスの一元的な展開やコラボレーションによるセキュリティ技術の活用など、お客さまのセキュリティ強化を支援する取り組みを行っています。

NTTグループのネットワークを守る取り組み

セキュリティ・個人情報保護に関する方針の整備・運用

NTTグループでは、「NTTグループ情報セキュリティポリシー」のもと、お客さま情報、株主さま情報、社員情報などに関する方針や規則を制定しています。
グループ各社においてもそれぞれ事業にあわせた個人情報保護体制を確立しており、個別の方針を定めるとともに、情報セキュリティ管理を推進する組織の設置やセキュリティ対策システム導入など、様々な取り組みを実施しています。具体的には、情報への不正なアクセス・情報の紛失などの防止、ウイルス対策や外部への情報持ち出しなどを管理するセキュリティ対策システムの導入など、物理面、システム面での厳格なセキュリティ対策を実施しています。また、社員教育を徹底し、委託先への適切な監督など、情報保護に向けた取り組みを継続的に実施しています。

グループCISO委員会を中心とした情報セキュリティマネジメント体制

情報セキュリティマネジメント体制として、NTTの代表取締役副社長がCISO(Chief Information Security Officer)として情報セキュリティの最高責任者を担い、NTTグループの情報セキュリティの管理を徹底しています。2015年には「グループCISO委員会」を設置し、情報セキュリティに関する取り組み方針の策定、各種施策の計画・実施、人材育成など、情報セキュリティ管理を徹底できる体制を整備して、情報セキュリティに関する課題解決にあたっています。グループ各社においてもそれぞれ同様の体制が設けられており、連携して対応しています。

CSIRTの運営

NTTグループCSIRT(Computer Security Incident Response Team)として2004年に「NTT-CERT」を立ち上げ、NTTグループに関連するセキュリティインシデント情報の受け付け、対応支援、再発防止策の検討、トレーニングプログラムの開発及びセキュリティ関連情報の提供などを行っています。さらに、NTTグループのセキュリティ分野における取り組みの中核として、情報セキュリティに関する信頼できる相談窓口を提供し、NTTグループ内外の組織や専門家と協力して、セキュリティインシデントの検知、解決、被害極小化、及び発生の予防を支援することにより、NTTグループ及び情報ネットワーク社会のセキュリティ向上に貢献しています。
NTT-CERTは、US-CERTやJPCERT/CCと連携するとともに、FIRSTや日本シーサート協議会への加盟等により国内外のCSIRT組織と連携し、動向や対策法等の情報共有を行っています。また、内閣サイバーセキュリティセンター(NISC)が主催する分野横断的演習にも参加し、ノウハウ共有・情報収集に努めています。加えて、NTT-CERTはグループ各社のCSIRT構築を推進し、対応能力の向上にも努めています。

セキュリティ人材育成の取り組み

サイバー攻撃による被害や情報漏えいの事件が社会問題となるなど、情報セキュリティに関する脅威が高度化・多様化しています。また、IoTの更なる拡大により、ネットワークに接続するデバイスも飛躍的に増大し、セキュリティを確保すべき対象も飛躍的に増大していきます。一方、現在、国内企業において、情報セキュリティに従事する技術者約26.5万人のうち、約16万人が業務遂行に必要なスキルが十分でないと推定され、さらにその人数自体が約8万人も不足しているといわれています。このような背景を踏まえ、NTTグループは、グループ内のセキュリティ人材強化の取り組みを進めるとともに、さらに国レベルでの取り組みも必要との考えから、政府や企業、教育機関と提携し、日本におけるセキュリティ人材育成にも貢献しています。
NTTグループは、グループ内のセキュリティ人材育成強化のため、2014年11月に、2021年3月期までに国内のセキュリティ人材を現在の約2,500人から約1万人へ増加させることを目標に掲げ、人材タイプや人材レベルに応じた人材育成施策をグループ各社で推進しています。2017年4月末現在のセキュリティ人材の認定数は、当初より加速し、約3.1万人となっています。今後は、セキュリティ分野における業務の中核を担う上級・中級人材の更なる拡大に向け、より実践的な育成プログラムの拡充に取り組んでいきます。
加えて、サイバーセキュリティに関する産業界の協力体制構築、産業界に必要な人材像の定義・見える化、産業界の円滑な人材育成を目的として2015年6月に発足した「産業横断サイバーセキュリティ人材育成検討会」に発足当初から事務局として参加しているほか、2015年に早稲田大学に「NTT寄附講座:サイバー攻撃対策講座」を設立して産学連携で人材発掘・育成を進めるなど、様々な取り組みを通じて国レベルでの人材育成にも貢献しています。

人材レベルは「セキュリティマスター(上級)」「セキュリティプリンシパル(上級)」「セキュリティプロフェッショナル(中級)」「セキュリティエキスパート(初級)」。人材タイプは「セキュリティマネジメント・コンサル」「セキュリティ運用」「セキュリティ開発・研究」に分かれているが、いずれも上級は業界屈指の実績を持つ第一人者の輩出、中級が深い経験と判断力を備えたスペシャリストの増強、初級が必須知識を持ち担当業務を遂行できる実務者の底上げとなっている。

お客さまのセキュリティ強化を支援する取り組み

NTTセキュリティによるセキュリティサービスの一元的な展開

IoTやAIといった次世代技術の普及による新たなリスクに対応する高付加価値なセキュリティサービスを積極的に開発し、ワールドワイドに提供するため、グループ各社のセキュリティ専門技術をグローバルに集約し、2016年8月よりNTTセキュリティ株式会社として事業を開始しています。
セキュリティサービスに関するグローバルで一元的な組織体制を構築することで、セキュリティサービスに関するグループのCoE(センターオブエクセレンス)として、イノベーティブなセキュリティサービスを開発し、グループ会社がお客さまに提供するトータルICTソリューションに高度なセキュリティ機能を提供しています。独自のセキュリティ高度分析プラットフォーム(SIEM)にはNTT研究所の技術を組み込んでおり、市販のセキュリティツールでは対応できない脅威や攻撃に対する事前防御、早期検知、遮断などのサービスを提供しています。また、NTTセキュリティでは、GTIP(グローバル脅威情報プラットフォーム)を開発・運営し、グローバルに展開するマネージド・セキュリティ・サービスやハニーポット(おとりのシステム)などから収集される情報をグローバルで一元的に集約・解析することにより、敵対者の存在、能力、具体的な攻撃手法など、セキュリティ対策に有効な情報(セキュリティインテリジェンス)を収集し、グローバルで活用することで、お客さまのICT環境を防御することに役立てています。
今後は、NTTグループ各社との営業連携、サービス連携を一層進め、セキュリティが組み込まれたエンド・トゥ・エンドのビジネスソリューションの更なるグローバル展開をめざしていきます。

NTTグループ各社との連携イメージは「NTTセキュリティ」によってセキュリティ専門サービスの開発及び提供やコンサルティング、マネージド・セキュリティ・サービス、脅威情報分析を「Dimension Data」「NTTコミュニケーションズ」「NTTデータ」にサービス開発や卸として提供。「Dimension Data」「NTTコミュニケーションズ」「NTTデータ」はお客さまにクライアント・マネジメント、トータル・ソリューション・コンサルティングなどトータルソリューションを提供。主な受注事例としては、2017年3月期1QにNTTデータとNTTセキュリティの連携により米国テキサス州情報局を受注(セキュリティアセスメント案件)。同じく2017年3月期1QにNTTコミュニケーションズとNTTセキュリティの連携により英国ReAssure社を受注(自社DCからのサーバ移行案件、セキュリティ監視案件)。

コラボレーションによるセキュリティ技術活用事例

制御システムの安心・安全な運用を実現するサイバーセキュリティ技術

三菱重工業株式会社とNTTは共同開発により、重要なインフラ(社会基盤)などの制御システム向けサイバーセキュリティ技術「InteRSePT®」の試作を完成させました。未知のサイバー攻撃に対するリアルタイムな異常検知及び対処を可能とし、安心・安全なシステム運用を実現するもので、システムの継続稼動が求められる火力発電設備や化学プラントなどへの適用をめざしていきます。

InteRSePT®の概略図。①「セキュリティ統合管理装置」でセンサ情報をチェックし運転状態を把握。②「セキュリティオーケストレーション」で運転状態や検知された異常情報をもとに「リアルタイム検知・対処装置」の通信制御ルールを変更。③「リアルタイム検知・対処装置B」で特定の運転状態用ルールをもとにパケットを分析し、通過・遮断を制御。④「セキュリティ統合管理装置」で制御システム全体の挙動を統合的に監視し、特定の運転状態用ルールでは検知できない異常を検知。リアルタイム検知・対処装置A、Bからはそれぞれ各種センサー対象機器(センサー、アクチュエータ)でに接続。市場展開先は発電プラント、新交通システム、化学プラント。

NTTグループの情報セキュリティ・個人情報保護への取り組みを支える研究開発力

セキュリティR&Dの方向性

セキュリティは、世界のクラウドサービスで優位性を保ち、またB2B2Xモデルによる新たなビジネス創出に向けた確かな基盤を構築していく上で、極めて戦略的に重要性が高い開発テーマです。昨今のセキュリティを取り巻く環境変化に対応し、NTTグループが提供するクラウドサービスやコミュニケーションサービスの更なる安心・安全に貢献するための研究開発として、大きく3つのセキュリティR&Dの方向性を定めています。

セキュリティR&Dの方向性「1.激化・巧妙化するサイバー攻撃への対抗」と「2.IoTの進展等に伴う新たな脅威への対応」についての具体的なR&Dの取り組みは、サイバー攻撃の脅威に対抗するための「守りの技術」の開発・NTTグループのネットワーク基盤を含む重要インフラなどの防衛力向上への貢献(具体例:セキュリティオーケストレーション技術など)です。「3.データ交換・蓄積・活用時のセキュリティ向上」についての具体的なR&Dの取り組みは、パーソナルデータ活用などのための「攻めの技術」の開発・グループ各社の商材の付加価値向上への貢献(具体例:匿名加工技術など)です。

研究開発の具体例

セキュリティ・オーケストレーション技術

サイバー攻撃は年々、巧妙化・高度化し続けています。とりわけ社会インフラ全体に影響を及ぼし得るネットワークに関わるセキュリティへの迅速で効果的な対策が求められています。NTTグループが開発を進める「セキュリティ・オーケストレーション技術」は、超大規模なトラヒックで回線帯域を埋め尽くす反射型DDoS攻撃などを、正常通信を阻害することなく、最適なポイントで遮断するほか、自動制御によって自律的にネットワークを回復する技術です。NTTグループでは、今後、この技術をネットワーク全体に導入することを検討しています。

活用イメージとして、SDNコントローラが各境界ルーターと標的サイト至近の収容ルーターを連動させることで攻撃トラヒックのみの遮断を実現。防御処理によりネットワーク輻輳が解消、パケットロス率は0%に。

パーソナルデータ活用に向けた匿名加工技術

ビッグデータやパーソナルデータの利活用に対して、適法かつプライバシーに配慮した規律が求められる中、2017年5月より改正個人情報保護法が全面施行され、「匿名加工情報」に関する取り扱いが定められました。「匿名加工情報」とは、個人情報を特定の個人が識別できないように加工し、かつ、復元することができないようにしたもので、一定の規律のもと、この加工情報を流通できるようにする制度です。本来、個人情報の第三者への提供には本人の同意取得が必要ですが、匿名加工情報は本人の同意取得が不要というメリットがあります。このため、適切に活用することで新たなビジネス創出が期待できます。
匿名加工したデータを実際のビジネスで活用するためには、匿名化によって法が要求する手続き等や安全性を満たすことはもちろん、データを有効に活用できる有用性がなるべく高くなるように加工することが重要です。NTTグループでは、数学的な手法を活用して、パーソナルデータを、利用目的や条件に応じて安全性と有用性を両立させつつ、高度に匿名化する技術を開発しました。パーソナルデータを守る技術を競うコンテストで優勝したほか、実際にデータを持っている事業者との実証実験などを通じて、サービス提供に向けた準備を進めていきます。

匿名加工情報の活用イメージは、消費者の個人情報(ユーザー登録、買い物、サービス利用)を小売業者が生データ(個人情報データベース)として保有。顧客データ、属性、購買履歴などからそれを「匿名加工情報」に加工し、商品メーカー(売れ筋確認、販路確認、広告)や専門店(商圏分析、出店計画)に提供・販売。

岡本フェローがRSA Conference 2017 において「Excellence in the Field of Mathematics」を受賞

NTT セキュアプラットフォーム研究所岡本特別研究室長岡本 龍明(NTTフェロー)が、世界的な情報セキュリティカンファレンスであるRSA Conference 2017(RSA Conference Awards)においてRSA会議賞の一つである「Excellence in the Field of Mathematics」を受賞しました。

RSA会議賞について
RSA会議賞(RSA Conference Awards)は、1998年に創設された賞で、数学、情報セキュリティ、政策の3つの分野で、毎年それぞれに生涯で優れた業績を上げた個人(もしくは組織)に原則1人(組織)ずつ送られます。
数学分野(「Excellence in the Field of Mathematics」)の歴代受賞者は、現代暗号を創始した研究者をはじめとして暗号分野において最も高い貢献を行った研究者であり、本賞は暗号分野において最も権威のある賞の一つとされています。
今回、岡本特別研究室岡本フェローのこれまでの暗号研究における業績が認められ、「Excellence in the Field of Mathematics」を受賞しました。

災害への取り組み

大規模災害を見据えた通信サービスの安定性と信頼性の確保

NTTグループでは、「通信ネットワークの信頼性向上」「重要通信の確保」「通信サービスの早期復旧」を災害対策の基本と位置づけ、東日本大震災以降はこれらをさらに強化しています。
具体的には、通信サービスが途絶えないよう、通信伝送路の多ルート化や通信ビル・通信基地局の停電対策、通信ビルの耐震性強化などを図り、通信の信頼性向上に努めています。また、移動電源車などの災害対策機器を充実させて全国に配備するとともに、大規模災害を想定した訓練も繰り返し実施しています。そして災害発生時には、災害対策本部などの非常態勢を速やかに構築し、災害対策基本法に基づく指定公共機関として緊急通信や重要通信を確保できるよう、日々対策に取り組んでいます。
なお、2017年3月期の通信事業4社(NTT 東日本、NTT 西日本、NTTコミュニケーションズ、NTTドコモ)における重大事故発生件数*1は2件、安定サービス提供率*2は99.99%でした。

  • *1電気通信役務の提供を停止または品質を低下させた、以下の条件を満たす事故の件数。
    • 緊急通報(110番・119番など)を扱う音声サービス:1時間以上かつ3万人以上
    • 緊急通報を扱わない音声サービス:2時間以上かつ3万人以上、または1時間以上かつ10万人以上
    • インターネット関連サービス(無料):12時間以上かつ100万人以上、または24時間以上かつ10万人以上
    • その他の役務:2時間以上かつ3万人以上、または1時間以上かつ100万人以上
  • *2〔1−重大事故総影響時間(影響ご利用者さま数×重大事故対象時間)/主要サービス提供総時間(ご利用者さま数×24時間×365日)〕×100(%)

NTTグループの災害対策に関わる基本方針

災害発生時 重要通信の確保のため、110番・119番・118番などの緊急通信や重要通信の確保、特設公衆電話の設置、災害時安否確認サービスの提供などを行います。東日本大震災以降に強化した対策として、「重要通信確保の対策」「通信孤立の早期解消」「災害用伝言サービスの充実」「情報ステーション化の推進」があります。通信サービスの早期復旧のため、災害対策機器などの活用や復旧用資機材調達、復旧要員確保などによるサービスの早期回復などを行います。東日本大震災以降に強化した対策として、「災害対策用機器の充実」「災害対策運営体制の強化・充実化」「巨大地震を想定した演習・訓練の実施」「危機管理人材の育成・ノウハウやスキルの展開」があります。通信ネットワークの信頼性向上のため、地震・火災・風水害などに強い設備づくり、通信伝送路の多ルート化、24時間365日のネットワーク監視及び制御などを行います。東日本大震災以降に強化した対策として、「耐災性強化(被害想定、ハザードマップを考慮)」「通信サービスの安定提供(中継伝送路の信頼性向上など)」があります。

お客さまの災害復旧、事業継続への貢献

NTTグループは、災害時でも絶やすことが許されない日本の情報通信を、100年以上守り続けてきました。その確かな実績とノウハウをもとに、お客さまの事業継続を支援するソリューションビジネスを展開しており、今後さらに重要な事業の機会になると考えています。
昨今の気候変動の影響による大雨や台風の増加など、自然災害による被害が多発することで、水害、雷害、停電などのリスクが高まるとともに、発生した際の被害も甚大なものとなってきています。被災者の支援や早期復旧を図るため、多くの企業においては、災害などの緊急事態が発生したときでも、重要業務の継続、早期復旧を可能とする対策が必要とされています。
NTTコミュニケーションズ、NTTデータを中心としたデータセンターサービス・クラウドサービスや、NTTファシリティーズでの建物・電力に関する技術など、幅広い分野での事業継続ソリューションビジネスの展開により、お客さまの災害復旧、事業継続への貢献を進めていきます。