- PDF Free Download

Size: px

Start display at page:

Download ""

ぜんすけにかどり
4 years ago
Views:

5 NEC Security Vision 社会から信頼される情報セキュリティリーディングカンパニーを目指して人と地球にやさしい情報社会セキュアな情報社会の実現お客さまへの価値提供ステークホルダーへの適切な報告情報開示信頼される製品サービス情報セキュリティソリューションの提供社会的責任セキュリティを考慮した開発プロセスお客さまお取引先からお預かりした情報資産を守るお取引先と連携した情報セキュリティ対策情報セキュリティマネジメント情報セキュリティ人材情報セキュリティガバナンス各組織でのマネジメントシステム情報セキュリティ基盤 NECグループおよびお取引先 05

17 HDD USB HDD USB HDD USB HDD USB HDD USB

18 お取引先と連携した情報セキュリティ NECグループではお客さま情報を守るためにお取引先と一体となって情報セキュリティ対策の浸透活動や点検および是正活動を推進しお取引先における情報セキュリティのレベルアップをはかっています 1 取り組み体系 NECグループの事業活動はお取引先と連携して遂行されます ①契約管理 ②再委託管理 ③作業従事者の管理 ④情報の管理お取引先の技術力だけでなく情報セキュリティも一定水準以上で ⑤技術対策の導入 ⑥セキュア開発運用 ⑦点検の実施あることが非常に重要であると考えています NECグループとしての7項となりますお取引先に要求している情報セキュリティ対策は大きく分類してお取引先への情報セキュリティ対策 NECグループ 1 契約管理 2 再委託管理 3 作業従事者の管理 4 情報の管理 5 技術対策の導入 6 セキュア開発運用７点検の実施お取引先再委託原則禁止秘密保持義務個人情報保護等電子誓約やむを得ず再委託する場合は事前承認インストラクターお客様対応作業における遵守事項の徹底秘密情報管理ビデオ秘密情報管理実施要領の徹底セキュアな作業環境必須対策と推奨対策セキュアな製品システムセキュリティを考慮した製品システムサービスの提供 DB PDCA 情報セキュリティ基準の実施状況を点検訪問書類 ❶ 契約管理セキュリティを考慮した開発運用 NECグループから業務を委託するお取引先との間で秘密保持委託先お取引先義務などを含む会社間の包括契約基本契約を締結しています ❷ 再委託管理開発業務開発運用業務共通 WebAP関連のガイドお取引先から他社への再委託は基本契約で禁止しており再委託の際は委託元から書面による事前承諾を得ることとしています ❸ 作業従事者の管理コーディング NECグループからの委託業務に従事する作業者が守るべきセキュリティ対策をお客様対応作業における遵守事項として定め自社に対し遵守を誓約いただくことで対策実施の徹底を推進しています ❹ 情報の管理設計コーディング設定コーディング規約運用保守関連のガイド情報収集および脆弱性への対処開発運用対象の製品システムサービス物理的論理的セキュリティの確保運用業務セキュア開発運用チェックリスト脆弱性情報 DB セキュアな運用保守作業セキュリティ対策の実施状況確認診断実施および脆弱性診断ツール検出された脆弱性への対処セキュリティテストの徹底開発運用者 NECグループからの委託業務で取り扱う秘密情報の管理について秘密情報管理実施要領秘密表示持ち出し管理用済み後廃棄返還等を定め購入要件として実施の徹底を推進しています ❺ 技術対策の導入マネジメント対策との両輪として技術対策を必須の対策可搬型電子媒体の全体暗号化などと推奨の対策情報漏えい防止システムおよび委託元が提供または承認した外部サービスを利用外部サービス外部サービス提供ベンダー国名を含めて委託先に確認後再委託再委託先海外マルウェア感染の確認後納品委託元 NECグループ NECグループセキュア情報共有基盤に分けて導入を依頼しています 18 ❻ セキュア開発運用 ❼ 点検の実施 2013年度から NECグループのお客さま向けの製品システム NECグループのお取引先に対する情報セキュリティの要求水準をサービスの開発運用についてお取引先様向けセキュア開発運用定義した基準書お取引先様向け情報セキュリティ基準 2014年実施要領を定めセキュリティを考慮した開発運用の実施を依頼し度改訂に基づきグループ全体の標準的な仕組み体制手順のています例えばセキュアコーディング規約による開発や製品もと毎年１回新規取引先は口座開設時お取引先の情報セキュリサービスのリリース前の脆弱性診断の実施などですティ対策実施状況を点検し適宜改善指導を行っています

20 セキュアな製品サービスの提供セキュリティの観点からベタープロダクツベターサービスをお客さまに提供するため NECグループでは製品サービスにおける高品質なセキュリティを確保するためのさまざまな活動に取り組んでいます 1 セキュリティを考慮した開発運用の推進 ❶ 全社推進体制セキュア開発運用推進体制施策お客さまに提供する製品サービスに関してセキュアな開発運用を実施できるようにするため NECグループ全社としてセキュア開発運用推進体制を構築しています本推進体制はビジネスユニットやグループ会社の代表者からなるセキュア開発運用推進WG ワーキンググループと各事業部門に配置したセキュア開発運用推進者約400名で構成されます WGでは製品サービスの脆弱性や設定セキュア開発運用全社推進体制事業部門セキュア開発運用推進WG 製品開発部門事業部門代表者品質開発標準化セキュリティ部門代表者により全社推進方針を討議施策展開システム構築部門各事業部門の推進者サービス提供部門ミスシステム不具合に起因する情報セキュリティ事故の撲滅に向けたセキュア開発運用施策案の討議や施策進捗状況の共有などを行います本WGで決定されたセキュア開発運用施策はセキュア開発運用推進連絡会議を通じて各部門の推進者に展開され推進者が部門内へ施策の周知徹底実施状況の点検改善などを継続的に実施していますセキュア開発運用全社推進施策施策対象セキュア開発運用実施基準の適用開発運用プロセス部門標準へセキュリティ要件の組み込みガイドチェックリスト脆弱性対策実施診断ツール情報管理製品サービス可視化システムによる点検推進者開発者品質担当者セキュア開発運用教育の受講 ❷ 全社標準の整備 NECグループの全社標準である日本電気工業標準(NIS:NEC が実施すべきセキュア開発運用に関する取組内容部門内の推進体 Corporation Industrial Standards)の一つとしてセキュア開発制構築部門プロセス組込セキュア開発運用関連基準などについて運用管理規程を制定しています本規程では NECグループの各部門規定していますセキュア開発運用管理規程推進体制整備セキュア開発運用関連基準ビジネスユニットセキュア開発運用対象の決定セキュア開発運用推進責任者事業部スマートデバイス指示情報展開パッケージ製品お客さま向け一般システム重要インフラシステムセキュア開発運用推進者セキュリティ対策の決定指示情報展開開発運用プロジェクト部門プロセス組込企画提案要件定義受注審査基準チェックリスト 20 設計実装テスト出荷審査開発標準技術ガイド出荷診断ツール脆弱性診断可用性対策脆弱性情報収集対処セキュアNW構築不正侵入監視マルウェア対策運用対策実施内容の点検保守部門標準チェック項目に基づく点検点検システムに登録改善分析問題PJ特定

25 Knowledge / skill Originality Effectiveness

28 ATM TV TV POS

32 Emergency & Disaster Management Inter-Agency Collaboration Critical Infrastructure Management Information Management ID Citizen Services & Immigration Control Law Enforcement Public Administration Services

33 ID

36 NEC Corporation 2014