« 米国 英国 オーストラリア カナダ ニュージーランド、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国がロシアや脆弱性についてのいくつかのアラートを出していますね。。。 | Main | 米国 全米規制公益事業委員会協会 (NARUC) 電力供給システムと分散型エネルギー資源 (DER) の安全性基準 (2024.02.22) »

2024.03.01

NTT西日本 西日本グループの情報セキュリティ強化に向けた取組みについて

こんにちは、丸山満彦です。

NTT西日本が、内部者による個人情報の900万件を名簿業者に漏えいした事件についての外部専門家を交えた社内委員会の調査報告書と情報セキュリティ強化に向けた取り組みを公表し、記者会見をしたようですね。。。

今回の問題の責任をとって森林社長が3月末で引責辞任するようですね... この発覚したタイミングの社長が過去のすべての責任を引き取るというのもちょっと辛い感じですね... 不正ガチャですかね...

調査の目的は

  • 不正持ち出し及び過去調査に関する事実の調査と原因分析
  • 上記を踏まえた NTT 西日本グループ全体の課題の分析
  • 再発防止策の提言
  • その他、調査委員会が必要と認めた事項

となっていますね。。。

で、調査委員会のメンバーは...

委員長 国谷 史朗 弁護士
委員 畝本 毅 弁護士(元高松高等検察庁検事長)
委員 飯島 奈絵 弁護士 NTT 西日本社外監査役
委員 猪俣 敦夫 大阪大学サイバーメディアセンター教授
委員 白波瀬 章 NTT 西日本 技術革新部長(CISO)
委員 黒田 勝己 NTT 西日本 経営企画部長
委員 梶原 全裕 NTT 西日本 総務人事部長

NTT西日本

・2024.02.29 西日本グループの情報セキュリティ強化に向けた取組みについて

・[PDF] (downloaded)

 

1. NTT西日本グループの情報セキュリティ強化に向けた取組み

・[PDF] NTT西日本グループの情報セキュリティ強化に向けた取組み  (downloaded)

20240301-62838

目次...

1.事案の概要
2.「過去調査」の検証および評価
3.NTT西日本グループ全体のシステム緊急総点検とアンケート調査
4.抽出された課題
5.NTT西日本グループ全体の再発防止の取組み

 

2. 外部専門家を交えた社内調査委員会による調査報告書

・[PDF] 調査報告書  (downloaded)

20240301-62728

目次...

第1 調査委員会の概要
1 調査委員会を設置するに至った経緯
2 調査委員会の目的及び調査事項
3 調査委員会の構成等
⑴ 委員
⑵ 情報セキュリティ TF
⑶ 過去調査検証 TF
⑷ 補助者等
4 調査期間
5 調査方法
⑴ 関係資料の分析及び検討
⑵ ヒアリング
⑶ デジタル・フォレンジック
⑷ システム緊急点検
⑸ アンケート調査
⑹ NTT 西日本、ProCX 及び BS による発覚後社内調査結果等の引継ぎ
6 調査の前提及び限界等

第2 関係法人の概要
1 株式会社 NTT マーケティングアクト ProCX(ProCX)
2 NTT ビジネスソリューションズ株式会社(BS)
3 ProCX と BS の業務委託関係
4 本件システムの構成

第3 本件不正持ち出し
1 概要
2 X の就業状況 .
3 情報流出経路・不正持ち出しの方法
.
⑴ 本件ネットワークへのアクセス
⑵ PDS サーバ等からの顧客データの取得
⑶ 取得した顧客データの外部への持ち出し方法
⑷ 共犯の可能性について
4 持ち出された顧客情報の範囲
5 本件不正持ち出しの動機・正当化

第4 本件不正持ち出しを許した直接的な原因の分析
1 技術的な管理措置に係る重大な不備
⑴ PDS サーバからの顧客データのダウンロードを制御する措置の不存在
⑵ 私有 USB メモリ等の外部記録媒体への書き出しを防止する措置の不存在
⑶ 保守端末からのインターネット接続を制限する措置の不存在
⑷ ログ監視の不存在
⑸ 私有端末によるアクセスを制限する措置の不存在
⑹ 小括
2 内部者による情報漏洩リスクを高める業務運営体制
⑴ X の業務遂行状況
⑵ X に対する業務監視が機能していなかった状況
⑶ 小括

第5 根本的な原因・背景の分析
1 BS についての原因・背景分析
⑴ 情報セキュリティに係る社内規律が遵守されていない状況
⑵ 第 1 線(X 所属グループ含む VD 部)における情報セキュリティ体制の機能不全
⑶ 実態把握のための仕組みの機能不全
⑷ 第 2 線の脆弱性
⑸ 内部不正による情報漏洩リスクに対する危機意識の弱さ
⑹ 情報セキュリティ上のリスクに対するリスクマネジメントプロセスの不存在
⑺ 人員配置等の人事に関する問題
⑻ 内部監査について
⑼ 経営陣の責任
⑽ 度重なる組織再編の影響
2 ProCX について
⑴ 委託先管理に係る規律が遵守されていない状況
⑵ 顧客情報の漏洩に対する危機意識の乏しさ
⑶ 内部不正による情報漏洩リスクに対する情報セキュリティ体制の脆弱性
⑷ ProCX と BS の関係性に由来する問題
3 NTT 西日本について
⑴ 内部不正リスクへの対応状況
⑵ 情報セキュリティ自主点検の取扱い
⑶ グループ各社の第 2 線との役割分担
⑷ グループ全体での経営資源の配分の歪み

第6 本件過去調査の検証
1 本件過去調査の概要及びこれを調査対象とする必要性
⑴ 本件過去調査の概要
⑵ 発覚後社内調査の経過及び本件過去調査を当調査委員会の調査対象とする必要性
2 本件過去調査に対する総括
3 本件過去調査に至る経緯
⑴ A 社における情報漏洩の発生認知及び社内調査の実施等
⑵ A 社から ProCX に対する本件調査依頼
4 本件過去調査の実施体制等
⑴ 本件過去調査の関与者等
⑵ 各社におけるエスカレーションの欠如及び理由
5 本件過去調査の事実経過等
⑴ 本件過去調査の概要
⑵ 本件調査担当者らの役割分担及び情報の偏在
⑶ 本件調査担当者らによる各調査及び各回答内容
6 本調査において発見された本件過去調査における不適切回答及びその理由・経緯
⑴ 本件調査担当者らによる調査及び回答の問題点
⑵ ログの改変及びこれに至る経緯(5 月 11 日回答・6 月 1 日回答)
⑶ USB ポートの設置状況と暗号化ソフトの導入状況に関する虚偽回答(5 月 11 日回答)
⑷ 作業体制に関する虚偽回答(5 月 11 日回答)
⑸ データ消去の状況に関する虚偽回答(5 月 11 日回答・6 月 1 日回答・7 月 1 日回答)
⑹ 本件体制変更依頼に対する虚偽回答(6 月 1 日回答)
⑺ 4 月 21 日回答の〈補記〉について
7 本件過去調査の問題点に関する分析・評価
⑴ BS における情報セキュリティ管理体制の欠如及びこれを取り繕おうとする動機.
⑵ 調査体制における問題点
⑶ クライアントと対話をする姿勢の欠如
⑷ 内部からの情報流出の事実を認識しつつ積極的に隠蔽したとまでは認められないこと
8 本件過去調査に対する評価

第7 情報セキュリティ TF による緊急点検
1 概要
2 BS における本件システムの緊急点検
⑴ 情報セキュリティ TF 発足前の対応
⑵ 情報セキュリティ TF による対応
3 ProCX における本件システムの緊急点検
4 ⑴ 情報セキュリティ TF 発足前の対応
5 ⑵ 情報セキュリティ TF による対応
6 その他のシステムにおける緊急点検
⑴ 情報セキュリティ TF 発足前の対応
⑵ 情報セキュリティ TF による対応
7 本緊急点検を踏まえた再発防止策等の策定

第8 NTT 西日本グループの役職員に対するアンケート調査
1 アンケートの目的
2 アンケート調査の範囲及び方法
⑴ アンケート調査の範囲
⑵ アンケート調査の方法
3 本アンケート調査の結果及びその分析
⑴ 役職員のリスク認識及び評価
⑵ 日常管理
⑶ 自主点検
⑷ 目的外利用の監視
⑸ 外部記録媒体の遮断措置
⑹ インシデント対応
⑺ システム管理者又は運用保守従業者を取り巻く状況
⑻ 組織風土
⑼ 本件不正持ち出しを受けて

第9 再発防止策等の提言
1 BS について
⑴ 技術的な管理措置についての対処策
⑵ 情報セキュリティ体制のガバナンス面の改善
⑶ 経営上の課題(人事施策等)
2 ProCX について
⑴ 委託先管理体制の見直し
⑵ 緊急点検により確認された技術的な管理措置に係る不備の是正
⑶ 顧客情報の漏洩に対する危機意識の浸透及び教育
⑷ 情報セキュリティ体制のガバナンス面の強化
⑸ エスカレーションの徹底に向けた改善
⑹ ProCX と BS の関係性の明確化
3 NTT 西日本
⑴ グループ全体での情報セキュリティ体制上の技術的な管理措置に係る不備の是正
⑵ 今後グループとして取り組むべきシステム上の対処策
⑶ ガバナンス面の改善
⑷ 情報セキュリティに係るルールの見直し
⑸ 経営上の課題(人事施策、経営資源の配分等)
⑹ 組織文化の変革



 

 

 


 

記者会見の様子...

TBS NEWS DIG

・2024.02.29 【LIVE】NTT西日本が会見 森林社長3月末で引責辞任へ 900万件個人情報漏えい問題受け 再発防止策など説明

 

YouTube

KYODO

・2024.02.29 NTT西社長、引責辞任 顧客情報流出、3月末

・2024.02.29 速報】NTT西日本社長が引責辞任 子会社の顧客情報流出で 3月末

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.30 いまさらですが... 10年間で900万件の個人データの持ち出し?NTTグループ (2023.10.17)

 

|

« 米国 英国 オーストラリア カナダ ニュージーランド、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国がロシアや脆弱性についてのいくつかのアラートを出していますね。。。 | Main | 米国 全米規制公益事業委員会協会 (NARUC) 電力供給システムと分散型エネルギー資源 (DER) の安全性基準 (2024.02.22) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 英国 オーストラリア カナダ ニュージーランド、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国がロシアや脆弱性についてのいくつかのアラートを出していますね。。。 | Main | 米国 全米規制公益事業委員会協会 (NARUC) 電力供給システムと分散型エネルギー資源 (DER) の安全性基準 (2024.02.22) »