メインコンテンツにスキップ
重点テーマ:情報セキュリティ

情報セキュリティ

基本的な考え方

DNPは、企業や生活者などからお預かりした情報資産や自らの情報資産を利活用するなかで培ってきた情報セキュリティの技術・ノウハウを強みとしています。

多くの情報資産を取り扱う企業の社会的責務を果たすため、情報資産の管理・保護に万全なセキュリティを確保するとともに、安全で信頼性が高い製品・サービスを通じて新しい価値を提供していきます。

方針

推進体制

DNPは、本社に情報セキュリティ委員会、情報セキュリティ本部を設置し、事業部およびグループ会社への検査・指導を実施しています。委員長は本社担当常務取締役が務めています。

また、事業主体となる事業部・グループ会社それぞれに情報セキュリティ委員会を設置し、各組織の長が委員長および個人情報管理責任者を担当しています。そのもとで、教育、セキュリティ区域対策、情報システム対策などの課題ごとに、責任者や点検責任者を任命しています。海外グループ会社においても、2015年より情報セキュリティ委員会の設置を進めています。

さらに、2021年10 月には、サイバーセキュリティの対応組織としてDNPシーサート(DNP Computer Security Incident Response Team)を本社に設立し、不測事態(インシデント)発生時の事業継続性を維持しています。

DNPはこうしたマネジメント推進体制のもと、「組織的対策」「人的対策」「物理的・技術的対策」の3つを柱として、情報セキュリティ関連の施策を進めています。

資訊安全管理架構圖。 CEO位於最高層,企業道德與董事企業倫理行動委員會(由專務董事主任委員)和資訊安全委員會(主任委員常務董事擔任主席)協同運作。資訊安全委員會,總部內又設有DNP CSIRT回應小組)。資訊安全總部由各業務部門和集團公司的資訊安全委員會組成,下設檢查經理、資訊安全推進辦公室主任、資訊安全經理、教育經理、安全區域對策經理、外部響應經理和資訊系統對策經理。 DNP DNP CSIRT由內部組織SOC(安全營運中心)和CKA(網路知識學院)組成,也與各業務部門和集團公司協同運作。此外,資訊安全委員會也與美國國家網路安全辦公室(NCO)、日本電腦安全事件回應小組協會(NCA)、日本電腦安全事件回應小組/協調中心(JPCERT/CC)、資訊科技促進機構(IPA)和日本網路安全協會(JNSA)等外部組織合作。

指標・目標

DNPは「情報セキュリティ」に関する基本的な考え方に基づき、優先的に取り組む指標と目標値を設定し、継続的な活動につなげています。

指標 目標値 2024年度実績
① 情報セキュリティコンプライアンス評価の実施率
② 個人情報等重点対策実施部門の検査・指導の実施率
③ 情報セキュリティ教育・研修の受講率
④ インターネット公開サイトのセキュリティ脆弱性テスト実施率		 ① 事業部門・グループ会社に対する実施率100%
② 対象部門に対する実施率100%
③ 対象部門による受講率100%
④ 対象サイトに対する実施率100%		 ① 100%(87部門・会社)
② 100%(66回)
③ 100%(受講者数約45,000名)※受講者はサポートスタッフ等含む
④ 100%(実施数412システム)

戦略・リスク管理

DNPは、サイバーセキュリティを含む情報セキュリティを確保するため、企画・設計段階から「セキュリティ・バイ・デザイン」の理念を導入し、リスクの把握と対応計画を策定しています。これにより、効果的に対応する仕組みを構築するとともに、PDCAサイクルを活用し、継続的に改善しています。

組織的対策

社内規定・ルールの整備

關於個人信息保護,我們制定了個人信息保護政策和規定,並制定了DNP集團內具體標準的共同規則。關於信息安全,我們制定了信息安全基本政策和信息安全基本規則,並在此基礎上制定了文件管理,計算機使用,外部人員禁區,教育,網站,社交媒體等10項標準。關於新的威脅、風險等的應對,迅速通知、制定和修改規則,徹底周知。

マネジメントシステムの確立

大日本印刷株式会社は、日本産業規格「個人情報保護マネジメントシステム要求事項」(JISQ15001)に適合した事業者として、2008年7月にプライバシーマークを取得し、法令遵守を徹底するとともに、同規格に準拠したマネジメントシステムの確立を推進しています。また、事業活動上、個人情報を取り扱うすべての事業部・グループ会社で、プライバシーマークや、ISO/IEC27001の認証取得を積極的に進めています。

プライバシーマーク・ISO/IEC27001(JISQ27001)認証取得状況

人的対策

人材育成による情報セキュリティの強化

DNPは、DNPグループ社員を対象にした教育・研修と、特に情報セキュリティの強化を担当する人材に対する教育・研修を継続的に行っています。また、日本語を含む10カ国語の教材を作成し、全社員に教育の徹底を図っています。

また、社員各自の通常業務に携わりながら、必要かつ十分なセキュリティ対策を実現できる能力を保有する“プラス・セキュリティ人材”の育成に向けて、メールアドレスを保有する国内・海外の約3万人のDNPグループ社員に対し、サイバーセキュリティの教育プログラムを実施しています。

業界における情報セキュリティへの取り組みを推進

印刷業界全体の個人情報保護に関するレベルアップを図るため、高度な専門知識を有する社員を一般社団法人日本印刷産業連合会情報セキュリティ部会個人情報保護ワーキンググループに派遣し、個人情報保護の手引き、Q&A、教材などの策定・作成に参画しています(2004年より2名専属)。

サイバー攻撃対策要員の実践型育成

網路資安學院集團公司,已採用以色列航空航太工業公司(IAI)的「TAME Range」訓練系統。 IAI是一家總部位於以色列的公司,以色列是網路安全領域的領先國家。學院進行的講座和練習融合了各種案例研究,涵蓋從典型攻擊方法到最新安全事件的各個方面。

網路攻擊對策人員的實用培訓圖像圖。練習管理係統通過自動攻擊係統重現網路攻擊,並在學生練習係統中執行和評估實踐練習。“自動攻擊係統”通過再現真實網路攻擊的連續攻擊場景進行自動攻擊。“練習管理係統”提供攻擊啟動指令,並在狀態監視器上顯示“指導傳輸-評估係統”。在“學生演習係統” (再現內部信息係統) 中,我們將處理實際攻擊並報告對策。

これまでに、DNPグループの対象社員に加え、官公庁をはじめ情報通信・航空・電力業界など約390団体、8,500名以上のセキュリティ担当者に講義と訓練・各種演習を実施し、サイバーセキュリティのスペシャリストを育成しています。(2025年5月時点)

2023年には、企業の経営・マネジメント層を対象に、インターネット上の仮想空間・メタバースで、複数の部門が連携してセキュリティ上の脅威事象(インシデント)発生時の緊急対応と組織間連携を学べる「組織連携コース_メタバース演習」を開発しました。

本演習は、インシデント発生の際に対応指示等の責任を持つ経営・マネジメント層のメンバー4人が、それぞれの役割(ロール)に分かれて、メタバースで実施するものです。インシデント発生時に取るべき行動や組織連携のあり方について、場所の制約なく学ぶことができます。

關於CISO, CSIRT,秘書長,公共關係經理情況解釋的聊天圖像。聊天屏幕上的以下對話。CISO「以前發生過類似的事件嗎?」CSIRT“我將尋找提示”總經理「我該怎麽辦?」公共關係經理「和當地取得聯係了嗎?」 組織連携コース メタバース演習のイメージ
組織連携コース メタバース演習受講イメージ
組織連携コース_メタバース演習(サイバーナレッジアカデミー)

物理的・技術的対策

個人情報取り扱い部署での対策

個人情報などを扱う電算処理室などでは、生体認証での入退場管理による部外者の侵入防止、監視カメラの設置による不正行為の牽制、ポケットのない作業着着用によるデータなどの持ち出し防止、記憶媒体の書き出し場所の分離、金属探知機を用いた検査、アクセスログの取得・確認、データ記憶媒体に書き出す作業員の少数化などの対策を実施し、管理をより強化しています。

它是從室外到建築物內高安全區的安全物理措施的圖形化圖像。設置了保安、安檢門、監控攝像頭、生物認證等多重對策。

ICカード社員証を利用した各拠点における対策

DNPは、ICカード社員証を利用したさまざまな情報セキュリティ対策を進めています。社員証を使ってビルや工場に出入りするセキュリティゲートシステムの導入拠点を増やしています。また、複合機の出力時に社員証による認証を必要とすることで、管理者が利用ログをサーバーで一元管理できる機能を追加しています。

情報の安全な受け渡しへの取り組み

社員が電子メールをグループ外に発信する際、誤送信による情報漏洩を防ぐため、宛先確認、送信の一時保留などの機能を持つメール誤送信防止ツールを導入しています。また、顧客企業との個人情報の受け渡しをネットワーク経由で安全に行うシステムを運用しています。

脆弱性分析

DNPグループが運営する個人情報取り扱い用のインターネットサーバーすべてに対し、年2回、脆弱性検査を実施し、より安全で強固なウェブサイトの構築・運営を行っています。

また、サイバーセキュリティに関するリスクを各種データから客観的に評価・分析して可視化するレーティングサービスを導入し、継続的にモニタリングを実施しています。

関連施策

サイバー攻撃への対応

DNPシーサートによる対応

DNPシーサートは、サイバーセキュリティ全般を担う統括組織として、セキュリティ強化の基本機能に加え、国内外のグループ全体に対して以下の活動を実施していきます。

  • ICT インフラを可視化し、セキュリティ脆弱性情報に基づく対策指示と適用状況確認を実施
  • 不測事態(インシデント)発生時の対策設計と習熟
  • 不測事態(インシデント)発生時の各組織への指示と支援
  • サイバーセキュリティに関する教育・演習・啓発
  • 内閣サイバーセキュリティセンターや日本シーサート協議会等の外部機関との連携
  • サイバーリスク保険の加入・適用

ゼロトラストネットワークの導入

近年は、DXの推進や外部クラウドの利用のほか、コロナ禍で加速したテレワーク導入など、企業活動や人々の暮らしが急速に変化しています。DNPはこうした変化を受け、デジタルネットワーク利用の安全性を高めるため、「何も信頼しない」というセキュリティの考え方である「ゼロトラストネットワーク」を導入し、インターネットアクセスの安全性の強化とパソコンやサーバ等の端末ごとのエンドポイントのセキュリティを強化しました。

引き続き、ゼロトラストの全体像を把握し、アクセス制御、脆弱性管理の強化を行うとともに、24時間365日の監視体制の整備など、ゼロトラストの成熟度を高め、グローバルでのセキュリティ対策強化に取り組んでいます。

標的型攻撃メールへの対策訓練

有針對性的攻擊郵件已經存在了10多年,但最近郵件的內容變得更加復雜,成為國內外的主要威脅。另一方面,DNP每年培訓四次,包括海外集團公司在內的所有擁有公司電子郵件帳戶的員工。通過這種培訓,員工了解目標類型攻擊的特徵,學習如何在接收攻擊郵件時採取適當的對策,預先防止目標類型攻擊造成的損害,並最大限度地減少信息泄露等損害。

情報セキュリティマネジメントのグローバル展開

従来、各海外拠点で個別に利用していたシステムから、クラウドを最大限活用した共通のシステムに移行することで、ガバナンスの強化を図っています。これにより、それぞれ環境・文化の異なる国内外の拠点において、DNPグループとしてのセキュリティ基準に準拠していきます。

また、海外グループ会社の情報セキュリティ・マネジメント推進のため、日本語を含む10カ国語で教育ツールを独自に作成し、社員の情報セキュリティリテラシー向上への取り組みをグローバルで展開しています。

メタバース「警視庁サイバーセキュリティセンター」

DNPは2023年、警視庁サイバーセキュリティ対策本部による「メタバースを利用した訓練実施委託」を受け、「警視庁サイバーセキュリティセンター」をオープンしました。

本センターは、サイバーセキュリティに関する生活者の知識を高め、脅威への対処能力向上を目指す目的で開発されたもので、DNPが株式会社AKIBA観光協議会とともに運営するメタバース「バーチャル秋葉原」内に設置しました。

DNPは2021年から、XR(Extended Reality)技術によってリアルとバーチャルの空間を融合して人々の体験価値を高める「XRコミュニケーション®」の事業を展開しています。本センターの利用者は、時間・場所を問わずいつでも、自身の理解度や目的に応じたサイバーセキュリティに関する学習を進めることができます。本センターを通じて、DNPは警視庁とサイバーセキュリティの認知啓発をおこなうとともに、生活者が犯罪に巻き込まれるリスクの低減や、より安全・安心な社会の発展に貢献しています。

バーチャル秋葉原