중점 테마: 정보 보안

정보 보안

기본 사고 방식

DNP는 기업이나 생활자 등에서 맡은 정보자산이나 스스로의 정보자산을 활용하는 가운데 쌓아온 정보보안 기술·노하우를 강점으로 하고 있습니다.

많은 정보자산을 취급하는 기업의 사회적 책무를 완수하기 위해 정보자산의 관리·보호에 만전의 보안을 확보함과 동시에 안전하고 신뢰성이 높은 제품·서비스를 통해 새로운 가치를 제공해 나갈 것입니다.

정책

DNP 그룹 정보 보안 기본 정책

個人情報保護方針

추진 체제

DNP는 본사에 정보보안위원회, 정보보안본부를 설치하여 사업부 및 그룹사에 대한 검사·지도를 실시하고 있습니다. 위원장은 본사 담당 상무 이사가 맡고 있습니다.

또, 사업 주체가 되는 사업부·그룹 회사 각각에 정보 보안 위원회를 설치해, 각 조직의 장이 위원장 및 개인 정보 관리 책임자를 담당하고 있습니다. 이에 따라 교육, 보안 구역 대책, 정보 시스템 대책 등의 과제마다 책임자와 점검 책임자를 임명하고 있습니다. 해외 그룹사에서도 2015년부터 정보보안위원회의 설치를 진행하고 있습니다.

또한 2021년 10월에는 사이버 보안 대응 조직으로 DNP Computer Security Incident Response Team을 본사에 설립하여 사건 발생 시 비즈니스 연속성을 유지하고 있습니다.

DNP는 이러한 매니지먼트 추진 체제 하에서 「조직적 대책」「인적 대책」「물리적·기술적 대책」의 3개를 기둥으로 하여 정보 보안 사업부의 시책을 진행하고 있습니다.

정보 보안 관리 시스템. 대표이사를 정점으로 기업윤리행동위원회(위원장: 전무이사), 정보보안위원회(위원장: 본사 담당 상무이사)에서 연계. 정보보안위원회에는 정보보안본부가 설치되고 본부 내에 DNP 시서트가 설치되어 있습니다. 정보보안본부는 각 사업부·그룹 회사의 정보보안위원회에서 조직되어 점검책임자, 정보보안추진실장, 정보보안관리자, 교육책임자, 보안구역대책책임자, 외부대응책임자, 정보시스템대책책임자로 구성됩니다. DNP 시서트는 사내기관의 SOC(Security Operation Center)와 CKA(CYBER KNOWLEDGE ACADEMY)로 구성되며, 각 사업부·그룹 회사와도 연계하고 있습니다. 또한 정보보안위원회는 사외기관의 국가사이버통괄실(NCO), 일본 시서트협의회(NCA), JPCERT/CC, 정보처리추진기구(IPA), 일본 네트워크 보안협회(JNSA) 등과 연계하고 있습니다.

지표·목표

DNP는 '정보보안'에 관한 기본적인 사고방식에 근거하여 우선적으로 임하는 지표와 목표치를 설정하고 지속적인 활동에 연결하고 있습니다.

지표	목표치	2024년도 실적
① 정보 보안 컴플라이언스 평가 실시율 ② 개인정보 등 중점대책 실시 부문의 검사·지도 실시율 ③ 정보 보안 교육 · 연수 수강률 ④ 인터넷 공개 사이트의 보안 취약성 테스트 실시율	① 사업부문·그룹회사에 대한 실시율 100% ② 대상 부문에 대한 실시율 100% ③ 대상 부문에 의한 수강률 100% ④ 대상 사이트에 대한 실시율 100%	① 100%(87부문·회사) ② 100%(66회) ③ 100%(수강자수 약 45,000명) ^{※수강자는 서포트 스탭 등 포함} ④ 100%(실시수 412 시스템)

전략 및 리스크 관리

DNP는 사이버 보안을 포함한 정보 보안을 확보하기 위해 기획·설계 단계부터 「보안・바이・디자인」의 이념을 도입하여 리스크 파악과 대응 계획을 책정하고 있습니다. 이에 따라 효과적으로 대응하는 구조를 구축함과 동시에 PDCA 사이클을 활용하여 지속적으로 개선하고 있습니다.

조직적 대책

사내 규정·룰의 정비

개인정보보호에 대해서는 개인정보보호방침・규정의 정비와 함께 DNP그룹 내에서 구체적인 기준에 관한 공통규칙을 제정하고 있습니다. 정보보안에 대해서는 정보보안기본방침, 정보보안기본규정을 정비하고 이에 따라 문서관리, 컴퓨터 이용, 외부자입입금지구역, 교육, 웹사이트, 소셜미디어 등 10가지 기준을 정하고 있습니다. 새로운 위협, 리스크 등에의 대응에 대해서는, 신속한 통달, 룰 제정·개정을 실시해, 주지 철저를 하고 있습니다.

경영 시스템 구축

다이니혼 인쇄 주식회사는, 일본 산업 규격 「개인 정보 보호 매니지먼트 시스템 요구 사항」(JISQ15001)에 적합한 사업자로서, 2008년 7월에 프라이버시 마크를 취득해, 법령 준수를 철저히 함과 동시에, 이 규격에 준거한 매니지먼트 시스템의 확립을 추진하고 있습니다. 또한 사업 활동상 개인정보를 취급하는 모든 사업부·그룹 회사에서 프라이버시 마크나 ISO/IEC27001의 인증 취득을 적극적으로 추진하고 있습니다.

프라이버시 마크・ISO/IEC27001(JISQ27001) 인증 취득 상황

인적 대책

인재육성으로 정보보안 강화

DNP는 DNP 그룹 직원을 대상으로 한 교육 및 교육과 특히 정보 보안 강화를 담당하는 인력에 대한 교육 및 교육을 지속적으로 수행합니다. 또한 일본어를 포함한 10개국어의 교재를 작성하여 전 직원에게 교육의 철저를 도모하고 있습니다.

또, 사원 각자의 통상 업무에 종사하면서, 필요하고 충분한 보안 대책을 실현할 수 있는 능력을 보유한 “플러스·보안 인재”의 육성을 향해, 메일 주소를 보유한 국내·해외의 약 3만명의 DNP 그룹 사원에게 사이버 보안의 교육 프로그램을 실시하고 있습니다.

업계에서 정보 보안에 대한 노력을 추진

인쇄업계 전체의 개인정보보호에 관한 레벨업을 도모하기 위해 고도의 전문지식을 가진 사원을 일반사단법인 일본인쇄산업연합회 정보보안부회 개인정보보호 워킹그룹에 파견하여 개인정보보호 안내, Q&A, 교재 등의 책정·작성에 참여하고 있습니다(2004년부터 2명 전속).

사이버 공격 대책 요원의 실천형 육성

그룹사의 사이버 널리지 아카데미는 사이버 보안 선진국인 이스라엘 기업, 이스라엘 에어로스페이스 인더스트리즈(IAI)의 훈련 시스템 'TAME Range'를 도입하여 전형적인 공격 방법부터 최신 사건까지 다양한 사례를 도입한 강의·연습을 실시하고 있습니다.

지금까지 DNP그룹의 대상사원에 가세해 관공청을 비롯해 정보통신·항공·전력업계 등 약 390단체, 8,500명 이상의 보안 담당자에게 강의와 훈련·각종 연습을 실시해 사이버 보안 전문가를 육성하고 있습니다. (2025년 5월 시점)

2023년에는 기업의 경영·관리층을 대상으로 인터넷상의 가상공간·메타버스에서 여러 부문이 연계하여 보안 위협 사건(인시던트) 발생 시 긴급 대응과 조직간 연계를 배울 수 있는 “조직 연계 코스_메타버스 연습”을 개발했습니다.

본 연습은, 인시던트 발생시에 대응 지시등의 책임을 가지는 경영·매니지먼트층의 멤버 4명이, 각각의 역할(롤)로 나누어져, 메타버스로 실시하는 것입니다. 인시던트 발생시 취해야 할 행동이나 조직 연계의 본연의 자세에 대해서, 장소의 제약 없이 배울 수 있습니다.

조직 협력 코스 메타 버스 연습 이미지

조직 연계 코스 메타 버스 연습 수강 이미지

組織連携コース_メタバース演習（サイバーナレッジアカデミー）

물리적·기술적 대책

개인정보 취급부서에서의 대책

개인정보 등을 취급하는 전산처리실 등에서는 생체인증에서의 입퇴장 관리에 의한 외부자의 침입 방지, 감시 카메라의 설치에 의한 부정행위의 견제, 포켓이 없는 작업 착착용에 의한 데이터 등의 반출 방지, 기억 매체의 내보내기 장소의 분리, 금속 탐지기를 이용한 검사, 액세스 로그의 취득·확인, 데이터 기억 매체에 내보내는 작업원

옥외에서 건물내의 하이 시큐리티 존까지의 보안에 관한 물리적 대책을 도식화한 이미지입니다. 경비원, 시큐리티 게이트, 감시 카메라, 생체 인증 등의 대책이 다중으로 설치되어 있습니다.

IC 카드 사원증을 이용한 각 거점에서의 대책

DNP는 IC 카드 사원증을 이용한 다양한 정보 보안 대책을 진행하고 있습니다. 사원증을 사용하여 빌딩과 공장에 출입하는 보안 게이트 시스템의 도입 거점을 늘리고 있습니다. 또, 복합기의 출력시에 사원증에 의한 인증을 필요로 하는 것으로, 관리자가 이용 로그를 서버로 일원 관리할 수 있는 기능을 추가하고 있습니다.

정보의 안전한 전달에 대한 노력

직원이 전자 메일을 그룹 외부로 발신할 때 잘못된 전송으로 인한 정보 유출을 방지하기 위해 수신인 확인, 전송 일시 보류 등의 기능을 가진 메일 오류 전송 방지 도구를 도입하고 있습니다. 또한 고객 기업과의 개인정보의 전달을 네트워크를 통해 안전하게 하는 시스템을 운용하고 있습니다.

취약성 분석

DNP그룹이 운영하는 개인정보 취급용의 인터넷 서버 모두에 대해, 연 2회, 취약성 검사를 실시해, 보다 안전하고 견고한 웹사이트의 구축·운영을 실시하고 있습니다.

또한 사이버 보안에 관한 리스크를 각종 데이터로부터 객관적으로 평가·분석해 가시화하는 레이팅 서비스를 도입하여 지속적으로 모니터링을 실시하고 있습니다.

관련 시책

사이버 공격에 대한 대응

DNP 시서트에 의한 대응

DNP 시서트는 사이버 보안 전반을 담당하는 총괄 조직으로서 보안 강화의 기본 기능 외에도 국내외 그룹 전체에 대해 다음과 같은 활동을 실시하고 있습니다.

ICT 인프라를 시각화하고 보안 취약성 정보를 기반으로 대책 지시 및 적용 상황 확인을 실시
불측 사태 (인시던트) 발생시의 대책 설계와 숙련
불측사태(인시던트) 발생시 각 조직에 대한 지시 및 지원
사이버 보안에 관한 교육, 연습, 계발
내각 사이버 시큐리티 센터나 일본 시서트 협의회 등의 외부 기관과의 제휴
사이버 리스크 보험 가입 및 적용

제로 트러스트 네트워크 도입

최근에는 DX의 추진이나 외부 클라우드의 이용 외에 코로나 태에서 가속한 텔레워크 도입 등 기업 활동과 사람들의 생활이 급속히 변화하고 있습니다. DNP는 이러한 변화를 받아, 디지털 네트워크 이용의 안전성을 높이기 위해, 「아무것도 신뢰하지 않는다」라고 하는 시큐리티의 사고방식인 「제로 트러스트 네트워크」를 도입해, 인터넷 액세스의 안전성의 강화와 PC나 서버 등의 단말마다의 엔드 포인트의 시큐리티를 강화했습니다.

계속해서, 제로 트러스트의 전체상을 파악해, 액세스 제어, 취약성 관리의 강화를 실시하는 것과 동시에, 24시간 365일의 감시 체제의 정비 등, 제로 트러스트의 성숙도를 높이고, 글로벌에서의 시큐러티 대책 강화에 임하고 있습니다.

표적형 공격 메일에 대한 대책 훈련

표적형 공격 메일은 10년 이상 전부터 있는 수법입니다만, 최근에는 메일의 내용이 보다 교묘해지고 있어 국내외에서 큰 위협이 되고 있습니다. 이에 대해 DNP는 해외 그룹사를 포함해 회사의 메일 계정을 가진 모든 직원 등을 대상으로 연 4회의 훈련을 실시하고 있습니다. 본 훈련에 의해, 사원이 표적형 공격의 특징을 이해해, 공격 메일 수신시의 적정한 대처 방법을 습득하는 것과 동시에, 표적형 공격에 의한 피해를 미연에 방지해, 정보 유출 등의 피해를 최소한으로 유지하고 있습니다.

정보 보안 관리의 글로벌 배포

전통적으로 각 해외 거점에서 개별적으로 이용하고 있던 시스템에서 클라우드를 최대한 활용한 공통 시스템으로 마이그레이션함으로써 거버넌스의 강화를 도모하고 있습니다. 이에 따라 각각 환경·문화가 다른 국내외 거점에서 DNP 그룹으로서의 보안기준에 준거해 나갈 것입니다.

또한 해외 그룹사의 정보보안·매니지먼트 추진을 위해 일본어를 포함한 10개국어로 교육 툴을 독자적으로 작성해, 직원의 정보 보안 리터러시 향상에의 대처를 글로벌로 전개하고 있습니다.

메타버스 「경시청 사이버 시큐리티 센터」

DNP는 2023년 경시청 사이버 시큐리티 대책 본부에 의한 「메타버스를 이용한 훈련 실시 위탁」을 받아, 「경시청 사이버 시큐리티 센터」를 오픈했습니다.

본 센터는 사이버 보안에 관한 생활자의 지식을 높이고 위협에 대한 대처 능력 향상을 목표로 목적으로 개발된 것으로, DNP가 주식회사 AKIBA 관광 협의회와 함께 운영하는 메타버스 「버추얼 아키하바라」 내에 설치했습니다.

DNP는 2021년부터 XR(Extended Reality) 기술을 통해 리얼과 가상의 공간을 융합하여 사람들의 체험 가치를 높이는 'XR 커뮤니케이션®' 사업을 전개하고 있습니다. 본 센터의 이용자는, 시간·장소를 불문하고 언제라도, 자신의 이해도나 목적에 응한 사이버 시큐리티에 관한 학습을 진행할 수 있습니다. 본 센터를 통해 DNP는 경시청과 사이버 보안의 인지 계발을 실시함과 동시에 생활자가 범죄에 휘말리는 리스크의 저감과 보다 안전하고 안심한 사회의 발전에 공헌하고 있습니다.

バーチャル秋葉原