メインコンテンツにスキップ
重点テーマ:情報セキュリティ

情報セキュリティ

基本的な考え方

DNPは、企業や生活者などからお預かりした情報資産や自らの情報資産を利活用するなかで培ってきた情報セキュリティの技術・ノウハウを強みとしています。

多くの情報資産を取り扱う企業の社会的責務を果たすため、情報資産の管理・保護に万全なセキュリティを確保するとともに、安全で信頼性が高い製品・サービスを通じて新しい価値を提供していきます。

方針

推進体制

DNPは、本社に情報セキュリティ委員会、情報セキュリティ本部を設置し、事業部およびグループ会社への検査・指導を実施しています。委員長は本社担当常務取締役が務めています。

また、事業主体となる事業部・グループ会社それぞれに情報セキュリティ委員会を設置し、各組織の長が委員長および個人情報管理責任者を担当しています。そのもとで、教育、セキュリティ区域対策、情報システム対策などの課題ごとに、責任者や点検責任者を任命しています。海外グループ会社においても、2015年より情報セキュリティ委員会の設置を進めています。

さらに、2021年10 月には、サイバーセキュリティの対応組織としてDNPシーサート(DNP Computer Security Incident Response Team)を本社に設立し、不測事態(インシデント)発生時の事業継続性を維持しています。

DNPはこうしたマネジメント推進体制のもと、「組織的対策」「人的対策」「物理的・技術的対策」の3つを柱として、情報セキュリティ関連の施策を進めています。

정보 보안 관리 시스템. 대표 이사를 정점으로 기업윤리행동위원회 (위원장: 전무이사), 정보보안위원회 (위원장: 본사 담당 상무이사)에서 연계. 정보보안위원회 에는 정보보안본부가 설치되고 본부 내에 DNP CSIRT 설치되어 있습니다. 정보보안본부는 각 사업부·그룹 회사의 정보보안위원회에서 조직되어 점검책임자, 정보보안추진실장, 정보보안관리자, 교육책임자, 보안구역대책책임자, 외부대응책임자, 정보시스템대책책임자로 구성됩니다. DNP CSIRT 트는 사내기관의 SOC(Security Operation Center)와 CKA(CYBER KNOWLEDGE ACADEMY)로 구성되며, 각 사업부·그룹 회사와도 연계하고 있습니다. 또한 정보보안위원회는 사외기관의 국가사이버통괄실(NCO), 일본 시서트협의회(NCA), JPCERT/CC, 정보처리추진기구(IPA), 일본 네트워크 보안협회(JNSA) 등과 연계하고 있습니다.

指標・目標

DNPは「情報セキュリティ」に関する基本的な考え方に基づき、優先的に取り組む指標と目標値を設定し、継続的な活動につなげています。

指標 目標値 2024年度実績
① 情報セキュリティコンプライアンス評価の実施率
② 個人情報等重点対策実施部門の検査・指導の実施率
③ 情報セキュリティ教育・研修の受講率
④ インターネット公開サイトのセキュリティ脆弱性テスト実施率		 ① 事業部門・グループ会社に対する実施率100%
② 対象部門に対する実施率100%
③ 対象部門による受講率100%
④ 対象サイトに対する実施率100%		 ① 100%(87部門・会社)
② 100%(66回)
③ 100%(受講者数約45,000名)※受講者はサポートスタッフ等含む
④ 100%(実施数412システム)

戦略・リスク管理

DNPは、サイバーセキュリティを含む情報セキュリティを確保するため、企画・設計段階から「セキュリティ・バイ・デザイン」の理念を導入し、リスクの把握と対応計画を策定しています。これにより、効果的に対応する仕組みを構築するとともに、PDCAサイクルを活用し、継続的に改善しています。

組織的対策

社内規定・ルールの整備

개인정보보호에 대해서는 개인정보보호방침・규정의 정비와 함께 DNP그룹 내에서 구체적인 기준에 관한 공통규칙을 제정하고 있습니다. 정보보안에 대해서는 정보보안기본방침, 정보보안기본규정을 정비하고 이에 따라 문서관리, 컴퓨터 이용, 외부자입입금지구역, 교육, 웹사이트, 소셜미디어 등 10가지 기준을 정하고 있습니다. 새로운 위협, 리스크 등에의 대응에 대해서는, 신속한 통달, 룰 제정·개정을 실시해, 주지 철저를 하고 있습니다.

マネジメントシステムの確立

大日本印刷株式会社は、日本産業規格「個人情報保護マネジメントシステム要求事項」(JISQ15001)に適合した事業者として、2008年7月にプライバシーマークを取得し、法令遵守を徹底するとともに、同規格に準拠したマネジメントシステムの確立を推進しています。また、事業活動上、個人情報を取り扱うすべての事業部・グループ会社で、プライバシーマークや、ISO/IEC27001の認証取得を積極的に進めています。

プライバシーマーク・ISO/IEC27001(JISQ27001)認証取得状況

人的対策

人材育成による情報セキュリティの強化

DNPは、DNPグループ社員を対象にした教育・研修と、特に情報セキュリティの強化を担当する人材に対する教育・研修を継続的に行っています。また、日本語を含む10カ国語の教材を作成し、全社員に教育の徹底を図っています。

また、社員各自の通常業務に携わりながら、必要かつ十分なセキュリティ対策を実現できる能力を保有する“プラス・セキュリティ人材”の育成に向けて、メールアドレスを保有する国内・海外の約3万人のDNPグループ社員に対し、サイバーセキュリティの教育プログラムを実施しています。

業界における情報セキュリティへの取り組みを推進

印刷業界全体の個人情報保護に関するレベルアップを図るため、高度な専門知識を有する社員を一般社団法人日本印刷産業連合会情報セキュリティ部会個人情報保護ワーキンググループに派遣し、個人情報保護の手引き、Q&A、教材などの策定・作成に参画しています(2004年より2名専属)。

サイバー攻撃対策要員の実践型育成

그룹사의 Cyber Knowledge Academy는 사이버 보안 선진국인 이스라엘 기업, 이스라엘 에어로스페이스 인더스트리즈(IAI)의 훈련 시스템 'TAME Range'를 도입하여 전형적인 공격 방법부터 최신 사건까지 다양한 사례를 도입한 강의·연습을 실시하고 있습니다.

사이버 공격 대책 요원의 실천형 육성 이미지도. 연습 관리 시스템은 자동 공격 시스템을 통해 사이버 공격을 재현하고 수강자 연습 시스템에서 실천 연습을 실시하고 평가합니다. 「자동 공격 시스템」에서는, 진짜 사이버 공격을 재현한 연속 공격 시나리오에 의한 자동 공격을 실시합니다. 「연습 관리 시스템」에서는, 공격 기동 지시를 실시해, 「지도 전달-평가 시스템」을 상황 모니터에 표시합니다. 「수강자 연습 시스템」(기업내 정보 시스템의 재현)에서는, 실천・공격에의 대처를 실시해 대처 보고를 실시합니다.

これまでに、DNPグループの対象社員に加え、官公庁をはじめ情報通信・航空・電力業界など約390団体、8,500名以上のセキュリティ担当者に講義と訓練・各種演習を実施し、サイバーセキュリティのスペシャリストを育成しています。(2025年5月時点)

2023年には、企業の経営・マネジメント層を対象に、インターネット上の仮想空間・メタバースで、複数の部門が連携してセキュリティ上の脅威事象(インシデント)発生時の緊急対応と組織間連携を学べる「組織連携コース_メタバース演習」を開発しました。

本演習は、インシデント発生の際に対応指示等の責任を持つ経営・マネジメント層のメンバー4人が、それぞれの役割(ロール)に分かれて、メタバースで実施するものです。インシデント発生時に取るべき行動や組織連携のあり方について、場所の制約なく学ぶことができます。

CISO, CSIRT, 사무부장, 홍보부장에서의 상황 설명에 대한 채팅 이미지. 채팅 화면에 다음 대화. CISO 「과거와 비슷한 사건은 없었나?」 CSIRT 「힌트를 찾아 보겠습니다」 사무부장 「어떻게 하면 좋을까?」 組織連携コース メタバース演習のイメージ
組織連携コース メタバース演習受講イメージ
組織連携コース_メタバース演習(サイバーナレッジアカデミー)

物理的・技術的対策

個人情報取り扱い部署での対策

個人情報などを扱う電算処理室などでは、生体認証での入退場管理による部外者の侵入防止、監視カメラの設置による不正行為の牽制、ポケットのない作業着着用によるデータなどの持ち出し防止、記憶媒体の書き出し場所の分離、金属探知機を用いた検査、アクセスログの取得・確認、データ記憶媒体に書き出す作業員の少数化などの対策を実施し、管理をより強化しています。

옥외에서 건물내의 하이 시큐리티 존까지의 보안에 관한 물리적 대책을 도식화한 이미지입니다. 경비원, 시큐리티 게이트, 감시 카메라, 생체 인증 등의 대책이 다중으로 설치되어 있습니다.

ICカード社員証を利用した各拠点における対策

DNPは、ICカード社員証を利用したさまざまな情報セキュリティ対策を進めています。社員証を使ってビルや工場に出入りするセキュリティゲートシステムの導入拠点を増やしています。また、複合機の出力時に社員証による認証を必要とすることで、管理者が利用ログをサーバーで一元管理できる機能を追加しています。

情報の安全な受け渡しへの取り組み

社員が電子メールをグループ外に発信する際、誤送信による情報漏洩を防ぐため、宛先確認、送信の一時保留などの機能を持つメール誤送信防止ツールを導入しています。また、顧客企業との個人情報の受け渡しをネットワーク経由で安全に行うシステムを運用しています。

脆弱性分析

DNPグループが運営する個人情報取り扱い用のインターネットサーバーすべてに対し、年2回、脆弱性検査を実施し、より安全で強固なウェブサイトの構築・運営を行っています。

また、サイバーセキュリティに関するリスクを各種データから客観的に評価・分析して可視化するレーティングサービスを導入し、継続的にモニタリングを実施しています。

関連施策

サイバー攻撃への対応

DNPシーサートによる対応

DNPシーサートは、サイバーセキュリティ全般を担う統括組織として、セキュリティ強化の基本機能に加え、国内外のグループ全体に対して以下の活動を実施していきます。

  • ICT インフラを可視化し、セキュリティ脆弱性情報に基づく対策指示と適用状況確認を実施
  • 不測事態(インシデント)発生時の対策設計と習熟
  • 不測事態(インシデント)発生時の各組織への指示と支援
  • サイバーセキュリティに関する教育・演習・啓発
  • 内閣サイバーセキュリティセンターや日本シーサート協議会等の外部機関との連携
  • サイバーリスク保険の加入・適用

ゼロトラストネットワークの導入

近年は、DXの推進や外部クラウドの利用のほか、コロナ禍で加速したテレワーク導入など、企業活動や人々の暮らしが急速に変化しています。DNPはこうした変化を受け、デジタルネットワーク利用の安全性を高めるため、「何も信頼しない」というセキュリティの考え方である「ゼロトラストネットワーク」を導入し、インターネットアクセスの安全性の強化とパソコンやサーバ等の端末ごとのエンドポイントのセキュリティを強化しました。

引き続き、ゼロトラストの全体像を把握し、アクセス制御、脆弱性管理の強化を行うとともに、24時間365日の監視体制の整備など、ゼロトラストの成熟度を高め、グローバルでのセキュリティ対策強化に取り組んでいます。

標的型攻撃メールへの対策訓練

표적형 공격 메일은 10년 이상 전부터 있는 수법입니다만, 최근에는 메일의 내용이 보다 교묘해지고 있어 국내외에서 큰 위협이 되고 있습니다. 이에 대해 DNP는 해외 그룹사를 포함해 회사의 메일 계정을 가진 모든 직원 등을 대상으로 연 4회의 훈련을 실시하고 있습니다. 본 훈련에 의해, 사원이 표적형 공격의 특징을 이해해, 공격 메일 수신시의 적정한 대처 방법을 습득하는 것과 동시에, 표적형 공격에 의한 피해를 미연에 방지해, 정보 유출 등의 피해를 최소한으로 유지하고 있습니다.

情報セキュリティマネジメントのグローバル展開

従来、各海外拠点で個別に利用していたシステムから、クラウドを最大限活用した共通のシステムに移行することで、ガバナンスの強化を図っています。これにより、それぞれ環境・文化の異なる国内外の拠点において、DNPグループとしてのセキュリティ基準に準拠していきます。

また、海外グループ会社の情報セキュリティ・マネジメント推進のため、日本語を含む10カ国語で教育ツールを独自に作成し、社員の情報セキュリティリテラシー向上への取り組みをグローバルで展開しています。

メタバース「警視庁サイバーセキュリティセンター」

DNPは2023年、警視庁サイバーセキュリティ対策本部による「メタバースを利用した訓練実施委託」を受け、「警視庁サイバーセキュリティセンター」をオープンしました。

本センターは、サイバーセキュリティに関する生活者の知識を高め、脅威への対処能力向上を目指す目的で開発されたもので、DNPが株式会社AKIBA観光協議会とともに運営するメタバース「バーチャル秋葉原」内に設置しました。

DNPは2021年から、XR(Extended Reality)技術によってリアルとバーチャルの空間を融合して人々の体験価値を高める「XRコミュニケーション®」の事業を展開しています。本センターの利用者は、時間・場所を問わずいつでも、自身の理解度や目的に応じたサイバーセキュリティに関する学習を進めることができます。本センターを通じて、DNPは警視庁とサイバーセキュリティの認知啓発をおこなうとともに、生活者が犯罪に巻き込まれるリスクの低減や、より安全・安心な社会の発展に貢献しています。

バーチャル秋葉原