メインコンテンツにスキップ
重点テーマ:情報セキュリティ

情報セキュリティ

基本的な考え方

DNPは、企業や生活者などからお預かりした情報資産や自らの情報資産を利活用するなかで培ってきた情報セキュリティの技術・ノウハウを強みとしています。

多くの情報資産を取り扱う企業の社会的責務を果たすため、情報資産の管理・保護に万全なセキュリティを確保するとともに、安全で信頼性が高い製品・サービスを通じて新しい価値を提供していきます。

方針

推進体制

DNPは、本社に情報セキュリティ委員会、情報セキュリティ本部を設置し、事業部およびグループ会社への検査・指導を実施しています。委員長は本社担当常務取締役が務めています。

また、事業主体となる事業部・グループ会社それぞれに情報セキュリティ委員会を設置し、各組織の長が委員長および個人情報管理責任者を担当しています。そのもとで、教育、セキュリティ区域対策、情報システム対策などの課題ごとに、責任者や点検責任者を任命しています。海外グループ会社においても、2015年より情報セキュリティ委員会の設置を進めています。

さらに、2021年10 月には、サイバーセキュリティの対応組織としてDNPシーサート(DNP Computer Security Incident Response Team)を本社に設立し、不測事態(インシデント)発生時の事業継続性を維持しています。

DNPはこうしたマネジメント推進体制のもと、「組織的対策」「人的対策」「物理的・技術的対策」の3つを柱として、情報セキュリティ関連の施策を進めています。

信息安全管理架构图。CEO位于最高层,企业道德与董事企业伦理行动委员会(由专务董事委员长)和信息安全委员会(委员长常务董事担任主席)协同运作。信息安全委员会,总部内又设有DNP CSIRT响应小组)。信息安全总部由各业务部门和集团公司的信息安全委员会组成,下设检查经理、信息安全推进办公室主任、信息安全经理、教育经理、安全区域对策经理、外部响应经理和信息系统对策经理。DNP DNP CSIRT由内部组织SOC(安全运营中心)和CKA(网络知识学院)组成,也与各业务部门和集团公司协同运作。此外,信息安全委员会还与国家网络安全办公室(NCO)、日本计算机安全事件响应小组协会(NCA)、日本计算机安全事件响应小组/协调中心(JPCERT/CC)、信息技术促进机构(IPA)和日本网络安全协会(JNSA)等外部组织合作。

指標・目標

DNPは「情報セキュリティ」に関する基本的な考え方に基づき、優先的に取り組む指標と目標値を設定し、継続的な活動につなげています。

指標 目標値 2024年度実績
① 情報セキュリティコンプライアンス評価の実施率
② 個人情報等重点対策実施部門の検査・指導の実施率
③ 情報セキュリティ教育・研修の受講率
④ インターネット公開サイトのセキュリティ脆弱性テスト実施率		 ① 事業部門・グループ会社に対する実施率100%
② 対象部門に対する実施率100%
③ 対象部門による受講率100%
④ 対象サイトに対する実施率100%		 ① 100%(87部門・会社)
② 100%(66回)
③ 100%(受講者数約45,000名)※受講者はサポートスタッフ等含む
④ 100%(実施数412システム)

戦略・リスク管理

DNPは、サイバーセキュリティを含む情報セキュリティを確保するため、企画・設計段階から「セキュリティ・バイ・デザイン」の理念を導入し、リスクの把握と対応計画を策定しています。これにより、効果的に対応する仕組みを構築するとともに、PDCAサイクルを活用し、継続的に改善しています。

組織的対策

社内規定・ルールの整備

关于个人信息保护,我们制定了个人信息保护政策和规定,并制定了DNP集团内具体标准的共同规则。关于信息安全,我们制定了信息安全基本政策和信息安全基本规则,并在此基础上制定了文件管理,计算机使用,外部人员禁区,教育,网站,社交媒体等10项标准。关于新的威胁、风险等的应对,迅速通知、制定和修改规则,彻底周知。

マネジメントシステムの確立

大日本印刷株式会社は、日本産業規格「個人情報保護マネジメントシステム要求事項」(JISQ15001)に適合した事業者として、2008年7月にプライバシーマークを取得し、法令遵守を徹底するとともに、同規格に準拠したマネジメントシステムの確立を推進しています。また、事業活動上、個人情報を取り扱うすべての事業部・グループ会社で、プライバシーマークや、ISO/IEC27001の認証取得を積極的に進めています。

プライバシーマーク・ISO/IEC27001(JISQ27001)認証取得状況

人的対策

人材育成による情報セキュリティの強化

DNPは、DNPグループ社員を対象にした教育・研修と、特に情報セキュリティの強化を担当する人材に対する教育・研修を継続的に行っています。また、日本語を含む10カ国語の教材を作成し、全社員に教育の徹底を図っています。

また、社員各自の通常業務に携わりながら、必要かつ十分なセキュリティ対策を実現できる能力を保有する“プラス・セキュリティ人材”の育成に向けて、メールアドレスを保有する国内・海外の約3万人のDNPグループ社員に対し、サイバーセキュリティの教育プログラムを実施しています。

業界における情報セキュリティへの取り組みを推進

印刷業界全体の個人情報保護に関するレベルアップを図るため、高度な専門知識を有する社員を一般社団法人日本印刷産業連合会情報セキュリティ部会個人情報保護ワーキンググループに派遣し、個人情報保護の手引き、Q&A、教材などの策定・作成に参画しています(2004年より2名専属)。

サイバー攻撃対策要員の実践型育成

集团公司网络知识学院介绍了以色列航空航天工业公司 (IAI) 的培训系统“TAME Range”,这是一家位于以色列的网络安全发达国家,从典型攻击方法到最新事件,各种我们进行包含案例的讲座和练习。

网络攻击对策人员的实用培训图像图。练习管理系统通过自动攻击系统重现网络攻击,并在学生练习系统中执行和评估实践练习。“自动攻击系统”通过再现真实网络攻击的连续攻击场景进行自动攻击。“练习管理系统”提供攻击启动指令,并在状态监视器上显示“指导传输-评估系统”。在“学生演习系统” (再现内部信息系统) 中,我们将处理实际攻击并报告对策。

これまでに、DNPグループの対象社員に加え、官公庁をはじめ情報通信・航空・電力業界など約390団体、8,500名以上のセキュリティ担当者に講義と訓練・各種演習を実施し、サイバーセキュリティのスペシャリストを育成しています。(2025年5月時点)

2023年には、企業の経営・マネジメント層を対象に、インターネット上の仮想空間・メタバースで、複数の部門が連携してセキュリティ上の脅威事象(インシデント)発生時の緊急対応と組織間連携を学べる「組織連携コース_メタバース演習」を開発しました。

本演習は、インシデント発生の際に対応指示等の責任を持つ経営・マネジメント層のメンバー4人が、それぞれの役割(ロール)に分かれて、メタバースで実施するものです。インシデント発生時に取るべき行動や組織連携のあり方について、場所の制約なく学ぶことができます。

关于CISO, CSIRT,秘书长,公共关系经理情况解释的聊天图像。聊天屏幕上的以下对话。CISO “以前发生过类似的事件吗?” CSIRT“我将寻找提示”总经理“我该怎么办?”公共关系经理“和当地取得联系了吗?” 組織連携コース メタバース演習のイメージ
組織連携コース メタバース演習受講イメージ
組織連携コース_メタバース演習(サイバーナレッジアカデミー)

物理的・技術的対策

個人情報取り扱い部署での対策

個人情報などを扱う電算処理室などでは、生体認証での入退場管理による部外者の侵入防止、監視カメラの設置による不正行為の牽制、ポケットのない作業着着用によるデータなどの持ち出し防止、記憶媒体の書き出し場所の分離、金属探知機を用いた検査、アクセスログの取得・確認、データ記憶媒体に書き出す作業員の少数化などの対策を実施し、管理をより強化しています。

它是从室外到建筑物内高安全区的安全物理措施的图形化图像。设置了保安、安检门、监控摄像头、生物认证等多重对策。

ICカード社員証を利用した各拠点における対策

DNPは、ICカード社員証を利用したさまざまな情報セキュリティ対策を進めています。社員証を使ってビルや工場に出入りするセキュリティゲートシステムの導入拠点を増やしています。また、複合機の出力時に社員証による認証を必要とすることで、管理者が利用ログをサーバーで一元管理できる機能を追加しています。

情報の安全な受け渡しへの取り組み

社員が電子メールをグループ外に発信する際、誤送信による情報漏洩を防ぐため、宛先確認、送信の一時保留などの機能を持つメール誤送信防止ツールを導入しています。また、顧客企業との個人情報の受け渡しをネットワーク経由で安全に行うシステムを運用しています。

脆弱性分析

DNPグループが運営する個人情報取り扱い用のインターネットサーバーすべてに対し、年2回、脆弱性検査を実施し、より安全で強固なウェブサイトの構築・運営を行っています。

また、サイバーセキュリティに関するリスクを各種データから客観的に評価・分析して可視化するレーティングサービスを導入し、継続的にモニタリングを実施しています。

関連施策

サイバー攻撃への対応

DNPシーサートによる対応

DNPシーサートは、サイバーセキュリティ全般を担う統括組織として、セキュリティ強化の基本機能に加え、国内外のグループ全体に対して以下の活動を実施していきます。

  • ICT インフラを可視化し、セキュリティ脆弱性情報に基づく対策指示と適用状況確認を実施
  • 不測事態(インシデント)発生時の対策設計と習熟
  • 不測事態(インシデント)発生時の各組織への指示と支援
  • サイバーセキュリティに関する教育・演習・啓発
  • 内閣サイバーセキュリティセンターや日本シーサート協議会等の外部機関との連携
  • サイバーリスク保険の加入・適用

ゼロトラストネットワークの導入

近年は、DXの推進や外部クラウドの利用のほか、コロナ禍で加速したテレワーク導入など、企業活動や人々の暮らしが急速に変化しています。DNPはこうした変化を受け、デジタルネットワーク利用の安全性を高めるため、「何も信頼しない」というセキュリティの考え方である「ゼロトラストネットワーク」を導入し、インターネットアクセスの安全性の強化とパソコンやサーバ等の端末ごとのエンドポイントのセキュリティを強化しました。

引き続き、ゼロトラストの全体像を把握し、アクセス制御、脆弱性管理の強化を行うとともに、24時間365日の監視体制の整備など、ゼロトラストの成熟度を高め、グローバルでのセキュリティ対策強化に取り組んでいます。

標的型攻撃メールへの対策訓練

有针对性的攻击邮件已经存在了10多年,但最近邮件的内容变得更加复杂,成为国内外的主要威胁。另一方面,DNP每年培训四次,包括海外集团公司在内的所有拥有公司电子邮件帐户的员工。通过这种培训,员工了解目标类型攻击的特征,学习如何在接收攻击邮件时采取适当的对策,预先防止目标类型攻击造成的损害,并最大限度地减少信息泄露等损害。

情報セキュリティマネジメントのグローバル展開

従来、各海外拠点で個別に利用していたシステムから、クラウドを最大限活用した共通のシステムに移行することで、ガバナンスの強化を図っています。これにより、それぞれ環境・文化の異なる国内外の拠点において、DNPグループとしてのセキュリティ基準に準拠していきます。

また、海外グループ会社の情報セキュリティ・マネジメント推進のため、日本語を含む10カ国語で教育ツールを独自に作成し、社員の情報セキュリティリテラシー向上への取り組みをグローバルで展開しています。

メタバース「警視庁サイバーセキュリティセンター」

DNPは2023年、警視庁サイバーセキュリティ対策本部による「メタバースを利用した訓練実施委託」を受け、「警視庁サイバーセキュリティセンター」をオープンしました。

本センターは、サイバーセキュリティに関する生活者の知識を高め、脅威への対処能力向上を目指す目的で開発されたもので、DNPが株式会社AKIBA観光協議会とともに運営するメタバース「バーチャル秋葉原」内に設置しました。

DNPは2021年から、XR(Extended Reality)技術によってリアルとバーチャルの空間を融合して人々の体験価値を高める「XRコミュニケーション®」の事業を展開しています。本センターの利用者は、時間・場所を問わずいつでも、自身の理解度や目的に応じたサイバーセキュリティに関する学習を進めることができます。本センターを通じて、DNPは警視庁とサイバーセキュリティの認知啓発をおこなうとともに、生活者が犯罪に巻き込まれるリスクの低減や、より安全・安心な社会の発展に貢献しています。

バーチャル秋葉原