KDDI株式会社は12月11日、KDDIグループの情報セキュリティに関する活動を紹介する「サイバーセキュリティアニュアルレポート2023」を公開した。
同レポートは、KDDIがサイバーセキュリティへの取り組みで重視しているガバナンス、技術、サービスの3つの視点と、情報セキュリティマネジメント体制や社内規程、セキュリティ強化に向けた監視技術、サイバー攻撃対策、デジタルサービスの不正利用対策などのセキュリティ施策を紹介している。
同レポートによると、KDDIの情報セキュリティ体制は経営層を委員長に、営業、技術、コーポレートの各部門長を委員とする「情報セキュリティ委員会」を設置し、KDDIおよびKDDIグループ全体で統一的な情報セキュリティを確保しているという。さらに、情報セキュリティ委員会に配属されたKDDIやグループ会社の各部門の代表者からなる「情報セキュリティ推進者会議」および「KDDIグループ情報セキュリティ推進者会議」を設置し、情報セキュリティの管理状況の把握と、KDDIグループ全体で情報セキュリティ強化のための施策を展開することができるようにしている。
また、KDDIでは、ISMS認証(ISO/IEC27001:2013)を取得しており、情報セキュリティマネジメントサイクルを導入して
いる。情報セキュリティマネジメントサイクルでは、計画段階で情報セキュリティポリシーを策定し、PDCAサイクルに従って、チェックや見直し、改善を実施している。
KDDIは、情報セキュリティ関連規範の遵守と適切な運用を確認するために、「システムセキュリティ監査」「ISMS内部監査」「業務委託先監査」の三つの監査を実施している。
KDDIでは、セキュリティ人財育成プログラムを整備し、体系的なセキュリティ人財育成に取り組んでおり、社員の成長とキャリアの発展を重視するためにIPA運営の国家資格「情報処理安全確保支援士(登録セキスペ)」の取得に向け、専門的なトレーニングや学習支援の提供などのサポートを行っている。KDDIグループにおける2023年4月時点での資格登録者数は274名となっている。
同レポートでは、KDDIのセキュリティ強化に向けた施策として「監視技術の高度化」や「CSIRTの取り組み」、「グループセキュリティガバナンスの再構築」について紹介している。
KDDIグループでは2018年度から2022年度まで、「外部からのサイバー攻撃に伴う電気通信サービスの停止件数」「外部からのサイバー攻撃に伴う個人情報流出件数」「個人情報の漏えい件数」すべて0件とのこと。
