- KDDIホーム
企業情報 - KDDIについて
- 公開情報
- セキュリティポータル
- 安心・安全なサービス提供に向けた取り組み
安心・安全なサービス提供に向けた取り組み
このページを印刷する
グループ全体での情報セキュリティの強化グループ全体での情報セキュリティの強化
- サイバー攻撃に向けた対策
- 個人情報漏洩に向けた対策
KDDIは2009年以降、全社でISMS27001 (注1) を取得しています。また、グループ会社に対しては、2011年度に「KDDIグループ情報セキュリティ共通基準」を制定し、2017年度からは、より厳しいKDDIの基準をグループ会社全社へ拡大しました。これによりKDDIグループ会社のセキュリティレベルの向上を図るとともに、グループ会社のセキュリティ状況を定期的に監査することにより、KDDIグループ全体での情報セキュリティ・ガバナンスの強化に継続的に取り組んでいます。また、2018年2月にはKDDIデジタルセキュリティ株式会社を設立し、専門的な訓練を受けたセキュリティエンジニアがサイバー攻撃への対応にあたっています。
KDDIが取得しているISMS認証
| 登録番号 | 組織名 | 初回登録日 |
|---|---|---|
| IS-95253 | KDDI株式会社 (注2) | 2005年6月7日 |
情報セキュリティリスクの低減に向けた取り組み
- サイバー攻撃に向けた対策
- 個人情報漏洩に向けた対策
重要度に応じた情報資産の管理
KDDIでは、社内の情報セキュリティ規程に基づいて情報資産の分類を行い、その重要度に応じた情報資産の取り扱い方法を定めるとともに、セキュリティ対策を適用することで、適切な情報資産管理を実現しています。例えば、お客さまの情報については、インターネットからのアクセスが遮断された端末のみで取り扱い可とし、厳格な権限管理を施す等、限られた人しか当該情報資産にアクセスすることはできません。また、重要な情報と分類された情報資産については、強固な暗号化を施すことで、社外の第三者による閲覧ができないように情報資産を保護しています。
KDDIではこのような適切なセキュリティ対策を、情報資産の重要度に応じて実施することにより、徹底した情報資産の管理を実現しています。
全従業員を対象とした情報セキュリティ教育
KDDIでは、役員を含む全従業員を対象としたeラーニングによる情報セキュリティ教育を実施しています。国内外で発生しているサイバー攻撃の事例や従業員を狙った攻撃の手口など、最新の脅威動向を踏まえて毎年内容をアップデートし、従業員のスキル及び意識向上を促す取り組みを進めています。
上記に加えて、新入社員を対象とした研修や新任ライン長を対象とした研修など、階層別の教育も行っており、情報セキュリティ事故防止に向けた様々な情報セキュリティ教育を実施しています。
セキュリティ審査および脆弱性診断
- サイバー攻撃に向けた対策
KDDIでは、事業を担うシステムが守るべきセキュリティ対策の基準をセキュリティ規程として定め、規程への準拠状況を審査しています。
本セキュリティ規程には、物理的なハードウエアの設置場所や、外部ネットワークとの接続、ソフトウエアのバージョン、認証・アクセス制御方式、ログの取得および保管など、KDDIグループが企画、開発、運用するシステムに必要なセキュリティ要件の細目、解釈について、具体的に記載しています。
本審査を、システムの企画から開発への移行フェーズにおいて厳格に実施することで、企画・設計段階からセキュリティ対策を考慮した「セキュリティバイデザイン」を実現しています。
また、システムの運用フェーズにおいては、サーバやネットワークに存在する問題点を診断する「ネットワーク脆弱性診断」を実施しています。
ネットワーク脆弱性診断では、さまざまなソフトウエアの脆弱性情報をシグネチャデータベースとして蓄積した専用の診断装置を用い、対象サーバやネットワーク機器に存在しているセキュリティ上の問題点を確認しています。
確認された問題点は、リスクに基づきレベル分けを行い、セキュリティパッチの適用や設定の見直し等の是正を図っています。
このように企画、開発、運用の各段階においてシステムのセキュリティを確保する取り組みを通じて、安心・安全なサービスの提供に努めています。
セキュリティ審査および脆弱性診断の流れ
セキュリティ監視
- サイバー攻撃に向けた対策
KDDIでは、セキュリティオペレーションセンター (SOC) を中心に、全国を統合的に監視しています。
大規模障害発生時は、統括拠点にて全体統制を行い、復旧対応の社内外への指示および情報展開を行います。この全体統制の中で、不正アクセスや改ざん、標的型攻撃等のサイバー攻撃の脅威に関しては、専門的な訓練を受けたセキュリティエンジニアが24時間365日の体制で監視にあたっています。セキュリティ監視機器から出力されるログを監視・分析し、膨大なログの中から攻撃の兆候を見つけ出します。また不正アクセスや改ざん等の危険なインシデントが発生した場合、リアルタイムにこれを検知するとともに、必要に応じてCSIRTおよび社内の関係部門へ迅速に連絡を行い、対処を指示します。
KDDI SOC (Security Operation Center)
CSIRTの取り組み
- サイバー攻撃に向けた対策
KDDIは、セキュリティインシデントに対応する専門組織としてCSIRT (Computer Security Incident Response Team) を設置しています。
CSIRTは、グループ会社のKDDIデジタルセキュリティ株式会社と連携し、インシデント情報の受け付け、インシデント対応のハンドリング、対応支援、再発防止策の検討などに取り組んでいます。また、一般社団法人日本シーサート協議会へ加盟しており、国内外のCSIRT組織と連携し、動向や対策方法などの情報共有を図っています。
サイバー攻撃は日々高度化しているため、脆弱性や攻撃情報などの収集を強化し、情報分析の強化、サイバー攻撃対応のさらなる自動化・高度化などを進める事で、新たな脅威への対応を図っていきます。
情報共有機関・社外報告先との連携体制図
人財育成
- サイバー攻撃に向けた対策
KDDIでは、キャリアパス明確化のために、セキュリティ専門人財のロールモデルを定義しています。
社外組織との人事交流や専門性の高い資格取得なども含め、幅広い知見の習得や、専門性の深耕を推進しています。
情報セキュリティに関する研究開発の推進
- サイバー攻撃に向けた対策
- 個人情報漏洩に向けた対策
暗号解読コンテストでの世界記録
KDDIは、安心して利用できる情報通信システムの構築に貢献するため、解読アルゴリズムの高速化と、より高速で安全な次世代公開鍵暗号実現に向けた研究開発を推進しています。
インターネットをはじめとする情報通信システムの安心・安全を支える基盤技術である公開鍵暗号技術はネットショッピングやICカードなどで日常的に利用されています。しかし近年、実用的な量子コンピュータの登場により、暗号解読が高速に計算できるようになり、今後は量子コンピュータに対しても安全性を確保できる公開鍵暗号方式が必要とされています。次世代公開鍵暗号として符号暗号を利用する際、安全な次元の大きさを決定するために、解読可能な次元の限界を知ることが重要です。
KDDIは、2022年2月、暗号解読コンテスト「Challenges for code-based problems」において、540次元および550次元のSyndrome Decoding問題を、世界で初めて解読しました。
また、解読アルゴリズムの改良ならびに並列マルチスレッド環境に適した最適化を行い、解読処理を約226倍高速化しました。
SSIRTの取り組み
- サービス不正利用に向けた対策
ここ数年、EメールやSMSを使って偽サイトへ誘導し、お客さまの認証情報を窃取することで不正行為を働くフィッシング詐欺が急増しています。KDDIでは、このような不正利用に対応する専門組織としてKDDI-SSIRT (Service Security Incident Readiness & response Team) を設置して対策強化に取り組んでいます。
フィッシング詐欺に関するお客さまへの情報発信や従来からの迷惑メール対策に加え、偽サイトの発生を検知し関連機関と連携することで、偽サイトによる被害抑止に努めています。
また、正規利用者のアカウントを乗っ取る不正なログイン行為に対して、24時間365日監視する体制を整備し、対策強化を進めています。
更に新たなサービスの検討プロセスに不正利用対策の観点で専門家が監査するプロセスを導入し、サービスにおける認証等の不備を発生させないチェック体制も構築しています。
フィッシング詐欺の手口は日々巧妙化しているため、継続的に各サービスのプロアクティブなセキュリティ強化を進めると共に、新たな脅威への対策にも取り組んでいきます。