メインコンテンツにスキップ

DNP

Global

Hauptthema: Informationssicherheit

Informationssicherheit

Grundkonzept

Die Stärke von DNP liegt in der Informationssicherheitstechnologie und dem Know-how, das es durch die Nutzung von Informationsbeständen entwickelt hat, die ihm von Unternehmen und Verbrauchern anvertraut wurden, sowie durch seine eigenen Informationsbestände.

Um unserer gesellschaftlichen Verantwortung als Unternehmen, das eine große Menge an Informationswerten verwaltet, gerecht zu werden, werden wir höchste Sicherheit bei der Verwaltung und dem Schutz dieser Informationswerte gewährleisten und gleichzeitig durch sichere und hochzuverlässige Produkte und Dienstleistungen einen neuen Mehrwert schaffen.

Politik

Beförderungssystem

DNP hat an seinem Hauptsitz einen Informationssicherheitsausschuss und eine Informationssicherheitszentrale eingerichtet, um die Geschäftsbereiche und Konzerngesellschaften zu überprüfen und zu beraten. Den Vorsitz des Ausschusses führt der für den Hauptsitz zuständige Geschäftsführer.

Darüber hinaus wurde in jedem Geschäftsbereich und jeder Konzerngesellschaft ein Informationssicherheitsausschuss eingerichtet, dessen Vorsitzender und Datenschutzbeauftragter jeweils vom Leiter der Organisation selbst übernommen wird. Diesem Ausschuss sind Manager und Prüfbeauftragte für verschiedene Themenbereiche wie Schulungen, Sicherheitsmaßnahmen im Arbeitsbereich und Maßnahmen für Informationssysteme zugeordnet. Seit 2015 richten wir auch in ausländischen Konzerngesellschaften Informationssicherheitsausschüsse ein.

Darüber hinaus haben wir im Oktober 2021 an unserem Hauptsitz das DNP Computer Security Incident Response Team (DNP CSIRT) als Cybersicherheits-Reaktionsorganisation eingerichtet, um die Geschäftskontinuität im Falle eines unvorhergesehenen Vorfalls aufrechtzuerhalten.

Im Rahmen dieses Management-Fördersystems fördert die DNP Maßnahmen Informationssicherheit die auf drei Säulen beruhen: organisatorische Maßnahmen, personelle Maßnahmen sowie physische und technische Maßnahmen.

Dieses Diagramm veranschaulicht die Struktur des Informationssicherheitsmanagements. Der Repräsentative Direktor leitet die Organisation. Der Ethikausschuss (unter dem Vorsitz eines Senior Managing Directors) und der Informationssicherheitsausschuss (unter dem Vorsitz eines für die Zentrale zuständigen Managing Directors) arbeiten eng zusammen. Der Informationssicherheitsausschuss verfügt über eine Informationssicherheitszentrale, in der das DNP CSIRT untergebracht ist. Diese Zentrale setzt sich aus den Informationssicherheitsausschüssen der einzelnen Geschäftsbereiche und Konzerngesellschaften zusammen. Sie besteht aus einem Inspektionsleiter, einem Leiter der Abteilung für Informationssicherheitsförderung, einem Informationssicherheitsmanager, einem Bildungsmanager, einem Manager für Gegenmaßnahmen im Sicherheitsbereich, einem Manager für externe Reaktion und einem Manager für Gegenmaßnahmen in Informationssystemen. Das DNP CSIRT umfasst das interne Security Operation Center (SOC) und die Cyber Knowledge Academy (CKA) und kooperiert mit den einzelnen Geschäftsbereichen und Konzerngesellschaften. Der Informationssicherheitsausschuss arbeitet zudem mit externen Organisationen zusammen, darunter das National Cyber Defense Office (NCO), die Nippon CSIRT Association (NCA), JPCERT/CC, die Information-technology Promotion Agency (IPA) und die Japan Network Security Association (JNSA).

Indikatoren/Ziele

Auf der Grundlage unseres grundlegenden Ansatzes zur Informationssicherheit hat DNP Prioritätsindikatoren und -ziele festgelegt, anhand derer wir die laufenden Aktivitäten steuern.

Index Zielwert Ergebnisse des Geschäftsjahres 2024
① Umsetzungsrate der Bewertung der Informationssicherheitskonformität
② Umsetzungsrate der Inspektionen und Anleitung für Abteilungen, die Maßnahmen zur Priorisierung personenbezogener Daten usw. umsetzen.
3) Teilnahmequote an Schulungen und Weiterbildungen im Bereich Informationssicherheit
④ Testrate für Sicherheitslücken bei öffentlich zugänglichen Internetseiten		 ① 100% Umsetzungsrate für Geschäftsbereiche und Konzerngesellschaften
② 100% Umsetzungsrate für die Zielabteilungen
3) 100%ige Beteiligungsquote in den Zielabteilungen
④ 100% Umsetzungsrate für Zielstandorte		 ① 100 % (87 Abteilungen/Unternehmen)
② 100 % (66 Mal)
3) 100 % (ca. 45.000 Teilnehmer) *Zu den Teilnehmern gehören auch Unterstützungspersonal usw.
 ④ 100 % (412 implementierte Systeme)

Strategie- und Risikomanagement

Um Informationssicherheit, einschließlich Cybersicherheit, zu gewährleisten, hat DNP das Konzept „Security by Design“ bereits in der Planungs- und Entwurfsphase eingeführt, um Risiken zu identifizieren und Reaktionspläne zu entwickeln. Dies ermöglicht uns den Aufbau eines Systems für eine effektive Reaktion, das wir mithilfe des PDCA-Zyklus kontinuierlich verbessern.

Organisatorische Maßnahmen

Festlegung interner Vorschriften und Regeln

Im Hinblick auf den Schutz personenbezogener Daten haben wir eine Datenschutzrichtlinie und entsprechende Vorschriften sowie allgemeine Regeln zu spezifischen Standards innerhalb der DNP-Gruppe festgelegt. Im Bereich der Informationssicherheit haben wir eine grundlegende Informationssicherheitsrichtlinie und entsprechende Vorschriften erlassen, die zehn Standards definieren. Auf deren Grundlage verwalten wir Dokumente, die Computernutzung, Bereiche, die für Außenstehende gesperrt sind, Schulungen, Websites und soziale Medien. Bei neuen Bedrohungen und Risiken informieren wir umgehend unsere Mitarbeiter, erstellen und überarbeiten die Regeln und sorgen für eine umfassende Information.

Einrichtung eines Managementsystems

Dai Nippon Printing Co., Ltd., ein Unternehmen, das die japanische Industrienorm „Anforderungen an Managementsysteme zum Schutz personenbezogener Daten“ (JISQ15001) erfüllt, erhielt im Juli 2008 das Privacy Mark-Zertifikat und fördert den Aufbau eines Managementsystems, das dieser Norm entspricht und gleichzeitig die strikte Einhaltung von Gesetzen und Vorschriften gewährleistet. Darüber hinaus arbeiten alle Geschäftsbereiche und Konzerngesellschaften, die im Rahmen ihrer Geschäftstätigkeit personenbezogene Daten verarbeiten, aktiv daran, das Privacy Mark-Zertifikat und die ISO/IEC 27001-Zertifizierung zu erhalten.

Datenschutzzeichen und ISO/IEC27001 (JISQ27001) Zertifizierungsstatus

Personalmaßnahmen

Stärkung der Informationssicherheit durch Personalentwicklung

DNP bietet fortlaufende Aus- und Weiterbildung für die Mitarbeiter der DNP-Gruppe sowie für das Personal, das für die Stärkung der Informationssicherheit verantwortlich ist. Wir haben zudem Schulungsmaterialien in zehn Sprachen, darunter Japanisch, erstellt, um eine umfassende Schulung aller Mitarbeiter zu gewährleisten.

Darüber hinaus führen wir mit dem Ziel, „Plus-Sicherheitspersonal“ auszubilden, das in der Lage ist, bei der Ausübung seiner regulären Arbeit die notwendigen und ausreichenden Sicherheitsmaßnahmen umzusetzen, ein Cybersicherheits-Schulungsprogramm für rund 30.000 Mitarbeiter der DNP-Gruppe in Japan und im Ausland durch, die über eine E-Mail-Adresse verfügen.

Förderung von Informationssicherheitsinitiativen in der Branche

Um das Niveau des Schutzes personenbezogener Daten in der gesamten Druckindustrie zu erhöhen, haben wir Mitarbeiter mit fortgeschrittenen Fachkenntnissen in die Arbeitsgruppe zum Schutz personenbezogener Daten der Abteilung Informationssicherheit des Japanischen Verbandes der Druckindustrie, einem allgemeinen eingetragenen Verein, entsandt, um an der Formulierung und Erstellung von Leitfäden, FAQs, Schulungsmaterialien usw. zum Schutz personenbezogener Daten mitzuwirken. (Seit 2004 sind zwei Mitarbeiter ausschließlich dieser Gruppe zugeordnet.)

Praxisschulung für Personal zur Abwehr von Cyberangriffen

Unsere Konzerngesellschaft, die Cyber Knowledge Academy, hat das von Israel Aerospace Industries (IAI), einem in Israel ansässigen Unternehmen – einem Land, das im Bereich Cybersicherheit eine führende Rolle einnimmt – entwickelte Trainingssystem „TAME Range“ eingeführt. Das System bietet Vorlesungen und Übungen mit einer Vielzahl von Fallstudien, von typischen Angriffsmethoden bis hin zu aktuellen Vorfällen.

Ein Bild zeigt eine praktische Schulung für Personal zur Abwehr von Cyberangriffen. Das Übungsmanagementsystem simuliert Cyberangriffe mithilfe eines automatisierten Angriffssystems. Im Übungssystem für die Teilnehmenden werden praktische Übungen durchgeführt und ausgewertet. Das automatisierte Angriffssystem führt automatisierte Angriffe anhand eines kontinuierlichen Angriffsszenarios durch, das einen realen Cyberangriff nachbildet. Das Übungsmanagementsystem gibt die Anweisungen zum Starten des Angriffs, und das Anleitungs- und Bewertungssystem zeigt die Ergebnisse auf dem Statusmonitor an. Im Übungssystem für die Teilnehmenden (einer Nachbildung eines internen Informationssystems) übt der/die Teilnehmende die Reaktion auf den Angriff und erstattet anschließend Bericht.

Bislang wurden neben den Mitarbeitern der DNP-Gruppe auch Vorträge, Schulungen und verschiedene Übungen für mehr als 8.500 Sicherheitspersonal aus rund 390 Organisationen durchgeführt, darunter Regierungsbehörden sowie Unternehmen aus den Bereichen Informations- und Kommunikationstechnologie, Luftfahrt und Energiewirtschaft, um Spezialisten für Cybersicherheit auszubilden (Stand: Mai 2025).

Im Jahr 2023 entwickelten wir den Kurs „Organisatorische Zusammenarbeit – Metaverse-Übung“ für Führungskräfte und Manager in Unternehmen. Dieser Kurs vermittelt Notfallmaßnahmen und die organisationsübergreifende Zusammenarbeit im Metaverse, einem virtuellen Raum im Internet, durch die Zusammenarbeit mehrerer Abteilungen im Falle einer Sicherheitsbedrohung (eines Vorfalls).

Diese Übung wird im Metaverse von vier Mitgliedern des Managementteams durchgeführt, die im Falle eines Vorfalls Anweisungen erteilen. Sie werden in verschiedene Rollen aufgeteilt und lernen so, welche Maßnahmen im Falle eines Vorfalls zu ergreifen sind und wie sie unabhängig vom Standort mit anderen Organisationen zusammenarbeiten können.

Kurs zur organisatorischen Zusammenarbeit Metaverse-Übung
Kurs zur organisatorischen Zusammenarbeit: Metaverse-Übungsteilnahme (Bild)
組織連携コース_メタバース演習(サイバーナレッジアカデミー)

Physikalische und technische Maßnahmen

Maßnahmen in Abteilungen, die personenbezogene Daten verarbeiten

In Rechenzentren und anderen Bereichen, in denen personenbezogene Daten verarbeitet werden, haben wir Maßnahmen zur weiteren Stärkung des Managements umgesetzt, wie z. B. biometrische Authentifizierung zur Verhinderung unbefugten Zutritts, die Installation von Überwachungskameras zur Abschreckung betrügerischer Aktivitäten, das Tragen von Arbeitskleidung ohne Taschen, um das Entwenden von Daten zu verhindern, die Trennung von Bereichen, in denen Daten auf Speichermedien geschrieben werden, Kontrollen mit Metalldetektoren, die Erfassung und Bestätigung von Zugriffsprotokollen und die Reduzierung der Anzahl der Mitarbeiter, die auf Datenspeichermedien schreiben.

Dies ist ein Diagramm der vorhandenen physischen Sicherheitsmaßnahmen, vom Außenbereich bis zur Hochsicherheitszone im Gebäude. Es sind verschiedene Sicherheitsmaßnahmen implementiert, darunter Sicherheitspersonal, Sicherheitstore, Überwachungskameras und biometrische Authentifizierung.

Maßnahmen an jedem Standort unter Verwendung von Mitarbeiterausweisen mit Chipkarte

DNP fördert verschiedene Maßnahmen zur Informationssicherheit mithilfe von Mitarbeiterausweisen mit Chipkarte. Wir erweitern die Anzahl der Standorte, an denen Sicherheitsschleusensysteme mit Mitarbeiterausweisen für den Ein- und Ausgang von Gebäuden und Fabriken eingeführt wurden. Darüber hinaus haben wir durch die verpflichtende Authentifizierung per Mitarbeiterausweis beim Drucken von Multifunktionsgeräten eine Funktion hinzugefügt, die es Administratoren ermöglicht, Nutzungsprotokolle zentral auf einem Server zu verwalten.

Initiativen für einen sicheren Informationsaustausch

Um Informationslecks durch fehlerhafte E-Mail-Übertragungen beim Versenden von E-Mails außerhalb der Unternehmensgruppe zu verhindern, haben wir Tools zur Vermeidung fehlerhafter E-Mail-Übertragungen eingeführt. Diese verfügen über Funktionen wie Empfängerbestätigung und vorübergehende Unterbrechung der Übertragung. Darüber hinaus betreiben wir ein System, das personenbezogene Daten sicher über das Netzwerk an und von Kundenunternehmen überträgt.

Schwachstellenanalyse

Alle von der DNP Group betriebenen Internetserver, die personenbezogene Daten verarbeiten, werden zweimal jährlich auf Schwachstellen überprüft, um sicherere und robustere Websites zu erstellen und zu betreiben.

Wir haben außerdem einen Bewertungsdienst eingeführt, der Cybersicherheitsrisiken anhand verschiedener Daten objektiv bewertet, analysiert und visualisiert, und wir führen eine kontinuierliche Überwachung durch.

Verwandte Maßnahmen

Reaktion auf Cyberangriffe

Antwort von DNP CSIRT

Als Dachorganisation, die für alle Aspekte der Cybersicherheit verantwortlich ist, wird DNP CSIRT nicht nur die grundlegenden Funktionen der Stärkung der Sicherheit wahrnehmen, sondern auch die folgenden Aktivitäten für die gesamte DNP-Gruppe, sowohl in Japan als auch im Ausland, durchführen.

  • Visualisieren Sie die IKT-Infrastruktur, geben Sie Anweisungen für Gegenmaßnahmen auf Basis von Informationen zu Sicherheitslücken und überprüfen Sie den Anwendungsstatus.
  • Entwicklung und Übung von Gegenmaßnahmen für unerwartete Ereignisse
  • Bereitstellung von Anweisungen und Unterstützung für jede Organisation im Falle eines Vorfalls
  • Cybersicherheitsausbildung, -schulung und Sensibilisierung
  • Zusammenarbeit mit externen Organisationen wie dem National Center of Incident Readiness and Strategy for Cybersecurity und der Nippon CSIRT Association
  • Anmeldung und Antragstellung für eine Cyberrisikoversicherung

Implementierung eines Zero-Trust-Netzwerks

In den letzten Jahren haben sich Unternehmensaktivitäten und das Leben der Menschen rasant verändert. Die digitale Transformation, die Nutzung externer Cloud-Dienste und die durch die COVID-19-Pandemie beschleunigte Verbreitung von Telearbeit trugen dazu bei. Als Reaktion auf diese Veränderungen hat DNP ein „Zero-Trust-Netzwerk“ eingeführt – ein Sicherheitskonzept, das „nichts vertraut“. Dadurch wird die Sicherheit der digitalen Netzwerknutzung erhöht, der Internetzugang geschützt und die Sicherheit von Endgeräten wie PCs und Servern verbessert.

Wir werden weiterhin das Gesamtbild von Zero Trust erfassen und die Zugriffskontrolle sowie das Schwachstellenmanagement stärken, während wir gleichzeitig daran arbeiten, den Reifegrad von Zero Trust zu erhöhen und die Sicherheitsmaßnahmen weltweit zu stärken, unter anderem durch die Einrichtung eines 24/7-Überwachungssystems.

Schulung zum Umgang mit gezielten E-Mail-Angriffen

Gezielte E-Mail-Angriffe gibt es seit über zehn Jahren, doch in den letzten Jahren sind die Inhalte dieser E-Mails immer raffinierter geworden und stellen sowohl in Japan als auch international eine große Bedrohung dar. Aus diesem Grund führt DNP viermal jährlich Schulungen für alle Mitarbeiter mit Firmen-E-Mail-Konten durch, auch für diejenigen in ausländischen Konzerngesellschaften. In diesen Schulungen lernen die Mitarbeiter die Merkmale gezielter Angriffe kennen und erfahren, wie sie angemessen auf den Empfang solcher Angriffe reagieren, Schäden durch gezielte Angriffe verhindern und beispielsweise Datenlecks minimieren können.

Globale Ausweitung des Informationssicherheitsmanagements

Wir stärken die Governance durch die Migration von Systemen, die bisher an jedem ausländischen Standort einzeln genutzt wurden, zu einem gemeinsamen System, das die Cloud optimal nutzt. Dadurch können wir die Sicherheitsstandards der DNP-Gruppe an inländischen und ausländischen Standorten mit jeweils eigenem Umfeld und eigener Kultur einhalten.

Darüber hinaus haben wir zur Förderung des Informationssicherheitsmanagements in ausländischen Konzerngesellschaften originelle Schulungsmaterialien in 10 Sprachen, darunter Japanisch, entwickelt und bauen unsere Bemühungen zur Verbesserung der Informationssicherheitskompetenz der Mitarbeiter weltweit aus.

Metaverse „Cybersicherheitszentrum des Metropolitan Police Department“

Im Jahr 2023 wurde DNP vom Cybersecurity Headquarters der Tokyo Metropolitan Police Department beauftragt, Schulungen unter Verwendung des Metaverse durchzuführen, und eröffnete das Tokyo Metropolitan Police Department Cybersecurity Center.

Das Zentrum wurde mit dem Ziel entwickelt, das Wissen der Verbraucher über Cybersicherheit zu erweitern und ihre Fähigkeit zur Reaktion auf Bedrohungen zu verbessern. Es wurde innerhalb des Metaverse „Virtual Akihabara“ eingerichtet, das von DNP in Zusammenarbeit mit dem Akihabara Tourism Council betrieben wird.

Seit 2021 entwickelt DNP sein Geschäftsfeld „XR Communication®“, das mithilfe von Extended Reality (XR)-Technologie reale und virtuelle Räume miteinander verbindet und so das Nutzererlebnis verbessert. Nutzer dieses Zentrums können sich jederzeit und überall – entsprechend ihrem Kenntnisstand und ihren Zielen – über Cybersicherheit informieren. In Zusammenarbeit mit der Tokioter Polizei trägt DNP durch dieses Zentrum dazu bei, das Bewusstsein für Cybersicherheit zu stärken, das Risiko von Straftaten für Verbraucher zu verringern und eine sicherere Gesellschaft zu fördern.

バーチャル秋葉原