情報セキュリティとプライバシーの保護
KDDIのアプローチ
近年、スマートフォンの普及やビッグデータ・AIの技術が発展したことなどにより、さまざまな個人情報を活用した新しいサービスが検討されています。しかし同時にプライバシーに関わる問題も多数存在しており、各国で規則・法律の整備が進んでいます。
KDDIは「個人のプライバシー保護」と「パーソナルデータの利活用」の両立を目指すため、プライバシーポリシーの公表や、取得する情報と利用目的を明示し、同意を取得するなど、個人情報の取り扱いについてお客さまに示すとともに、ゼロ・トレランス・ポリシーに基づき、その保護を徹底しています。加えて2020年1月に「プライバシーポータル」を開設し、KDDIのお客さまの情報利用についてわかりやすく解説することで、透明性を確保するとともに、ご理解を深めていただく取り組みを行っています。また、プライバシーポータルは2021年10月にリニューアルを行い、継続的な情報提供・内容の改善に努めています。
さらに、通信インフラの不正使用により障害を引き起こされるサイバー攻撃から自らの通信インフラを守るため、KDDIは、外部攻撃に対する専門組織による24時間365日での監視など、常に適切な防御措置を講じており、重要なライフラインを担う通信事業者として、お客さまおよび関係者の信頼を得るよう努めています。
また、更なる適正な顧客情報の取り扱いを目指し、社内組織の整備、第三者による評価の実施、サービス導入前のプライバシー影響評価(PIA)の導入などの対応を実施しています。
情報セキュリティ管理体制
情報資産に関わるグループ全体での統一的な情報セキュリティの確保を目的に、取締役を委員長とした「情報セキュリティ委員会」を設置し、経営層および営業・技術・コーポレートの各部門長を委員とする全社的な組織体制で運用にあたっています。
この体制により、情報セキュリティの管理状況を的確に把握するとともに、情報セキュリティ強化のための各種施策をグループ全体に迅速に展開できる体制を整備しています。
また、KDDIは情報に対する適切な管理を重要な経営課題として認識し、情報セキュリティを確保するために、情報セキュリティ管理体制、情報セキュリティ対策の実施、情報セキュリティに関する社内規定の整備など、情報セキュリティに関する基本方針を定めた「セキュリティポリシー」を定めています。
情報セキュリティ管理体制図
グループ全体での情報セキュリティの強化
KDDIは2009年以降、全社でISMS27001(※1)を取得しています。また、グループ会社に対しては、2011年度に「KDDIグループ情報セキュリティ共通基準」を制定し、2017年度からは、より厳しいKDDIの基準をグループ会社全社へ拡大しました。これによりKDDIグループ会社のセキュリティレベルの向上を図るとともに、グループ会社のセキュリティ状況を定期的に監査することにより、KDDIグループ全体での情報セキュリティ・ガバナンスの強化に継続的に取り組んでいます。また、2018年2月にはKDDIデジタルセキュリティ株式会社を設立し、専門的な訓練を受けたセキュリティエンジニアがサイバー攻撃への対応にあたっています。
- ※1ISMS認証(ISO/IEC27001: 2013)。情報セキュリティに対する第三者適合性評価制度。
情報セキュリティ全体の向上に貢献するとともに、国際的にも信頼を得られる情報セキュリティレベルの達成を目的とした制度
KDDIが取得しているISMS認証
| 登録番号 | 組織名 | 初回登録日 |
|---|---|---|
| IS 95253 | KDDI株式会社(※2) | 2005年6月7日 |
- ※2コーポレート、技術・営業、お客さまサポート部門および財団法人国際電信電話共済会(現:一般財団法人KDDIグループ共済会)、KDDI健康保険組合、KDDI企業年金基金、KDDIまとめてオフィス株式会社、日本通信エンジニアリングサービス株式会社、株式会社KDDIチャレンジドを含む
パーソナルデータの取り扱いと利活用の考え方
KDDIは、お客さまの個人情報の取り扱いおよびビッグデータの活用において、個人情報保護法その他の関連法規を遵守した社内規程を整備、運用し、各サービスの利用規約、プライバシーポリシーに則り適切に取得、管理、利用を行っています。
お客さまの大切な情報は、お客さまの体験価値向上や社会の持続的発展に役立てるべく活用させていただき、活用にあたっては、お客さまにご理解いただけるよう利用方法の詳細な説明や適切な安全管理措置を講じるなど、責任ある企業活動を行っています。
AI(人工知能)の活用について
KDDIは、AI(人工知能)を活用したお客さま体験価値のさらなる向上や社会の持続的発展に貢献するため、「KDDI Accelerate 5.0」の一環として、「KDDI グループAI開発・利活用原則」を2021年8月30日に策定しました。また、本原則に基づくAIサービス開発を実現するため、ガイドライン整備やアセスメントの活動を推進しています。KDDIグループでは本原則の啓発活動を進めると同時に、生成系AIをはじめとした社内業務でのAI活用の推進と当該活動で得られた知見を踏まえ、AIの研究開発やお客さまへの安全・安心なAIサービスの提供を実現していきます。
- 2021年8月30日ニュースリリース
- 2023年5月25日ニュースリリース
- 2024年3月18日ニュースリリース
情報セキュリティリスクの低減に向けた取り組み
重要度に応じた情報資産の管理
KDDIでは、社内の情報セキュリティ規程に基づいて情報資産の分類を行い、その重要度に応じた情報資産の取り扱い方法を定めるとともに、セキュリティ対策を適用することで、適切な情報資産管理を実現しています。例えば、お客さまの情報については、インターネットからのアクセスが遮断された端末のみで取り扱い可とし、厳格な権限管理を施すなど、限られた人しか当該情報資産にアクセスすることはできません。また、重要な情報と分類された情報資産については、強固な暗号化を施すことで、社外の第三者による閲覧ができないように情報資産を保護しています。
KDDIではこのような適切なセキュリティ対策を、情報資産の重要度に応じて実施することにより、徹底した情報資産の管理を実現しています。
情報セキュリティ管理・対策
セキュリティ監査および脆弱性診断
KDDIでは、事業を担うシステムが守るべきセキュリティ対策の基準をセキュリティ規程として定め、規程への準拠状況を審査しています。
本セキュリティ規程には、サーバやネットワーク機器の物理的な設置場所や、外部ネットワークとの接続、ソフトウエアのバージョン、認証・アクセス制御方式、ログの取得および保管など、KDDIグループが企画、開発、運用するシステムに必要なセキュリティ要件の細目、解釈について、具体的に記載しています。
本監査を、システムの企画から開発への移行フェーズにおいて厳格に実施することで、セキュリティの確保に繋げています。
また、システムの運用フェーズにおいては、サーバやネットワークに存在する問題点を診断する「ネットワーク脆弱性診断」を実施しています。
ネットワーク脆弱性診断では、さまざまなソフトウエアの脆弱性情報をシグネチャデータベースとして蓄積した専用の診断装置を用い、対象サーバやネットワーク機器に存在しているセキュリティ上の問題点を確認しています。
確認された問題点は、リスクに基づきレベル分けを行い、セキュリティパッチの適用や設定の見直しなどの是正を図っています。
このように企画、開発、運用の各段階においてシステムのセキュリティを確保する取り組みを通じて、安心・安全なサービスの提供に努めています。
セキュリティ監査および脆弱性診断の流れ
セキュリティ監視
KDDIでは全国の電気通信設備を統合監視しており、大規模障害発生時には各拠点と連携し、全体統制、復旧対応の指示および情報展開を行います。万が一、サイバー攻撃を受けた場合は、この統合監視体制とセキュリティ監視を連携することで迅速に対処できる体制を構築しています。
セキュリティ監視では、不正アクセスや改ざん、標的型攻撃などのサイバー攻撃の脅威に対して専門的な訓練を受けたセキュリティエンジニアが24時間365日の体制で監視にあたっています。セキュリティ監視機器から出力されるログを監視・分析し、膨大なログの中から攻撃の兆候を見つけ出します。また、不正アクセスや改ざんなどの危険なインシデントが発生した場合、リアルタイムにこれを検知するとともに、必要に応じてCSIRTおよび社内の関係部門へ迅速に連絡を行い、対処を指示します。
セキュリティ監視の様子
CSIRTの取り組み
KDDIは、セキュリティインシデントに対応する専門組織としてCSIRT(Computer Security Incident Response Team)を設置しています。
CSIRTは、グループ会社のKDDIデジタルセキュリティ株式会社と連携し、インシデント情報の受付、インシデント対応のハンドリング、対応支援、再発防止策の検討などに取り組んでいます。また、一般社団法人日本シーサート協議会へ加盟しており、国内外のCSIRT組織と連携し、動向や対策方法などの情報共有を図っています。
なお、万が一、情報流出などの情報セキュリティ事故が発生した際は、情報セキュリティ委員会の下に設置される事故対策会議のメンバーとして、社内関係部門などと連携し対応にあたります。
サイバー攻撃は日々高度化しているため、脆弱性や攻撃情報などの収集を強化し、情報分析の強化、サイバー攻撃対応のさらなる自動化・高度化などを進める事で、新たな脅威への対応を図っていきます。
情報共有機関・社外報告先との連携体制図
SSIRTの取り組み
近年、企業を装うEメールやSMSを送ることで、URLリンク先の偽サイトへ誘導し、お客さまの認証情報を詐取した上でお客さまの情報を不正に利用するなど、いわゆるフィッシング詐欺が増加の一途をたどっています。また、偽サイトからマルウェア(危害を及ぼす偽アプリ)をインストールさせる高度な手口も常態化しています。KDDIでは、このような企業を装ってサービスを悪用しお客さまに危害を及ぼすサービスの不正利用に対応する専門組織としてKDDI-SSIRT(Service Security Incident Readiness & response Team)を設置して対策強化に取り組んでいます。
KDDI-SSIRTでは、こうしたフィッシング詐欺などに対抗するため、従来からの迷惑メール対策に加え、お客さまへの情報発信や偽サイトの発生を能動検知し関連機関と連携して対処するなど、偽サイトによる被害抑止に取り組んでいます。
また、正規利用者のアカウントを乗っ取る不正なログインを24時間365日監視する体制を整備し、不正ログイン対策にも取り組んでいます。
これらに加えた当社独自の運用として、新たなサービスの検討プロセスに不正利用対策の観点での専門家による監査を導入し、サービスにおける認証などの不備を発生させないチェック体制も整備し、一層の対策強化を図っています。
フィッシング詐欺の手口は日々巧妙化しているため、悪意者の動向に注視しつつ、継続的に当社サービスのセキュリティ強化を進めると共に、新たな脅威への対策にも取り組んでいきます。
セキュリティ人財育成
KDDIでは、お客さまのデータや提供しているサービスをサイバー攻撃から守るために、セキュリティ人財育成プログラムを整備し、体系的なセキュリティ人財育成に取り組んでいます。本プログラムにおいて、社員の成長とキャリアの発展を重視しIPA(独立行政法人情報処理推進機構)が運営する国家資格「情報処理安全確保支援士(登録セキスペ)」の取得を積極的に促しており、専門的なトレーニングや学習支援を提供などの資格取得に向けた準備をサポートしています。2024年10月時点でのKDDIグループにおける資格登録者数は約300人と、国内有数の人数となっています。
人財育成は、社員の意識を向上するとともに、社員自体の成長を促進するための重要な取組みです。資格取得者が増えることでKDDIの専門性と技術力が飛躍的に向上していくことを目的としています。
情報処理安全確保支援士 資格登録者数 309名
- ※IPA公開名簿を元に、勤務先名称「KDDI株式会社」と登録のあるものを抽出
- ※2024年10月集計
そのほか、社員1万1千人を対象に階層別Eラーニングおよび集合型の情報セキュリティ研修を実施し、社員のセキュリティ意識およびスキル向上に継続的に取り組んでいます。
情報セキュリティ研修例
| 内容 | 対象者 | 実施方法 |
|---|---|---|
| 新入社員向けセキュリティ研修 | 新入社員 | 集合研修 |
| セキュリティ基礎研修 | 全従業員 | Eラーニング |
| ライン長/情報セキュリティ推進者向けセキュリティ研修 | ライン長/情報セキュリティ推進者 | Eラーニング/集合研修 |
情報セキュリティに関する開発・研究の推進
kCAPTCHAによる不正検知の取り組み
kCAPTCHA(ケイキャプチャ)は生成AIの活用で従来よりも視認性の高い認証画像を利用したログイン認証技術です。KDDIでは、高度化するサイバー攻撃の動作を検知・防止するため2024年11月12日からkCAPTCHAをau IDログイン認証に導入しました。
KDDI総合研究所で開発されたこの技術は近年の生成AIなどの先端技術の悪用によるインターネットへのサイバー攻撃が高度化に対応するために研究・開発されました。これまでサイバー攻撃への対策としては「ゆがんだ文字を読み取る」「ある題材の描かれた画像を探す」など「機械(コンピュータプログラム)には解けないが、人間に解ける問題を出す」ことで、機械からの攻撃を防ぐことを目的とした「CAPTCHA(キャプチャ)」がログイン認証時などによく用いられています。
しかし、AIを使った技術の進歩により機械の回答能力が向上しており、従来型の「CAPTCHA」では十分に不正なログインを防御できなくなっています。昨今ではログイン認証時に出題する問題が複雑化しており、利用者が回答する際にも判別しづらくなっています。AIを使った新たな時代の攻撃はウェブサイトを運営する様々な企業にとって深刻な脅威となっています。
kCAPTCHAはAIなど高度化する機械攻撃を高精度に検知可能にするために研究・開発されました。kCAPTCHAによって機械攻撃を検知し対策をとることで、なりすましやフィッシング、サービスの乱用など事業継続を妨げる様々な不正アクセスを防ぐことができるようになっています。
DDoS攻撃の可視化による防御力向上の試み
攻撃者の手法は年々進化しており、KDDIでは新たなDDoS攻撃への対策として「可視化」を進めています。具体的には、攻撃の発生情報を調査し、防御方法を検証するために、AI技術と攻撃の可視化技術を活用したDDoS対策に取り組んでいます。これまでは単に攻撃の発生を確認し、特定の攻撃を防御することが可能でしたが、特定のアドレスに対する攻撃を可視化することで、攻撃と同時に不正なアクセスを試みる通信も観測できるようになります。さらに、DDoS攻撃を可視化することで、これまでは量でしか把握できなかった攻撃の発生状況を時系列で確認できるようになります。これにより、事前に攻撃の挙動を調査し、防御方法に役立てることが可能です。また、特定の攻撃によっては、実際の攻撃の予兆が見られることもあり、これらの情報は次期DDoS対策システムの開発に活用されますこれらの可視化の取り組みを通じて、KDDIはDDoS対策システムの開発と運用に取り組んでいます。
DDoS攻撃の可視化
通信分野におけるSBOM導入に向けた実証事業
KDDIでは、2023年度に総務省から「通信分野におけるSBOMの導入に向けた調査の請負」事業を受託し、通信分野へのSBOM(Software Bill of Materials)導入実証に取り組んでいます。
近年、通信分野におけるソフトウエアは複雑な組合せへと変化しており、構成管理が煩雑になっています。このような事情を踏まえ、ソフトウエアに脆弱性が発見された際の対応を迅速化するため、通信分野においてもソフトウエア部品などを一覧化したSBOMが注目されています。
そこで、本事業においては、KDDI総合研究所、富士通株式会社、日本電気株式会社、株式会社三菱総合研究所とともに、❶~❸の分担により、通信分野へのSBOM導入に向けた実証を実施しました。
- ❶SBOMの作成(担当:富士通/日本電気)
- ❷SBOMの評価(担当:KDDI/KDDI総合研究所)
- ❸国内外動向の調査および留意事項の作成(担当:三菱総合研究所)
さらに、2024年度は、我が国の通信分野において、SBOMを運用・導入していく上での課題や留意事項などを整理するため、同じ体制のもと本事業に取り組んでいます。
SBOM導入に向けた実証事業の全体概要
超高速共通鍵暗号アルゴリズム「Rocca-S」が世界最速となる2Tbpsの処理性能を達成
Beyond 5G/6Gでは100Gbps超の通信速度を実現することを目標に研究開発が進められており、共通鍵暗号もBeyond 5G/6Gの通信速度と同等以上の処理性能が求められています。また、次世代のサービスを安全に実現するためには、量子コンピュータに対しても耐性のある、高い安全性を持つ暗号アルゴリズムが求められています。「Rocca-S」は、これら2つの要件を満たす暗号アルゴリズムです。
今回、ハードウエア実装による並列化によって回路規模あたりの処理を最適化し、Beyond 5G/6Gで目標とされている通信速度を大幅に超える2Tbpsの処理性能を実現しました。これによって、無線区間よりもさらに高速性が求められるBeyond 5G/6Gコアネットワークへの適用可能性も高まります。今後は、「Rocca-S」の普及を目指します。
なお、本研究は、総務省の「電波資源拡大のための研究開発(JPJ000254)」における委託研究「安全な無線通信サービスのための新世代暗号技術に関する研究開発」の成果の一部です。
Beyond 5G/6G環境でのRocca-S暗号化通信
Rocca-Sと標準暗号方式の処理速度比較
情報セキュリティに関する重大事故の件数
KDDIは、グループ全体で情報セキュリティの強化に努め、情報セキュリティリスクの低減に取り組んできました。
