고객 안전 카지노의 불법 반출에 근거한
NTT 서일본 그룹의 안전 카지노 강화를 위한 노력
진행 상황 안전 카지노
2024년 9월 20일
서일본 전신 전화 주식회사
주식회사 NTT 마케팅 액트 ProCX
NTT 비즈니스 솔루션 주식회사
NTT Business Solutions Corporation에 파견된 전 파견 직원이、고객 안전 카지노를 불법적으로 가져오기、제3자에게 유출된 것에 대해、NTT 서일본 그룹과 관련된 모든 사람들에게 엄청난 불편과 걱정을 끼쳤습니다.、다시 죄송합니다.。
NTT 서일본 그룹에서는、2024년 2월 29일에 발표한 'NTT 서일본 그룹의 안전 카지노 강화를 위한 노력'에 근거하여、각 노력을 수행하고 있는 곳이지만、이 진행 상황에 대해、다음과 같이 발표합니다。
NTT 서일본 그룹으로、향후 유사한 사안을 다시 발생시키지 않도록、소중한 고객 안전 카지노를 다루는 회사로서의 자각을 새롭게、안전 카지노를 안전하게 보호하기 위한 보안 거버넌스 능력을 향상시키기 위한 시스템 구축、안전 카지노 유출을 예방하기 위한 메커니즘 및 시스템 처리 및 비즈니스 흐름 개선에 대한 단절 노력、이 사안을 풍화시키지 않기 위한 모든 직원에 대한 의식의 양성 등、이러한 노력을 일시적이 아니라 지속적으로 수행함으로써、보안 우선 회사가 되려고 합니다。
계속 NTT 서일본 그룹에 관계하는 모든 여러분으로부터의 신뢰 회복에 노력하겠습니다。
NTT 서일본 그룹 전체의 재발 방지 노력
- 추출된 과제를 해결하기 위해、보안 프레임워크(NIST CSF※1, 3라인 모델※2)에 따라、NTT 서일본 그룹 전체에서 다음 4점을 재발 방지의 기둥으로 삼겠습니다。
- 이를 수행함、약 100억 엔 규모의 예산을 할당함과 동시에、약 100명 규모의 새로운 추진 조직 설립、안전 카지노 강화에 노력。
- ※1 미국 국립 표준 연구소(National Institute of Standards and Technology, NIST)가 개발한 사이버 보안에 대한 세계 표준 프레임워크
- ※2 내부 감사인 협회(The Institute of Internal Auditors, IIA)가 제안한 감사 모델
(참고)고객 정보의 부정 반출에 근거한 NTT 서일본 그룹의 안전 카지노 강화를 위한 노력에 대해(2024년 2월 29일 발표)
구체적인 노력
I. NTT 서일본 그룹
(1) 위험의 시각화
- NTT 서일본 그룹 전체 시스템의 IT 자산 위험 관리 시트에、내부 사기 관련 항목 추가、보유 위험의 시각화를 강화합니다。
- 현장에만 맡기지 않고 안전 카지노 추진 조직도 들어가、시스템 구축 시 컨설팅/지원을 실시、위험 관리 프로세스를 기반으로 보안 위험을 확인합니다。
[1] 보안 위험 시각화 및 평가、검토, 청문회, 위험 식별
사이버 공격 위험 대응의 관점에서、인터넷에 연결된 모든 시스템(이하、공개 시스템)에 대한 위험 관리 데이터베이스를 구축하고 위험을 시각화하고 있음을、이번 사안을 토대로、인터넷에 연결되지 않은 시스템(이하、비공개 시스템)을 포함한 고객 안전 카지노를 보유한 모든 시스템으로 확장 중。기존 비공개 시스템에 대한 데이터베이스에 내부 불법 항목 추가、내부 사기에 대한 위험 관리를 시작했습니다。
현재、제1선인 각 시스템 주관 조직에서 리스크 관리 데이터베이스 작성、제2선의 안전 카지노 추진 조직에 의한 시스템 실사를 통해 추가 내용을 수정함으로써、정확도가 높은 위험을 시각화합니다(2024년 7월)。
검토에 대해、시스템 검토 외、각 조직의 업무 프로세스 및、업무를 수행하는 물리적 환경의 위험도 확인、필요한 보안 대책을 제1선이 강구하도록 지원하고 있습니다(2024년 7월)。
<향후의 노력>
시스템 개발의 라이프사이클에 있어서의 각 프로세스(구축전/운용시/개수·갱개시/폐지시)마다、위험 관리 데이터베이스를 사용하여 보안 위험을 확인하는 운영을 시작합니다(2025년 4월 시작)。
(2) 위험 지점 최소화
- 안전 카지노 유출 위험을 줄이기 위해、“계정” 및 “권한”을 집중적으로 관리、”데이터 추출·출출”·”클라우드나 시스템(서버)에의 액세스”등을 일괄 제어 가능한 환경에 순차적으로 통합합니다。
- 이 환경에서 데이터 전달 경로를 제한하고 시각화하여 위험을 최소화。
[1] 안전 카지노 외부 반출 대책、USB 메모리로 안전 카지노 유출 방지
고객 안전 카지노의 취급에 따른 USB 메모리의 원칙 이용 금지를 진행하기 위해、NTT 서일본 그룹 전체 고객 안전 카지노를 보유한 모든 시스템의 긴급 점검、불필요한 USB 메모리를 줄이면서、계속 사용 USB 메모리 안전 카지노、운영 규칙에 따라 사용하도록 철저히 함(2024년 2월)。
또한 USB 메모리 이용 계정의 재고를 실시함과 동시에(2024년 3월)、조직별 USB 메모리 계정의 시각화를 구현、NTT 서일본 그룹 전체에서 USB 메모리 사용 용도 파악、분석을 실시했습니다(2024년 5월)。또 USB 메모리 사용 용도 분석 결과를 바탕으로、업무 프로세스 검토를 통한 USB 메모리 사용 중단、USB 메모리를 대체하는 데이터 전달 장치를 추가로 배포하기(2024년 3월)、데이터 전달 워크플로우에서 신청 및 승인이 가능한 파일 중계 GW 도입 검증을 시작했습니다(2024년 8월)。
아울러、고객 안전 카지노가 많은 비공개 시스템에서는、비즈니스 단말기 설정과 관련된 권한을 중앙에서 관리하면서、조작 단말기에 고객 안전 카지노를 포함한 데이터 그 자체를 다운로드·저장하는 것을 불가로 하는 업무 단말의 VDI화의 개발에 착수했습니다(2024년 6월)。
<향후의 노력>
파일 릴레이 GW 안전 카지노、설치 검증 완료 후、2025년 1월부터 순차적으로 도입。또、VDI화 업무 단말에 대해서도、개발 완료 후、2025년 3월부터 순차적으로 도입。
[2] 제로 트러스트화의 추진
NTT 서일본 및 NTT 필드 테크노 등 주요 회사의 OA 네트워크에서 사용하는 보안이 뛰어난 제로 트러스트 환경을 실현할 수 있는 보안 FAT、그룹 각 회사에 배포하기、그룹 각사에 도입 설명회를 실시(2024년 7월)、방식 검토 및 기술 검증、도입 일정 조정 등을 진행하고 있습니다(2024년 8월)。
<향후의 노력>
보안 FAT 안전 카지노、미도시인 그룹 회사에 2025년 3월 이후 순차적으로 도입하겠습니다。
[3] 특권 계정 관리 강화
우선 특권 계정 보유자를 파악하고 관리하기 위해、위험 관리 데이터베이스 구축、위험을 시각화하는 중、시스템 관리 권한을 사용할 때 리스크 관리를 강화하기 위한 권한 있는 계정 관리 시스템을 도입하기 위한 평가 검증을 시작했습니다(2024년 7월)。
또、검토를 통해、엄격한 물리적 보안 조치 및 운영 측면을 포함하여 권한 있는 계정의 보안 조치가 부족한 시스템에 대해、우선 순위를 높이고 권한 있는 계정 관리 시스템을 도입하기 위한 검증을 시작했습니다(2024년 8월)。
<향후의 노력>
특권 계정이 있는 장기 배치자에 대한 구체적인 관리 정책、현재 개정 중인 규정류((4) 안전 카지노 추진 체제 강화[1] 참조)에 포함 운용을 개시합니다(2025년 4월 이후)。
(3) 감시의 고도화·점검의 철저
- 내부 부정이 발생할 수 있다고 가정합니다、시스템을 통한 모니터링 향상 및、현장에서의 검사의 형태화 방지를 위한 점검 항목·로그 확인 방법의 재검토를 실시합니다。
[1] 각종 로그에 의한 내부 부정의 감시 강화
기본 회사의 OA 네트워크에서 사용하는 보안 FAT에서는、「IPA 조직에서의 내부 부정 방지 가이드라인(제5판)」등을 참고로 해、내부 악성 관점에서 탐지 규칙을 추가로 구현(예: 다운로드 파일 크기가 지정된 값 이상인지 감지、같은 기기에서 다른 ID 로그인 등)、합쳐 로그 분석 PF에 의한 부적절한 시스템 이용·안전 카지노의 취급을 검지할 수 있는 구조를 도입했습니다※(2024년 6월)
<향후의 노력>
위의 내부 부정 관점에서 감지 규칙에 의한 모니터링 안전 카지노、그룹 회사가 보안 FAT를 도입하는 타이밍에 각각 도입해 나가기로 합니다(2025년 3월~)。
- ※USB로 데이터 내보내기 제한、클라우드 사이트에 데이터 업로드 제한、웹사이트에 대한 액세스 제한 등이 구현됨
[2] 행동 감지 대상 시스템 확대
NTT 서일본 그룹의 공개 시스템은、거동 감지를 이미 도입했지만、비공개 시스템에 대해서도 동작 감지를 도입하기 시작했습니다、일부 시스템에 대해서는 이미 도입하고 운영 중입니다(2024년 4월)。
[3] 각 직장에서의 로그 자주 점검 방법의 구체화、효율화
제1선인 각 직장이 로그에 관한 자주 점검을 원활하게 실시할 수 있도록、로그 점검 방법을 구체화하고 효율화하는 중。구체화 안전 카지노、검토를 진행하는 동안 확인 및 지원、검색 논리를 검토 중입니다(2024년 8월)。또、효율화에 대해、타사의 우수 사례 평가 시작(2024년 8월)。
(4) 안전 카지노 추진 체제 강화
- 안전 카지노 및 사이버 보안 대책의 총 관리 기능을 갖춘 새로운 조직을 설립、안전 카지노 추진 시스템 강화。
- 신규 조직에서 NTT 서일본 그룹 전체의 보안 인재 육성、육성된 인재를 NTT 서일본 그룹의 각 조직에 배치하여、그룹 전체의 보안 거버넌스 능력 향상。
- NTT 서일본 그룹의 보안 거버넌스의 방향성 및 해결 방법、외부 지식인과 논의할 권고 보드를 새로 설치。
[1] 보안 추진 체제、3라인 모델 검토
① "디지털 혁신 본부" 설치
IOWN·생성 AI 등의 선진 기술이나 오픈 이노베이션을 활용함으로써、지역 사회의 과제 해결 및 새로운 혁신 창출、고객 기점에서의 DX(디지털 트랜스포메이션) 추진·AI 활용을 통한 CX(고객 경험) 향상과 업무 프로세스의 근본적인 효율화의 동시 실현에 더해、고도화·교묘화하는 안전 카지노이나 사이버 보안 위협에 대한 정확한 대처 등을 통합적으로 추진하기 위해、새로운 '디지털 혁신 본부'를 설치했습니다。해당 본부는、'디지털 개혁 추진부'、'기술 혁신부'、동시에 신설하는 '보안 및 신뢰부'로 구성되어 있습니다(2024년 7월)。
② "보안 및 트러스트부" 설치
NTT 서일본 그룹 전체의 안전 카지노 및 사이버 보안 대책의 총 관리、보안 전략 기획 및 개발、보안 인력의 육성·배치 등을 담당하는 CoE(Center of Excellence)로서、새로운 '보안 및 트러스트 섹션'을 설치했습니다(2024년 7월)。
'보안 및 신뢰 부분'은、이전 사이버 보안 운영 센터、안전 카지노 추진부 및 기술 혁신부 사이버 보안 전략실 통합、NTT 서일본 그룹의 보안 인재를 결집시켜、100명 규모의 조직으로、그룹 회사를 포함한 현장 조직에 집중 통제 및 필요한 지원을 실시함과 동시에、보안 인력을 육성함으로써、그룹 전체의 보안 거버넌스 능력을 향상시키기 위해 노력하고 있습니다。
③CISO, CDAIO 설치
디지털 개혁 본부장이 CISO(Chief Information Security Officer) 및 CDAIO(Chief Digital AI Officer)를 담당할 것、기술 안전 카지노 관리 조치와 관련된 시스템 조치를 전사 횡단적으로 진행하는 경영 체제를 구축했습니다(2024년 6월)。
④ 내부 감사부 강화
내부 감사장을 집행 임원으로 함과 동시에、안전 카지노에 대한 감사 항목 추가、NTT 서일본 그룹 회사의 내부 감사 조직과의 협력을 더욱 발전시키는 등、제3선으로、제1선 및 제2선 안전 카지노에 대한 거버넌스가 작동하는지 등 감사를 강화했습니다(2024년 7월)。
⑤외부 지식인과의 보안 전략 검토 강화
안전 카지노 추진 위원회로、NTT 서일본 그룹의 보안 전략 검토 및 시책 배포、보안 관리、보안 리스크/사고 등에 관한 대책이나 검토 해 왔습니다만(2023년 11월、2024년 2월、2024년 6월)、추가 보안 전략을 강화하기 위해 검토、경영층과 외부 전문가의 보안 전략을 논의하는 권고 보드를 설치、반년마다 개최합니다(2024년 10월 예정)。
또、권고 보드를 기반으로 한 구체적인 조치 검토/전개 및、위험 관리 상태、검사/감사 상황을 보고하는 보안 및 신뢰위원회를 설치합니다(2024년 11월 예정)。
<향후의 노력>
보안 리스크의 재정의 및 규정류의 단순화·구체화를 진행하는 것으로 해、안전 카지노의 중요도에 따라 신중하고 관리하기 위해、규정류 및 매뉴얼을 개정합니다(2025년 3월)。
[2] 전사적인 의식 개혁、관리자 및 담당자를 위한 교육 강화
①경영층으로부터의 안전 카지노 준수에 관한 메시지 발신
누설 사안 발생 받기、이 사안、그룹 전체로서 고객 정보를 지키는 의식이나 조치에 느슨함이 있었기 때문에 일어난 것을 근거로、이번 사건을 무겁게 받아들인다、진지하게 반성、원점으로 돌아가 고객 정보 관리를 철저히 해결해야 한다는 메시지를、사장이 모든 직원을 위해 발신했습니다(2023년 10월)。사안에 관한 기자 회견(2024년 2월) 시점에、다시 NTT 서일본 그룹 전 직원에게 메시지를 발송、고객 정보 관리가 사업의 근간임을 알립니다、안전 카지노을 자신별로 인식하고 해결하도록 지시했습니다(2024년 3월)。
이후、사장이 새로 취임할 때、강력한 리더십을 발휘하여 안전 카지노 강화를 위한 재발 방지 조치를 꾸준히 수행할 것임을 선언합니다(2024년 4월)。취임 직후부터、각 현장을 방문하여 타운홀 회의 개최、직원 직원에 대한 안전 카지노의 중요성에 대해 직원의 의식 양성을 실시하고 있습니다(2024년 4월~)。
또、CISO에서、내부 악성사례에 대한 진행 상황 공유、및 안전 카지노 의식을 높이는 메시지를 모든 직원을 위해 발신했습니다(2024년 8월)。
②보안 의식 개혁을 위한 교육
경영층、보안 관리 책임자、업무 담당자(업무 주관、시스템 주관、운영 주관 등)、모든 직원을 대상으로、자신별로 보안을 포착하는 교육 및 스터디를 구축、보안 인식을 강화하기 위해 노력하고 있습니다。
특히、재발 방지 조치를 확실히 각 직장에서 실행할 수 있도록、사내 관계자를 위한 재발 방지 방안에 관한 연수회를 여러 번 실시했습니다(2023년 12월、2024년 3월、5월、7월)。또、관할 시스템의 위험 지점을 해결하는 방법에 대한 노하우、책임자 역할을 배우려면、보안 경영 책임자를 위한 교육을 실시했습니다(2024년 9월)。
<향후의 노력>
앞으로도 지속적으로 경영층으로부터 NTT 서일본 그룹 전 직원에게、안전 카지노의 변화를 위한 메시지를 계속 보내고、계층별 및 역할별 교육에 대해서도 계속 진행。자세히、사내 HP에서 안전 카지노의 변화를 주제로 한 특설 페이지를 개설하여 정보를 계속 발신、항상 모든 직원이 자신에 대해 의식을 유지하도록 노력하겠습니다。
Ⅱ. 주식회사 NTT 마케팅 액트 ProCX
- NTT 서일본 그룹 전체의 재발 방지 내용을 근거로 주식회사 NTT 마케팅 액트 ProCX(이하 'ProCX')의 재발 방지책을 강구함으로써、고객에게 안심·신뢰할 수 있는 콜센터 업무의 적절한 운영 실현을 위해 노력하고 있습니다。
ProCX는、이번 안전 카지노 유출 사안에 관하여、NTT Business Solutions Co., Ltd.(이하 'BS')에 대한 감독이 불충분했다고 말할 수밖에 없다고 인식하고 있습니다、위탁처 관리 감독 강화를 위한、다음 조치를 진행 중。
위탁처 관리 감독 강화
위탁처 관리
ProCX는、BS와 '고객 안전 카지노 취급에 관한 각서' 체결、① 시스템 백업 등 본 서비스를 구성하는 시스템의 안전한 운영·유지 관리·계획 유지보수、② 맬웨어 감염 등 본 서비스의 보안 문제를 해결하기 위한 조치、③ 본 서비스의 고장 발생 시 복구 대응 및 ④기타、코토 협의 위、필요하다고 인정한 문제를 해결하는 경우를 제외하고、BS가 개인 안전 카지노를 취급하는 것을 금지하도록 약정、BS에 의한 개인 안전 카지노의 취급 범위를 명확히 함과 동시에(2024년 1월)、BS에서의 물리적 및 기술적 안전 관리 조치의 이행 상황을 확인하기 위해 출입 점검、제대로 처리하고 있는지 확인합니다(2024년 3월)。
위에 추가、ProCX는、여러 고객 안전 카지노를 고객으로부터 받는 콜센터 사업자로서、고객에게 안심·신뢰할 수 있는 콜센터 업무의 적절한 운영 실현、다음 과제를 파악하고 필요한 노력을 진행하고 있습니다。
| 과제 | 이니셔티브 |
|---|---|
| 1. 리스크 관리 프로세스 확대 및 정착 | 1. 위험의 시각화 |
| 2. 내부 사기 위험을 고려한 시스템 조치 | 2. 위험 지점 최소화 |
| 3. 실제 부정 위험을 고려한 비즈니스 운영 규칙의 형태화 방지 | 3. 감시의 고도화·점검의 철저 |
| 4. 경영진 문제 해결에 대한 헌신 | 4. 안전 카지노 추진 체제 강화 |
(1) 위험의 시각화
위험 관리
NTT 서일본 그룹 시책과 연동、보존 시스템에서 '위험 관리 데이터베이스'를 작성(2024년 5월)、각 시스템의 책임자 명확화、및 위험 요소를 식별하고 평가합니다。
또、ProCX 콜센터에서 운영하는 모든 업무에 대해、현업 부서에서 개인 안전 카지노 취급에 대한 위험 평가(위험 식별、분석 및 평가)를 수행하기 위해 위험 평가 시트를 활용하여 위험을 시각화합니다(2024년 4월)。
(2) 위험 지점 최소화
위험 관리
위험 최소화를 위한、다음과 같이 기술적/물리적 조치를 진행 중。(2024년 3월~순차 전개 중)
[1] 업무용 네트워크 집계
이전에는 시스템별로 네트워크를 구축하고 해결하는 외부 위협에 대해、각 네트워크를 하나의 폐쇄 네트워크에 집계하여 외부 위협에 노출되는 위험을 최소화함、근래 피해가 확대 상황에 있는 악성코드 등의 고도의 사이버 공격에 대비하여 EDR을 도입함으로써、조기 공격 감지、방어 및 치료가 가능하도록 대책을 진행하고 있습니다。
[2] 승인되지 않은 기기의 액세스 제한
MAC 주소로 연결 단말기를 제어、사용할 수 없는 단말기의 NW에 대한 연결을 방지하고 있습니다。
[3] 감사 로그의 중앙 집중식
로그 수집 및 검사를 중앙 집중식으로 제어할 수 있도록、자산 관리 시스템을 도입했습니다。
[4] 통합 계정 관리
사용 중인 계정 식별、계정 중앙 집중식 관리를 위한 디렉터리 시스템 배포를 진행 중。
[5]USB 메모리 사용 제한
컨택 센터에서 USB 메모리를 이용한 개인안전 카지노의 취급에 대해서는、2024년 4월 기준、클라이언트가 지정한 것을 제외하고 철폐、데이터 전달 장치를 사용한 운영으로 전환 중。
(3) 감시의 고도화·점검의 철저
위험 관리
내부 사기 및 외부 위협에 대한 모니터링을 강화하기 위한 EDR 및 UEBA 도입、비정상 행동의 탐지 고도화(일반적으로 예상되지 않는 시간대에서의 액세스나 금지된 사이트에의 액세스 등의 자동 검지 등)에 의한 고객 안전 카지노 유출의 미연 방지 및 추적이 가능한 구조의 도입 진행 중。(2024년 3월~순차 전개)
(4) 안전 카지노 추진 체제 강화
체제 강화·의식 개혁
[1] 위기 의식 침투 및 의식 개혁
무로바야시 대표 이사 사장님、여러 고객 정보를 고객으로부터 받는 콜센터 사업자로서、안전 카지노의 중요성을 인식、안전 카지노이 비즈니스의 근간임、한사람 한사람이 '자신마다'로서 고객 정보 관리의 철저하게 임하는 것을 전 직원에게 메시지를 발신(2024년 3월)함과 동시에、각 지역에서 타운홀 미팅을 수행、직원에게 직접 의식 양성과 의견 교환을 실시했습니다(2024년 4월~5월)。
[2] 안전 카지노에 대한 거버넌스 측면 개선
안전 카지노 대책의 총 관리를 실시하는 제2선 기능을 전담적으로 담당하기 위해、보안 및 신뢰부(이하、'ST부'라는。)를 사장 직결 조직으로 신설、ST부가 제2선으로、제1선인 현업 부서가 안전 카지노 관련 사항을 준수하는지 모니터링함과 동시에、감독, 지원 등、위험 관리 프로세스의 유효성을 보장할 수 있는 체제로 강화되었습니다(2024년 7월)。
또、전통적으로、작업(시스템)별로 수행한 안전 카지노 조치에 대해、전사에 걸쳐 보안 정책을 개발、안전 카지노 시스템 설계、빌드、운용 및 유지보수 기능(정보 시스템 담당)을 신설(2024년 7월)하여、기술적 안전 관리 조치의 구현 강화를 진행함과 동시에、ST부가 정보 시스템 담당 이니셔티브를 감시·견제하는 것으로、ST부와 정보 시스템 담당이 양륜이 되어 안전 카지노 경영 시스템을 보다 유효하게 기능하는 체제로 하고 있습니다。
추가、제1선 및 제2선에 대한 감독·시정 권한을 가진 제3선으로 실시하는 내부 감사 결과를 이사회에 직접 보고하는 체제를 취했습니다。이를 통해、위험 관리 프로세스의 존재 방식을 검토、보다 효과적으로 안전 카지노에 대한 거버넌스를 보장하는 조직 구조를 구축 중。
[3] 안전 카지노 위험에 대한 위기 의식 침투 및 교육
이번 안전 카지노 유출 사안에 대해、ProCX에서 위기 관리 의식과 에스컬레이션 방식、또한 위탁처 관리의 중요성을 인식하는 데 어려움이 있었음을 무겁게 받아들인다、모든 이사、담당 부서 및 담당 부서에 대한 리스크 관리 강화 교육에 대해、연간、계속 실시할 것。이전、관리자 약 170명에 대해、위탁처 관리에 있어서의 법적 책임 및 리스크 컨트롤의 본연의 자세 등에 관한 본건 사안의 발생에 근거한 연수를 실시(2024년 3월)해、ProCX로의 전입 관리자 및 신임 관리자에 대해서도 마찬가지로 연수를 실시했습니다(2024년 8월)。
또한、업무 시스템 등을 이용하여 대량의 개인정보를 취급하는 콜센터 업무의 특성을 근거로 한 전문적인 연수가 필요하다는 관점에서、콜센터 업무 종사자를 위한 전문 교육、연간、계속 실시하고 있습니다、콜센터 업무에 종사하는 센터소、직업 관리자 및 SV와 같은 직책에 있는 직원 및 이러한 역할을 담당하는 직원에게、본건 사안의 되돌아보기를 포함한 향후 안전 카지노 대책의 모습 등에 대해、영상 교재를 이용한 교육을 실시했습니다(2024년 3월)。또한、이 교육은 모든 직원을 대상으로 실시를 완료했습니다(2024년 5월)。
Ⅲ. NTT 비즈니스 솔루션 주식회사
- 서비스를 제공하는 사업자로서、NTT 서일본과 협력하여、안전 카지노 노력을 강화하고、새로、사업을 지원하는 직원 각자에게 고객 기점 마인드를 침투시켜、고객의 입장에 서 있는 조직이 되기 위해、경영 상위 스스로 솔선하여 다음과 같은 노력을 진행하고 있습니다。
BS는、고객 정보를 다루는 중요한 서비스를 제공하는 사업자로서、안전 카지노을 강화하고、다시 고객의 입장에 서 있는 조직이 되기 위해、다음 문제를 식별、필요한 노력을 진행하고 있습니다。
| 과제 | 이니셔티브 |
|---|---|
| 1. 리스크 관리 프로세스 확대 및 정착 | 1. 위험의 시각화 |
| 2. 내부 사기 위험을 고려한 시스템 조치 | 2. 위험 지점 최소화 |
| 3. 실제 부정 위험을 고려한 비즈니스 운영 규칙의 형태화 방지 | 3. 감시의 고도화·점검의 철저 |
| 4. 경영진 문제 해결에 대한 헌신 | 4. 안전 카지노 추진 체제 강화 |
(1) 위험의 시각화
기술적 조치
BS 보유의 모든 시스템에 대해、실제 부정 관점 위험 파악 및 시각화를 위해 "리스크 관리 데이터베이스"를 작성했습니다(2024년 5월)。특히、고객 안전 카지노유량 등 파악、보안 리스크 위치、USB 메모리 사용 제한 유무·인증 방식·로그 취득 항목 등의 시큐러티 대책 실시 상황)의 특정을 실시했습니다。이것으로、시스템별 보안 위험 상황 평가、필요한 보안 조치를 꾸준히 수행합니다。
(2) 위험 지점 최소화
기술적 조치
해당 사안이 발생한 시스템에 대해、위험 위치 최소화、중계 서버 설치로 유지보수 단말기로 다운로드 금지(2023년 8월)、사용이 허가되지 않은 개인 USB 메모리 등의 외부 기록 매체의 접속 방지 조치、보수 거점에서의 유지보수 단말기로부터의 인터넷 액세스 접속의 무효화나 MAC 주소 인증 등의 도입에 의한 사유 단말에 의한 시스템에의 액세스 무효화(2023년 10월)、작업자에게 PDS 서버에서 고객 데이터 다운로드 권한을 부여하지 않는 유지보수 등 운영 형태로 변경(2024년 1월)에 추가、중계 서버에 대한 동작 감지를 가능하게 하는 보안 솔루션(EDR) 및 다중 요소 인증 도입(2024년 3월)을 도모、위험 요소를 더욱 최소화하기 위해 노력 중。
또、고객 안전 카지노 등을 보유한 모든 시스템에 대해、4개의 입장(이용자·특권을 가지는 이용자·보수 헬프 데스크·보수 SE)에서 44항목(①반출 금지/루트 제한의 관점、② 추적의 관점) 점검을 실시、발견된 결함에 대한 운영 조치를 포함한 시정 조치를 완료했습니다(2024년 2월)。
자세히、USB 메모리 사용 계정의 재고를 실시함과 동시에(2024년 3월)、조직별 USB 메모리 계정의 시각화를 구현、BS사 전체에서 USB 메모리 이용 용도 파악、분석을 실시했습니다(2024년 5월)。또 USB 메모리 사용 용도 분석 결과를 바탕으로、업무 프로세스 검토를 통한 USB 메모리 사용 중단、USB 메모리를 사용하지 않고 데이터를 전달(신청/승인)할 수 있는 파일 중계 GW 도입 검증을 시작했습니다。또、일부 시스템에서는 매체 자체에 데이터가 남지 않는 데이터 전송 장치를 도입、USB 메모리를 사용하지 않는 환경을 유지하고 있습니다。
기타、유지 관리 장치와 같은 기기 관리 솔루션(MDM) 배포、시스템 액세스 시 다중 요소 인증 도입、데이터베이스의 암호화 등의 보안 대책 등에 대해서도 순차 도입을 진행하고 있습니다。
(3) 감시의 고도화·점검의 철저
기술적 조치
해당 사안이 발생한 시스템에 대해、USB 연결 시 여러 관리 감독자에게 연결 경보 메일이 발행되는 메커니즘 도입、외부 기록 매체에 기록이 필요할 때、여러 관리 감독자를 통과하지 않으면 구현하기 어려운 메커니즘 도입、작업 기록부의 기재를 규칙화한 후、작업 기록부와 작업 로그의 일치에 의한 정기 점검 등을 실시하고 있습니다(2023년 10월)。
기타 BS 보유 시스템도、작업 기록부와 작업 로그의 일치에 의한 정기 점검 수행 및 행동 감지 경보에 기초한 청문회 조사、동작 감지를 가능하게 하는 보안 솔루션(EDR) 도입, 작업 로그 기록, 보관, 변조 방지 조치 등、각 시스템의 위험 정도에 따른 조치를 순차적으로 도입 중。
(4) 안전 카지노 추진 체제 강화
체제 강화·교육의식 개혁
[1] 안전 카지노에 대한 거버넌스 측면 개선
제1선 현장 조직의 강화로、해당 사안 발생 담당에 안전 카지노을 담당하는 요원을 단계적으로 증원하여 체제 강화를 도모하고 있습니다(2024년 4~7월)。
또、BS 제2선 강화로、우리의 안전 카지노에 관한 추진자의 명확화、BS 독자적인 시스템에의 적정한 대처 등의 과제 해결 촉진을 위한 「보안&트러스트 추진실」을 새롭게 설치했습니다(2024년 7월)。
자세히、제3선의 기능 강화를 NTT 서일본의 내부 감사부와 연계하여 진행하고 있습니다、BS 자체 안전 카지노에 대한 감사 항목 추가、제1선 및 제2선 거버넌스가 올바르게 작동하는지 등의 감사를 강화하는 등、BS에서 내부 감사의 질을 확충하기 위해 노력하고 있습니다(2024년 6월)。
고객 안전 카지노를 처리하는 시스템 종사자의 장기 배치 검토에 대해서도 계획적으로 노력하고 있습니다、점검, 교육 등의 팔로우 조치와 함께 거버넌스 강화에 노력하고 있습니다。
[2] 위기 의식 침투 및 의식 개혁
'고객 기점', '안전 카지노'을 경영의 가장 중요한 과제로 만드는 것을 최상위 스스로 커밋、각종 안전 카지노 강화 노력을 전사 일환으로 꾸준히 실행、전 직원에게 메시지를 발송함(2024년 3월)。
또、BS사의 모든 직원이 '고객 기점'과 '안전 카지노'의 의미에 대해、자신 생각、실행해야 할 사항을 명확히 할 목적으로 '타운홀 미팅'을 실시、직원의 의식 양성을 도모하고 있습니다(2024년 4월~)。
자세히、각 직장(사무소、시스템 운영 기지 등)에서、내부 부정의 발생을 억제하기 위한 계몽 포스터를 작성·게시、직장에서의 의식·풍토의 향상을 도모하고 있습니다(2024년 3월~)。
[3] 안전 카지노 위험에 대한 위기 의식 침투 및 교육
개인정보를 처리하는 업무를 담당하는 사람에게、NTT 서일본 주최의 재발 방지책에 관한 설명회에서、안전 카지노 위험에 대한 위기 의식 침투를 도모했습니다(2023년 12월)。또、NTT 서일본과 협력、신임 관리자에게、관리자로서의 업무 관리에 필요한 안전 카지노 지식을 습득하기 위한 교육을 실시했습니다(2024년 6월)。