情報セキュリティとプライバシーの保護

近年、スマートフォンの普及やビッグデータ・AIの技術が発展したことなどにより、さまざまな個人情報を活用した新しいサービスが検討されています。しかし同時にプライバシーに関わる問題も多数存在しており、各国で規則・法律の整備が進んでいます。
KDDIは「個人のプライバシー保護」と「パーソナルデータの利活用」の両立を目指すため、プライバシーポリシーの公表や、取得する情報と利用目的を明示し、同意を取得するなど、個人情報の取り扱いについてお客さまに示すとともに、ゼロ・トレランス・ポリシーに基づき、その保護を徹底しています。加えて2020年1月に「プライバシーポータル」を開設し、KDDIのお客さまの情報利用についてわかりやすく解説することで、透明性を確保するとともに、ご理解を深めていただく取り組みを行っています。また、プライバシーポータルは2021年10月にリニューアルを行い、継続的な情報提供・内容の改善に努めています。
さらに、通信インフラの不正使用により障害を引き起こされるサイバー攻撃から自らの通信インフラを守るため、KDDIは、外部攻撃に対する専門組織による24時間365日での監視など、常に適切な防御措置を講じており、重要なライフラインを担う通信事業者として、お客さまおよび関係者の信頼を得るよう努めています。
また、更なる適正な顧客情報の取り扱いを目指し、社内組織の整備、第三者による評価の実施、サービス導入前のプライバシー影響評価（PIA）の導入などの対応を実施しています。

情報資産に関わるグループ全体での統一的な情報セキュリティの確保を目的に、取締役を委員長とした「情報セキュリティ委員会」を設置し、経営層および営業・技術・コーポレートの各部門長を委員とする全社的な組織体制で運用にあたっています。
この体制により、情報セキュリティの管理状況を的確に把握するとともに、情報セキュリティ強化のための各種施策をグループ全体に迅速に展開できる体制を整備しています。
また、KDDIは情報に対する適切な管理を重要な経営課題として認識し、情報セキュリティを確保するために、情報セキュリティ管理体制、情報セキュリティ対策の実施、情報セキュリティに関する社内規定の整備など、情報セキュリティに関する基本方針を定めた「セキュリティポリシー」を定めています。

情報セキュリティ管理体制図

KDDIは2009年以降、全社でISMS27001（※1）を取得しています。また、グループ会社に対しては、2011年度に「KDDIグループ情報セキュリティ共通基準」を制定し、2017年度からは、より厳しいKDDIの基準をグループ会社全社へ拡大しました。これによりKDDIグループ会社のセキュリティレベルの向上を図るとともに、グループ会社のセキュリティ状況を定期的に監査することにより、KDDIグループ全体での情報セキュリティ・ガバナンスの強化に継続的に取り組んでいます。また、2018年2月にはKDDIデジタルセキュリティ株式会社を設立し、専門的な訓練を受けたセキュリティエンジニアがサイバー攻撃への対応にあたっています。

KDDIは、お客さまの個人情報の取り扱いおよびビッグデータの活用において、個人情報保護法その他の関連法規を遵守した社内規程を整備、運用し、各サービスの利用規約、プライバシーポリシーに則り適切に取得、管理、利用を行っています。
お客さまの大切な情報は、お客さまの体験価値向上や社会の持続的発展に役立てるべく活用させていただき、活用にあたっては、お客さまにご理解いただけるよう利用方法の詳細な説明や適切な安全管理措置を講じるなど、責任ある企業活動を行っています。

KDDIは、AI（人工知能）を活用したお客さま体験価値のさらなる向上や社会の持続的発展に貢献するため、「KDDI Accelerate 5.0」の一環として、「KDDI グループAI開発・利活用原則」を2021年8月30日に策定しました。また、本原則に基づくAIサービス開発を実現するため、ガイドライン整備やアセスメントの活動を推進しています。KDDIグループでは本原則の啓発活動を進めると同時に、生成系AIをはじめとした社内業務でのAI活用の推進と当該活動で得られた知見を踏まえ、AIの研究開発やお客さまへの安全・安心なAIサービスの提供を実現していきます。

KDDIでは、お客さまのデータや提供しているサービスをサイバー攻撃から守るために、セキュリティ人財育成プログラムを整備し、体系的なセキュリティ人財育成に取り組んでいます。本プログラムにおいて、社員の成長とキャリアの発展を重視しIPA（独立行政法人情報処理推進機構）が運営する国家資格「情報処理安全確保支援士（登録セキスペ）」の取得を積極的に促しており、専門的なトレーニングや学習支援を提供などの資格取得に向けた準備をサポートしています。2023年4月時点でのKDDIグループにおける資格登録者数は約270人と、国内有数の人数となっています。
人財育成は、社員の意識を向上するとともに、社員自体の成長を促進するための重要な取組みです。資格取得者が増えることでKDDIの専門性と技術力が飛躍的に向上していくことを目的としています。

情報処理安全確保支援士 資格登録者数 274名

そのほか、社員1万1千人を対象に階層別Eラーニングおよび集合型の情報セキュリティ研修を実施し、社員のセキュリティ意識およびスキル向上に継続的に取り組んでいます。

お客さまからお預かりしている情報、サービスで取り扱う情報を守るため、サイバー攻撃を常時監視しています。インターネット上に公開されているサイバー攻撃者やその手法と手口を情報収集し、それらの情報からプロファイルへ自動生成するプラットフォームを2023年3月に構築完了しました。自動生成したプロファイルとKDDIネットワークへアクセスする多種多様なログを照合させ、サイバー攻撃の可視化を実現しています。
今後、様々なログを析し攻撃を予測する機能、不審なアクセスを早期検知する機能を監視システムへ搭載し、攻撃の兆候がみられた際に即時対応するため、DX・AIを用いたさらなるセキュリティ監視の高度化へ取り組んでいきます。

サイバー攻撃情報の可視化

KDDIグループでは、安心・安全なデジタル社会の実現に向けて様々な研究開発に取り組んでいます。特に、KDDI総合研究所では、Beyond 5G時代の特徴であるサイバー／フィジカルが融合した社会における安全性・信頼性の確保に貢献していきます。
Beyond 5Gにおいてサイバー空間とフィジカル空間の融合が進展すると、サイバー攻撃による影響範囲が拡がることで、実際のフィジカル空間への被害が甚大となる恐れがあります。特に、IoTが重要なインフラの一部として社会に溶け込む世界では、IoTへのサイバー攻撃が我々の社会生活に大きな影響を及ぼすことが懸念されます。
サイバー空間とフィジカル空間の双方の影響範囲を正確に把握するためには、サイバー攻撃を受けている対象のIPアドレスなどのサイバー空間上の情報とフィジカル空間そのものの情報を紐づけた形で管理することが重要となります。さらに、その管理単位を横断的に、かつ広範囲に把握・分析していくことが必要となります。
フィジカル空間にも多大な影響を及ぼす脅威情報を収集・分析した上で、デジタルツインへ広く脅威情報の共有を図ります。これにより、様々なデジタルツインが効果的にセキュリティ対策を行っていくための基盤を構築し、今後、実際のサイバー・フィジカルシステムにおける実証実験を行っていきます。

■研究開発項目

デジタルツインによるサイバー・フィジカル連携型セキュリティ基盤のイメージ

• デジタルツインによるサイバー・フィジカル連携型セキュリティ基盤の研究開発に着手

Beyond 5G/6Gでは100Gbps超の通信速度を実現することを目標に研究開発が進められており、共通鍵暗号もBeyond 5G/6Gの通信速度と同等以上の処理性能が求められています。また、次世代のサービスを安全に実現するためには、量子コンピュータに対しても耐性のある、高い安全性を持つ暗号アルゴリズムが求められています。「Rocca-S」は、これら2つの要件を満たす暗号アルゴリズムです。
今回、ハードウエア実装による並列化によって回路規模あたりの処理を最適化し、Beyond 5G/6Gで目標とされている通信速度を大幅に超える2Tbpsの処理性能を実現しました。これによって、無線区間よりもさらに高速性が求められるBeyond 5G/6Gコアネットワークへの適用可能性も高まります。今後は、「Rocca-S」の普及を目指します。
なお、本研究は、総務省の「電波資源拡大のための研究開発（JPJ000254）」における委託研究「安全な無線通信サービスのための新世代暗号技術に関する研究開発」の成果の一部です。

Beyond 5G/6G環境でのRocca-S暗号化通信

Rocca-Sと標準暗号方式の処理速度比較

KDDIは、グループ全体で情報セキュリティの強化に努め、情報セキュリティリスクの低減に取り組んできました。