1. KDDIホーム
  2. 企業情報
  3. KDDIについて
  4. 公開情報
  5. セキュリティポータル

セキュリティポータル

Security Portal

情報セキュリティ部会長メッセージ

KDDI株式会社
執行役員専務
CTO コア技術統括本部長
兼 情報セキュリティ部会長
吉村 和幸

当社は、KDDI VISION 2030として、「『つなぐチカラ』を進化させ、誰もが思いを実現できる社会をつくる。」をメッセージに掲げ、豊かなコミュニケーション社会の発展に向けてさまざまな事業に取り組んでいます。これらを進める上で課題となるのが情報セキュリティです。当社は、社会インフラを担う通信事業者として、いつでもお客さまに安心・安全な通信サービスを提供するため、情報セキュリティを極めて重要な課題と位置付けています。
近年、通信はあらゆる産業や人々の生活に溶け込んでおり、そこにAIが融合されることで、社会基盤としての役割が一層重要になっています。その一方で、サイバー攻撃の手口もますます複雑化・巧妙化しています。例えば、地政学的な背景を持つ高度なサイバー攻撃による機密情報の漏えいやランサムウェア攻撃は、企業にとって深刻な脅威であるだけでなく、我が国の安全保障にとって大きな脅威となっています。また、フィッシング詐欺も増加の一途であり、お客さまが利用するサービスの不正利用による被害につながっています。
このような状況を踏まえ、当社では、システムへの不正侵入やDDoS攻撃、ランサムウェア攻撃などのサイバー攻撃に加え、フィッシング詐欺被害に対応するための体制を整備しています。また、被害を未然に防ぐための取り組みに加え、速やかに攻撃を検知・監視する仕組みを構築しています。さらに、サイバー攻撃の監視において、AIを活用するなど、セキュリティ対策の強化に継続的に取り組んでいます。これらの取り組みにより、サイバー攻撃によるサービスへの被害を最小限に抑え、お客さまに安心して通信サービスをご利用いただけるよう努めています。
当社は、お客さまの重要な情報資産や通信サービスを守るため、新たな脅威への対応を進化させ続け、お客さまに安心して通信サービスをご利用いただけるよう努めてまいります。

方針

情報セキュリティに関するポリシー

KDDIグループは、高度化・巧妙化が進むサイバー攻撃に対応するため、情報セキュリティに関するリスクマネジメントは非常に重要な課題と認識し、情報セキュリティガバナンスの強化に取り組んでいます。具体的には、情報セキュリティ管理体制の確立や情報セキュリティ対策の実施、社内規程の整備などを行っています。これらは、情報セキュリティに関する基本方針を定めた「セキュリティポリシー」の一環です。
また、KDDIグループ会社に対しては、「KDDIグループ情報セキュリティ共通基準」を制定し、グループ会社全社へ展開しています。これにより、KDDIグループ全体のセキュリティレベルの向上を図るとともに、定期的な監査を通じて各社のセキュリティ状況を把握し、KDDIグループ全体の情報セキュリティガバナンスの強化に継続的に取り組んでいます。

データ利用における基本指針とプライバシーポリシー

KDDIは、さまざまなサービス・商品の提供などの事業活動を通じて、お客さまの体験価値向上や社会の持続的発展に貢献するため、お客さまのパーソナルデータを取得し利用することがあります。ここでいうパーソナルデータとは、個人情報保護法で規定される個人情報に限らず、個人に関するデータを含みます。その上で、KDDIは、パーソナルデータの重要性を認識し、その保護の徹底を図るために基本理念を明確化し、自らの行動指針を定めるものとして「データ利用における基本指針」を掲げています。
また、KDDIはこの指針に基づき、パーソナルデータの取り扱いに関する方針として「プライバシーポリシー」を策定しています。適正な顧客情報の取り扱いを目指し、社内組織の整備、第三者による評価の実施、サービス導入前のプライバシー影響評価(PIA)の導入などの対応を実施しています。

情報セキュリティ管理体制

情報資産に関わるKDDIグループ全体での統一的な情報セキュリティの確保を目的に、代表取締役社長を委員長とした「リスクマネジメント委員会」配下に「情報セキュリティ部会」を設置し、全社的な組織体制で運用しています。この体制により、情報セキュリティの管理状況を的確に把握するとともに、情報セキュリティ強化のための各種施策をKDDIグループ全体に迅速に展開できる体制を整備しています。
なお、リスクマネジメント委員会は、リスクマネジメントを統括する組織として、情報セキュリティ部会を含む全7部会を設置しています。経営上の重要リスクを一元的に集約し、リスク分析に基づいて必要な対策を速やかに講じられる体制を構築しています。

<情報セキュリティ管理体制図>

情報セキュリティ部会体制

KDDIおよびKDDIグループ全体で統一的な情報セキュリティを確保するために、経営層および営業・技術・コーポレートの各部門長を構成員とする「情報セキュリティ部会」を設置しています。この部会は、情報資産に係る統一的な情報セキュリティを確保するための全社的な組織体制の整備を目的としています。また、情報セキュリティ部会の配下に、KDDIやグループ会社の各部門の代表者からなる「情報セキュリティ推進者会議」および「グループ会社情報セキュリティ推進者会議」を設置しており、グループ全体での情報セキュリティ推進体制を構築しています。

セキュリティインシデントなどの対応体制

KDDIでは、セキュリティインシデントや脆弱性、疑わしい活動を社員が発見した場合に、迅速かつ適切に対処できるよう、社員からの報告体制を整備し、運用しています。情報漏えいなどのセキュリティインシデントが発生した際には、対策本部関連部門を招集し、対応を検討します。必要に応じて、重大事故対策会議の開催や経営層へエスカレーションし、社内関連部門が一丸となって対応できる体制を整えています。
また、インシデントに対応する専門組織CSIRT(Computer Security Incident Response Team)は、サイバー攻撃対策センター、ICT-ISAC、JPCERT/CC(JPCERTコーディネーションセンター)などの社外セキュリティ機関、NCA(日本シーサート協議会)やFIRST(Forum of Incident Response and Security Teams)といった外部組織とも連携し、原因調査や証拠保全などを行っています。これにより、事態収束に向けて、社内外の統制を確保しています。
さらに、サービスを所掌するSSIRT(Service Security Incident Readiness & response Team)も、監視・報告体制を整備しており、JPCERT/CCやフィッシング対策協議会、日本サイバー犯罪対策センター、関係会社とも連携しています。

<情報共有機関・社外報告先との連携体制図>

情報セキュリティガバナンス

情報セキュリティマネジメントサイクル

KDDIは、ISMS認証(ISO/IEC27001:2022)を取得しており、情報セキュリティマネジメントサイクルを導入しています。このサイクルでは、計画段階において情報セキュリティポリシーを策定し、以下の情報セキュリティマネジメントサイクル(PDCAサイクル)に従って、チェックや見直し、改善を実施しています。

  • 情報セキュリティに対する第三者適合性評価制度。情報セキュリティ全体の向上に貢献するとともに、国際的にも信頼を得られる情報セキュリティレベルの達成を目的とした制度。

  • 計画(Plan)

    情報資産の洗い出しを行い、リスクや課題を整理し、組織や企業の状況に合った情報セキュリティ対策の方針を定めた情報セキュリティポリシーを策定する。

  • 導入・運用(Do)

    全社員に周知し、必要に応じて、研修などの教育を行う。社員がセキュリティポリシーにのっとって行動することで、目的とする情報セキュリティレベルを維持する。

  • 点検・評価(Check)

    導入後の現場の状況や問題点、社会的な状況などを踏まえて、定期的に情報セキュリティポリシー自体を評価する。また、遵守されているかどうかの監査も行う。

  • 見直し・改善(Act)

    点検・評価の内容を参考にして、情報セキュリティポリシーの見直し・改善を行う。

<情報セキュリティマネジメントサイクルの概要>

セキュリティ監査

ISMS内部監査

KDDIは、ISMS認証の範囲にある各部門と関係各社に対し、社内の監査員によるISMS内部監査を実施しています。この監査では、社内の情報セキュリティ規程が適切に運用されているか、情報セキュリティ管理活動が計画的に実行されているか、また、ISMS活動が監査対象組織に浸透し有効に機能しているかを確認し、遵守していない場合は是正を求めます。さらに、ISMS内部監査の結果を分析し、その有効性評価を踏まえ、見直しと改善を行っています。

業務委託先監査

KDDIの情報資産を取り扱う業務の一部または全部をKDDIが委託している場合、KDDIと同等のセキュリティレベルが適切に維持されていることを確認するため、年1回以上の頻度で業務委託先を監査しています。さらに、重要度の高い業務委託のなかから毎年選定し、専門部門の監査員による業務委託先の特別監査も実施しています。

重要度に応じた情報資産の管理

KDDIでは、社内の情報セキュリティ規程に基づいて情報資産の分類を行い、その重要度に応じた情報資産の取り扱い方法を定めるとともに、セキュリティ対策を適用することで、適切な情報資産管理を実現しています。例えば、お客さまの情報については、インターネットからのアクセスが遮断された端末のみで取り扱っており、厳格な権限管理を施すなど、限られた端末だけが当該情報資産にアクセスできるようになっています。また、重要な情報と分類された情報資産については、強固な暗号化を施すことで、社外の第三者が閲覧できないように情報資産を保護しています。
KDDIでは、このように情報資産の重要度に応じた適切なセキュリティ対策を実施することにより、徹底した情報資産の管理を実現しています。

セキュリティ人財育成

KDDIでは、お客さまのデータや提供しているサービスをサイバー攻撃から守るために、セキュリティ人財育成プログラムを整備し、体系的なセキュリティ人財育成に取り組んでいます。本プログラムにおいて、社員の成長とキャリアの発展を重視しIPA(独立行政法人情報処理推進機構)が運営する国家資格「情報処理安全確保支援士(登録セキスペ)」の取得を積極的に推奨しており、専門的なトレーニングや学習支援の提供など資格取得に向けた準備をサポートしています。2025年10月時点でのKDDIグループにおける資格登録者数は321名と、国内有数の人数となっています。

情報処理安全確保支援士 資格登録者数321名※
  • IPA公開名簿をもとに、勤務先名称「KDDI株式会社」と登録のあるものを抽出(2025年10月集計)

人財育成は、社員の成長を促進し、企業の高い水準を示すための重要な取り組みです。資格取得者を増やし、KDDIの専門性と技術力を向上させることを目的としています。その他、社員1万1千人を対象にeラーニング形式の情報セキュリティ研修を実施し、社員のセキュリティ意識およびスキル向上に継続的に取り組んでいます。最新のサイバー脅威動向や情報漏えい事例、またそれらの対策について継続的に学習することで、情報セキュリティへの意識付けと、事故防止のためのスキル向上を図っています。

内容 対象者 実施方法
新入社員向けセキュリティ研修 新入社員 集合研修
セキュリティ基礎研修 全従業員 eラーニング
ライン長向けセキュリティ研修 ライン長 eラーニング/集合研修

<情報セキュリティ研修例>

セキュリティ強化に向けた施策

システムセキュリティ監査および脆弱性診断

KDDIでは、システムを構築または改修する際に、必要なセキュリティ要件が遵守されているかどうかを専門部署の担当者が「システムセキュリティ監査」により確認します。この監査では、システムにおけるセキュリティ要件を定めた規程である「全社システムセキュリティ管理要領」に基づき、その内容を実装レベルに細分化したチェックシートである「セキュリティ設計書」を使用し、システム化検討フェーズの段階で各項目の遵守状況を確認しています。なお、監査で用いるこれらの規程および設計書については、最新のサイバー攻撃の手法などを踏まえて適宜改定を行っており、常にセキュリティレベルの向上に取り組んでいます。
また、システムセキュリティ監査では単に検討フェーズでチェックシートを用いて確認を行うだけでなく、その後の開発フェーズにおいてネットワーク脆弱性診断やWeb脆弱性診断といった、実際のシステムに対する脆弱性の有無の点検も併せて実施するほか、システムのリリース後も定期的な監査や点検、脆弱性診断を継続することで、当社システムのセキュリティレベルの維持・強化にも取り組んでいます。

<セキュリティ監査の流れ>

セキュリティ監視

KDDIでは全国の電気通信設備を統合監視しており、大規模障害発生時には各拠点と連携し、全体統制、復旧対応の指示および情報展開を行います。万が一、サイバー攻撃を受けた場合は、この統合監視体制とセキュリティ監視を連携することで迅速に対処できる体制を構築しています。
セキュリティ監視では、不正アクセスや改ざん、標的型攻撃などのサイバー攻撃の脅威に対して専門的な訓練を受けたセキュリティエンジニアが24時間365日の体制で監視しています。セキュリティ監視機器から出力されるログを監視・分析し、膨大なログの中から攻撃の兆候を見つけ出します。また、不正アクセスや改ざんなどの危険なインシデントが発生した場合、リアルタイムにこれを検知するとともに、必要に応じてCSIRTおよび社内の関係部門へ迅速に連絡を行い、対処を指示します。
KDDIでは、万が一の有事においてもセキュリティ監視が継続できるよう、事業継続計画(BCP)として体制や手順を整備しています。また、体制の検証や手順の習熟、改善を目的とし、さまざまな想定シナリオに基づく事業継続のための訓練を定期的に実施しています。

サービスセキュリティの取組み

近年、企業を装うEメールやSMSを送ることで、URLリンク先の偽サイトへ誘導し、お客さまの認証情報を詐取した上でお客さまの情報を不正に利用するなど、いわゆるフィッシング詐欺が増加の一途をたどっています。また、偽サイトからマルウェア(危害を及ぼす偽アプリ)をインストールさせる高度な手口も常態化しています。KDDIでは、このような企業を装ってサービスを悪用しお客さまに危害を及ぼすサービスの不正利用に対応する専門組織としてSSIRTを設置して対策強化に取り組んでいます。
SSIRTでは、こうしたフィッシング詐欺などに対抗するため、従来からの迷惑メール対策に加え、お客さまへの情報発信や偽サイトの発生を能動検知し関連機関と連携して対処するなど、偽サイトによる被害抑止に取り組んでいます。
また、正規利用者のアカウントを乗っ取る不正なログインを24時間365日監視する体制を整備し、不正ログイン対策にも取り組んでいます。
これらに加えたKDDI独自の運用として、新たなサービスの検討プロセスに不正利用対策の観点での専門家による監査を導入し、サービスにおける認証などの不備を発生させないチェック体制も整備し、一層の対策強化を図っています。
フィッシング詐欺の手口は日々巧妙化しているため、悪意者の動向に注視しつつ、継続的にKDDIサービスのセキュリティ強化を進めると共に、新たな脅威への対策にも取り組んでいきます。

サイバーセキュリティアニュアルレポート

KDDIグループの情報セキュリティに関する活動をステークホルダーの皆様へご紹介し、事業への信頼性を高めていただくことを目的にサイバーセキュリティアニュアルレポートを発刊しています。

セキュリティ社外評価

KDDIの情報セキュリティに関する取り組みについて、国内外の評価機関による評価結果をステークホルダーの皆様へご紹介し、KDDIのセキュリティ水準に対する客観性および事業への信頼性を高めていただくことを目的に、セキュリティ社外評価の情報を開示しています。

お知らせ

情報セキュリティ管理体制を更新