今回は、個人情報漏えいゼロを更新したというニュースを取り上げます。KDDIが発表した「サイバーセキュリティアニュアルレポート2024」によると、同社は情報セキュリティーの強化に努め、個人情報漏えいを防ぐための様々な取り組みを行っているとのことです。この放送を通じて、リスナーの皆さんは、企業がどのようにして情報セキュリティーを強化し、個人情報漏えいを防いでいるのかを理解することができるでしょう。
KDDI株式会社は2月7日、「サイバーセキュリティアニュアルレポート2024」を公開した。
こちらの記事を、簡単に解説お願いできますでしょうか?
KDDIの「サイバーセキュリティアニュアルレポート2024」では、同社がどのようにして情報セキュリティーを強化しているかが詳しく紹介されています。KDDIは、情報セキュリティ委員会を設置し、経営層を含む各部門の代表者が情報セキュリティーの管理状況を把握し、迅速に対応策を展開できる体制を整えています。また、2013年に設置されたCSIRTが、セキュリティーインシデント発生時に原因調査や証拠保全を行い、事態の収束に向けて社内の統制を確保しています。さらに、外部組織やセキュリティー機関とも連携し、リモート通信をサポートする外部公開機器の脆弱性を特定し、攻撃リスクを低減するための対策を実施しています。2023年度には、外部からのサイバー攻撃による個人情報流出件数がゼロであったことが報告されています。
質疑応答
「情報セキュリティ委員会」とは具体的にどのような役割を果たしているのでしょうか?
情報セキュリティ委員会は、企業全体の情報セキュリティーを統括する重要な役割を担っています。KDDIの場合、経営層を委員長とし、営業、技術、コーポレートの各部門長が委員として参加しています。この委員会は、情報セキュリティーの管理状況を的確に把握し、必要な施策を迅速に展開するための意思決定を行います。また、情報セキュリティ推進者会議やグループ会社情報セキュリティ推進者会議と連携し、KDDIグループ全体で統一的な情報セキュリティーを確保するための体制を整えています。これにより、情報セキュリティーのリスクを低減し、未然防止を図ることが可能となります。
記事内に出てきたCSIRTは、どのようにしてセキュリティーインシデントに対応しているのでしょうか?
CSIRT(Computer Security Incident Response Team)は、セキュリティーインシデントが発生した際に迅速かつ効果的に対応するための専門チームです。KDDIのCSIRTは、社内の関係部署と協力して、インシデントの原因調査や証拠保全を行います。これにより、インシデントの影響を最小限に抑え、事態の収束に向けて社内の統制を確保します。また、外部のセキュリティー機関やCSIRTコミュニティとも連携し、最新のセキュリティー情報を共有し、インシデント対応の精度を高めています。これにより、KDDIはセキュリティーインシデントに対して迅速かつ適切に対応することができるのです。
外部公開機器の脆弱性を特定するために、どのような方法が用いられているのでしょうか?
KDDIでは、外部公開機器の脆弱性を特定するために、OSINT(Open Source Intelligence)を活用しています。これは、インターネット上に一般公開されている情報やURL、証明書情報などを利用して、外部に公開されている社内関連設備を探索する手法です。これにより、通常の脆弱性診断では特定が困難なホストや、管理が不十分なホストを検出することが可能となります。関連ホストが確認された場合には、攻撃リスクや管理状況の評価を行い、リスクが高いと判定されたホストに対して是正対応を実施します。これにより、攻撃者が外部公開機器を悪用できないように対策を講じています。
サービスのデジタル化に伴う新たな脅威に対して、どのような対策が取られているのでしょうか?
サービスのデジタル化に伴う新たな脅威に対して、KDDIではSSIRT(Service Security Incident Readiness & response Team)を結成しています。このチームは、デジタルサービス提供者としての新たなリスクに対処するため、専門知識を持ったメンバーで構成されています。具体的な対策としては、「サービス仕様の監査」「監視」「啓発」の3つの施策を軸に取り組んでいます。サービス仕様の監査では、提供するサービスのセキュリティー要件を確認し、リスクを評価します。監視では、サービスの運用状況を常にチェックし、異常を早期に検知します。啓発では、従業員やユーザーに対してセキュリティー意識を高めるための教育や情報提供を行っています。
個人情報漏えいを防ぐために、企業はどのような取り組みを行うべきでしょうか?
個人情報漏えいを防ぐためには、企業は情報セキュリティーの強化に努める必要があります。まず、情報セキュリティー委員会のような組織を設置し、情報セキュリティーの管理状況を把握し、迅速に対応策を展開できる体制を整えることが重要です。また、CSIRTを設置し、セキュリティーインシデント発生時に迅速かつ効果的に対応できるようにすることも必要です。さらに、外部公開機器の脆弱性を特定し、攻撃リスクを低減するための対策を講じることも重要です。これに加えて、従業員に対するセキュリティー教育を行い、情報セキュリティー意識を高めることも大切です。
今後、情報セキュリティーの強化に向けて、どのような取り組みが求められるのでしょうか?
今後の情報セキュリティーの強化に向けては、いくつかの取り組みが求められます。まず、サイバー攻撃の手法が日々進化しているため、最新のセキュリティー技術や情報を常に把握し、適切な対策を講じることが重要です。また、外部のセキュリティー機関やCSIRTコミュニティとの連携を強化し、情報共有を行うことで、インシデント対応の精度を高めることが求められます。さらに、デジタル化が進む中で、新たな脅威に対処するための専門チームを結成し、リスク評価や監視、啓発活動を行うことも重要です。これにより、企業は情報セキュリティーのリスクを低減し、個人情報漏えいを未然に防ぐことができるでしょう。
まとめ
KDDIがどのようにして情報セキュリティーを強化し、個人情報漏えいを防いでいるのかを学びました。情報セキュリティ委員会やCSIRTの役割、外部公開機器の脆弱性特定の方法、デジタル化に伴う新たな脅威への対策など、具体的な取り組みが印象的でした。また一つ、勉強になりました!
