【宿泊記】ホリデイイン スクンビット(Holiday Inn Bangkok Sukhumvit)

 

乗り継ぎでバンコクに1泊したかったので、Holiday Innに泊まってきた。

おいらの海外ホテルの使い分けはGHA、ベストウェスタン、IHGの3つで、バンコクは全ブランドが展開しているのだが、Holiday Innが普段見れないような価格で予約できたのと、丁度キャンペーンをやっていたので、今回はIHGを選択した。

行き方

空港から行く場合、エアポートレールリンクでマッカサン駅まで行き、地下鉄に乗り換えてスクンビット駅まで移動し、歩いて約13分


外観・チェックイン

BTSの通り沿いからだと少し入り口が分かりにくいかもしれない。


入るとえらく閑散としている雰囲気だったが、スタッフからレセプションは9階である旨を教えていただき、9階に移動。


確かに9階がレセプションとなっており、パスポートを渡してチェックインしてもらう。


今回はプラチナ会員としての予約となるため、ウェルカムアメニティはポイントとドリンクとどちらが良いか聞かれる。

ドリンクの場合、バーで一杯サービスしてもらえるようだが、恐らくバーに行く時間はないため、ポイントを選択。

また、部屋についてはアップグレード済みというのと、14時までのレイトチェックアウトOKという有難いお言葉を頂いた。

部屋

部屋は23階。エレベーターで23階まで上がって景色を見てみるといい感じ。


部屋は角部屋の模様。確認してみると、23階の中で一番広い部屋を割り当ててくれた模様。


部屋に入ってみると既に明るく、空調も効いていた。ありがたいことにルームキーを差しっぱなしにしておいてくれた模様。


部屋の設備をさっとみてみる。

机はパソコン作業をするのに帽子分の無い広さ。


ミニバーもあり、水は4本サーブされていました。


ミニバーの下に小さい冷蔵庫もあります。


荷物置き場も十分なスペースとなっています。


ベッド。香り付きの洗剤を使っているのか、いい匂いがしました。


ソファーとテーブルとテレビ。テレビは32インチかな。今となっては小さい印象。メーカーは”台湾”のSHARP製でした。


クローゼット。中には金庫と、ガウンと、ペラペラですがスリッパがありました。


水回り。浴室の水圧はかなり弱かったです。

アメニティ。髭剃りや歯ブラシ等、一通りのものはそろっています。


ソープ類は備え付けでSOAKという、確かオーストラリアのブランドだったような


トイレはアメリカンスタンダードでした。


部屋に荷物を置いて外出し、戻ってくると部屋にウェルカムアメニティのスイーツとメッセージカードが置かれていました。


そういえば、以前別のHoliday Innに宿泊した際はウェルカムスイーツは無かったけど、ポイントに加えてアメニティグッズとカフェのドリンク券をくれたのを思い出した。

IHGの場合、プラチナごときだと特に何もないと思っていたので、凄く嬉しいです。

翌日は早朝のフライトなので、実質のホテル滞在時間は11時間程度だったのですが、大変良くしていただきました。

【セキュリティ事件簿#2024-435】名古屋大学 情報流出の可能性についてのお詫びとご報告 2024/9/27

 

この度、令和 6 年 8 月 20 日に、外部からの通報により「東海国立大学機構 100 人論文」Web サイト(https://www.100nin.aip.nagoya-u.ac.jp/:現在遮断中)が改ざんされていることが明らかになりました。

それを受けて調査を行ったところ、サイト内に悪意のあるコードが埋め込まれたファイルが作成されていることが判明致しました。

ファイルの作成経緯は未だ判明しておりませんが、管理者ユーザーのログイン情報を使って管理画面にアクセスする攻撃が最も容易であると考えられます。仮に管理画面にログインできていた場合、データベースに保存されていた以下の情報にアクセスが可能となるため、これらの情報が漏洩した可能性が考えられます。

・「東海国立大学機構 100 人論文」参加登録内容:氏名、登録メールアドレス、所属機関(名古屋大学又は岐阜大学)、職階(職員の場合)又は学年(大学院生の場合)

・研究紹介内容

・研究紹介に対する参加者のコメント

現時点で情報漏洩の事実は確認されておりませんが、「100 人論文」参加者の皆様には、個別にご連絡をしております。

今回の件により、関係者の皆様に多大なご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

現在、東海国立大学機構内の関係部門と共に対策に当たっており、当面の対応として当該Web サイトと学内外の通信を遮断しております。また、引き続き本件の調査を行い、悪意あるコードを除去するとともに、当該 Web サイトのセキュリティ強化作業を実施する予定です。

これまでも Web サイトの運営に当たっては、個人情報の取り扱いに際して管理の徹底に努めてまいりましたが、このような問題が発生したことを踏まえ、今後も更なる管理の厳格化とセキュリティ強化を図り、再発防止に全力で取り組んで参ります。

リリース文アーカイブ

【搭乗記】日本航空JL31便 羽田空港⇒タイ・バンコク・スワンナプーム国際空港

 

空港移動

都内のアジトから羽田空港に移動。

毎度のことながら羽田空港には必ず東京モノレールで到着するようにします。

理由はマイルが貯まるから。


こういう一つ一つの心掛けが将来のビジネスクラス特典航空券に繋がるのです。

今日は先客がいましたが、事前手続きをしていなかったのか、マイルの獲得に失敗していたようでした。


チェックイン・ラウンジ

今日は10:55発の日本航空のJL31便に搭乗します。


今回はワンワールド特典航空券のフライトで、バンコクで1泊し、フィンエアーでヘルシンキに向かうのですが、バンコク滞在は15時間程度となります。24時間以内の場合は乗り継ぎ扱いとなるため、出発地の羽田空港で、バンコク行きのJL31便と、バンコクからヘルシンキに向かうAY142便を通しでチェックインしてもらいます。

ワンワールド特典航空券でビジネスクラスを押せたものの、JALのサイトからフィンエアーの座席指定ができなかったため、窓側の座席で予約可能かを聞いてみます。

すると、窓側座席に空席はあるものの、羽田のJALチェックインカウンターでもフィンエアーの座席指定はできないとのこと。バンコクで対応してくれと言われてしまいました。

JALとフィンエアーは同じ予約システムを使っているはずなのですが、そんなこともあるんですね。

でも空席情報をゲットできただけでも収穫です。

羽田空港はビジネスクラス用の専用出国口があるので、サクッと手荷物検査と出国手続きを終えます。

普段はJALサクララウンジに向かうのですが、以前香港のキャセイパシフィック航空のラウンジで食べた担々麺の味が忘れられず、今回はキャセイラウンジに向かいます。


香港とバンコクのキャセイラウンジには入ったことがありますが、日本国内のラウンジはこれが初めてです。

キャセイのラウンジはデザインというか雰囲気が各国で統一感があっていいですね。

バンコクのキャセイラウンジには担々麺が無かったので、一応ヌードルバーのメニューを確認してみると、羽田のキャセイラウンジには担々麺がありました。早速注文します。

キャセイの担々麺との感動の再会です。


ネット上では、同じキャセイの担々麺でもラウンジによって味が違うという噂もありますが、実際はどうなのでしょう?

早速頂いてみます。

結論としては、噂は事実でした。

確かに違います。羽田の担々麺も美味しいのですが、期待していたのとは少し異なる感じでした。

香港自体にはほとんど興味が無く、行くこともないのですが、キャセイラウンジの担々麺を食べに今度キャセイのフライトを考えないとですね。

そんな訳で搭乗開始時刻までのんびり過ごして搭乗ゲートに向かいます。


搭乗機と機内サービス

今回の搭乗機はワンワールド塗装のB777でした。


REGISTRATIONはJA732J

直近3日間のフライト実績はこんな感じ。

ファーストクラス設定の中・長距離用路線なので、1日1~2便程度な感じ。

(太字が今回搭乗したフライト)

05 Oct 2024

Bangkok (BKK) Tokyo (HND) JL34 22:05 06:20

Tokyo (HND) Bangkok (BKK) JL31 10:55 15:25

03 Oct 2024

London (LHR) Tokyo (HND) JL44 19:20 17:20

Tokyo (HND) London (LHR) JL43 09:45 15:50

少し驚いたのは、グループ1(ファーストクラス、ワンワールドエメラルド、GJCプレミア)が結構な大行列になっていたこと。下手したらグループ2(ビジネス、ワンワールドサファイア、平JGC)よりも多い印象でした。


ボーディングブリッジは2つあり、ファーストクラス用と、ビジネス&エコノミー用に分かれていました。今回ビジネスクラス搭乗でしたが、ファーストやエメラルドの凄さを目の当たりにさせられました。

それでは搭乗します。搭乗機はB777-300。

今回のビジネスクラスシートはスカイスイートとなります。


スカイスイートの中では最も居住性が高いのですが、収納の少なさが唯一の欠点です。

搭乗率はほぼ満席といった感じでしょうか?


中には欧米人の家族連れが子供と共に搭乗していました。

大変残念ですが、この子供は贅沢病確定です(笑)

出発準備が整い、雨の中羽田空港を離陸します。


離陸後しばらくして機内サービスが始まります。

まずはドリンクとおつまみから。

ドリンクはモクテルのアップルクーラーをオーダー。私は機内ではアルコールを飲まないようにしているのですが、雰囲気は楽しみたいので、ノンアルメニューに力を入れてくれるJALはとてもいい感じです。


おつまみを食べながらふと思ったのですが、航空会社で出すおつまみってナッツ類がメインですが、あられを出せるのって、日本の航空会社のオリジナリティでもあって、いいなぁとふと思いました。

機内食は和食、洋食(ステーキ)、洋食(パスタグラタン)の3択。

JALは事前にオンラインで機内食のリクエストが出せるので、今回は洋食(ステーキ)をオーダーしておきました。

まずはオードブル

真鯛の刺身と海藻のサラダ仕立て

牛蒡と人参のドレッシング

いくら、とび子、秋の彩り野菜

機内食でいくらってちょっと新鮮でした。オレンジもあり、ドレッシングかけてどうなってしまうのかドキドキしましたが、さっぱりとしていて美味しく頂けました。

パンは、プチナチュールとさつまいものパン。


さつまいものパンは秋を感じるメニューですね。季節感を感じさせてくれるメニューは嬉しいです。殺意枚もの甘さも感じるおいしいパンした。

また、オードブルと併せて、もう一つのモクテルメニューである、「ももとぶどうフィズ」を頂きました。


続いてメインです。


牛フィレ肉ステーキ

赤ワインソース

秋茄子、椎茸

カットした秋茄子の上に牛フィレ肉のステーキが鎮座していました。見た目的にボリューム感があってよかったです。ステーキは柔らかくて美味しく頂けました。

秋茄子や小さい玉ねぎや椎茸が秋を感じさせてくれる、素晴らしいメインでした。

ドリンクはメインと併せてオピアをオーダーしました。

これでノンアル全種類制覇ですが、炭酸のせいか、お腹パンパンです。

最後にデザートです。

ヘーゼルナッツのマルジョレーヌ きな粉と黒糖仕立て

ドリンクにコーヒーを頂きました。「ドイ トゥン(Doi Tung)」という名前なのですが、メニューに以下の紹介がありました。

--

2024年にコーヒーハンターJose.川島 良彰は、アヘン栽培で生計を立てていた地域の貧しい人々を助けるため設立された王室メーファールアン財団からコーヒー事業のサポートを依頼され、年に数回この地域に通い少数民族の人々に指導するようになりました。そして2018年、自信をもってJALの機内でお客様に飲んでいただける品質に仕上がりました。全体的にまろやかでミネラルを感じられる、すっきりとした後味が特徴です。アヘン栽培から脱却し、少数民族がコーヒーで自活するサステナブルなコーヒーを是非ご堪能ください

--

コーヒー飲むだけで誰かに貢献できるのは素晴らしいですね。

ここまで終えて残りのフライト時間は約3時間。

とても贅沢な時間を過ごさせていただきました。

若干もったいない話ですが、今回は座席をフルフラットにすることはしませんでした。

リクライニングモードにしてうたたねしたり、本を読んだり、パソコンを開いたりしていたら、着陸の1.5時間前くらいにCAさんから軽食の案内がありました。

アイスクリーム、稲荷ずし、ですかいシリーズなどがありましたが、若干食べ過ぎ感が出てきているため、控えめにアイスクリームとコーヒーを頂きます。


アイスクリームはハーゲンダッツで、JALオリジナルパッケージです。

「JALの旅をハーゲンダッツと共に」ってキャッチフレーズ、好きです。

程なくしてスワンナプーム国際空港に着陸です。

昔はビジネスクラス搭乗客に入国審査のファストレーンのチケットを配っていて、それを使うと、ファストレーンが使えてサクッと入国できていましたが、チケットの配布が無くなり、入国審査は普通に並ぶ必要があるものと思っていました。

ところが、ビジネスクラス搭乗券を持っていればそのままファストレーンが使えるという情報をキャッチし、今回突撃してみました。

結果無事成功。サクッと入国が実現しました。

そういえば最近入国審査の際に滞在日数を聞かれることが増えてきました。

何か強化しているんですかね?

到着後

バンコク滞在は実質15時間程度なので、サクッと移動してサクッとホテルにチェックインして、サクッとマッサージして、サクッと夕飯食べて翌日に備えます。

バンコクの地下鉄だが、VISAタッチができるような雰囲気を醸し出していたので、今回挑戦してみた。


恐る恐るタッチ決済対応のクレカをかざしてみると無事ゲートが開き、ホームに入ることができた。自動改札のゲートは開いたものの、エラーっぽいメッセージが表示されていたため、目的地で無事出ることができるか不安だったが、到着駅の自動改札でクレカをかざすと無事ゲートが開き、問題なくクレカで乗車することができた。

MRTのこの取り組みは素晴らしい。早くエアポートレールリンクやBTSにも広げていって欲しいと思った。

バンコク来た時の最近のお気に入りはターミナル21の5階のフードコート

日本円が貧弱になって、タイの飲食店でタイ飯を食べても割安感はほとんど無いか、むしろ日本の方が安い位な感じがしますが、フードコートで食べるタイ飯は割安感が残っています。


この日の夕食はガパオライス(47THB)、パッタイ(30THB)、マンゴーとバナナのスムージー(39THB)で、計116THB、円安を考慮してもお得感があります。


ガパオライスですが、当初はカオムークロップを食べたかったのですが、オーダーをミスってしまいました。意図せずして久しぶりに激辛のガパオライスを堪能しました。


【Playback of flight JL31 on 5th OCT 2024】


【セキュリティ事件簿#2024-434】信州大学 個人情報に関する重要なお知らせ 2024/9/26

 

平素より本学をご支援いただき、誠にありがとうございます。

2024年9月25日、外部機関からの通報により、本学教職支援センターが保有するシステムの学生に関する個人情報が外部へ漏洩している可能性があることが判明いたしました。

現在、個人情報漏洩の原因となった可能性のあるシステムを特定し、外部との通信を遮断する措置を講じました。これにより、さらなる情報漏洩を防ぐための対策を進めています。

現在、本学規程に則り、学生情報セキュリティ・インシデント対策本部を設置し、被害状況や原因及び他システムへの影響に関する調査を行っており、詳細が分かり次第、改めてお知らせいたします。

皆様にはご心配をおかけし、大変申し訳ございません。迅速かつ適切な対応を心掛けておりますので、何卒ご理解いただけますようお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-433】スマートニュース株式会社 当社Facebookアカウントのセキュリティ侵害について 2024/9/28

 日本時間9月27日(金)の午後11時頃、当社の米国Facebook公式アカウントに不正アクセスが行われ、当社に関する虚偽の情報が投稿されました。当該投稿は削除し、セキュリティ措置を実施するとともに、経緯と原因の詳細を調査中です。

当社では、今後このような事態の再発防止のため、セキュリティ体制の見直しを図る考えです。皆様には、ご心配をおかけしたことをお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-432】三井住友信託銀行株式会社 業務委託先における個人情報漏えいのおそれに関するお知らせ 2024/9/25

 

弊社が業務を委託する髙野総合コンサルティング株式会社(以下、「髙野総合」といいます)において、ランサムウェア被害を受ける事態が発生いたしました。

これに伴い、委託業務の為にお預かりし、弊社から髙野総合に提供しております従業員さま(退職者さまも含み、以下「従業員さま」といいます)の個人情報につき、漏えいのおそれがあるとの報告を髙野総合より受けました。従業員さまにおかれましては、多大なるご迷惑・ご心配をおかけしておりますこと、心より、お詫び申し上げます。

発生した事態および漏えいのおそれのある情報につきまして、下記のとおりご報告申し上げます。ご不明な点などがございましたら、お手数ではございますが、下記窓口あてにご連絡くださいますよう、お願い申し上げます。

1.発生した事態および現在の状況

サイバー攻撃を受けた髙野総合のパソコンに、従業員さまの情報の一部が保存されており、個人情報漏えいのおそれが生じたものです。

現時点では、個人情報を含む各種情報が外部に流出したことを示す事実や、攻撃者によって情報が公開されている事実は確認されておりませんが、外部との微量な通信が確認されているため、情報漏えいの可能性を完全に否定することはできないと、髙野総合からの報告を受けております。

2.対象会社および漏えい等のおそれのある情報等


対象期間法人名漏洩のおそれある情報照会先
2018 年 7 月~2018 年 8 月株式会社経営承継支援従業員名簿記載の役員の情報法人企画部
2021 年 6 月~2021 年 8 月iXp 株式会社(現コタエル・ホールディングス株式会社)
コタエル信託株式会社
従業員名簿・給与台帳記載の情報法人企画部
2021 年 7 月~2022 年 12 月株式会社ボードアドバイザーズ従業員名簿・給与台帳記載の情報証券代行部


リリース文アーカイブ

【セキュリティ事件簿#2024-431】塩ビ工業・環境協会 サーバへの不正アクセスによるスパムメール送信に関してのお詫び 2024/9/24

 

このたび、弊協会の契約しているレンタルサーバーが不正アクセスされる事案が発生いたしました。具体的には、パンフレット請求ページのプログラムが不特定多数の宛先に向けた大量のスパムメール送信の踏み台として悪用されたものです。

弊協会メールアドレスから送信されたスパムメールを受信し、不快な思いをされた皆様に深くお詫び申し上げます。大変申し訳ございません。

なお、弊協会サーバーには個人情報は置いておらず、個人情報の流出は確認されておりません。また、現在のところ、二次被害に関するお問い合わせも受けておりません

今回の件につきまして、不正に使用されたプログラムを削除する等の対策を講じ、状況を監視しておりますが、その後のスパムメール送信は確認されておりません。

また、今後、あらためて抜本的な対策について検討のうえ、実施してまいります。

この度の件のお問合せにつきましては、以下へご連絡いただきますようお願いいたします。

リリース文アーカイブ

【セキュリティ事件簿#2023-416】株式会社NTTマーケティングアクトProCX お客さま情報の不正持ち出しを踏まえた NTT西日本グループの情報セキュリティ強化に向けた取り組みの 進捗状況について 2024/9/20

NTTビジネスソリューションズ株式会社に派遣された元派遣社員が、お客さま情報を不正に持ち出し、第三者に流出させていたことについて、NTT西日本グループに関係する全ての皆さまに多大なご迷惑とご心配をおかけしましたことを、改めて深くお詫び申し上げます。

NTT西日本グループでは、2024年2月29日に公表しました「NTT西日本グループの情報セキュリティ強化に向けた取り組み」に基づき、各取り組みを実行しているところですが、その進捗状況について、以下のとおり公表します。

NTT西日本グループとして、今後同様の事案を再び発生させることがないよう、大切なお客さまの情報を取り扱う会社としての自覚を新たに、情報をしっかりと守るためのセキュリティガバナンス能力の向上を目的とした体制の構築、情報漏洩を未然に防ぐための仕組みとシステムの対処や業務フローの改善への不断の取り組み、本事案を風化させないための全従業員に対する意識の醸成など、これらの取り組みを一過性のものではなく継続的に実施していくことを通じて、セキュリティファーストカンパニーとなることをめざします。

引き続きNTT西日本グループに関係する全ての皆さまからの信頼回復に努めていきます。

NTT西日本グループ全体の再発防止の取り組み

  • 抽出された課題への対処に向けて、セキュリティのフレームワーク(NIST CSF※1、3ラインモデル※2)に基づき、NTT西日本グループ全体で以下4点を再発防止の柱として取り組みます。

  • これらの実施にあたって、約100億円規模の予算を割り付けるとともに、約100名規模の新たな推進組織を設立し、情報セキュリティ強化に取り組みます。


※1 米国国立標準研究所(National Institute of Standards and Technology, NIST)が策定したサイバーセキュリティに関する世界標準的なフレームワーク

※2 内部監査人協会(The Institute of Internal Auditors, IIA)が提唱している監査モデル

具体的な取り組み

Ⅰ. NTT西日本グループ

(1) リスクの視える化

NTT西日本グループ全システムのIT資産リスク管理シートに、内部不正に関する項目を追加し、保有リスクの視える化を充実します。

現場だけに任せず情報セキュリティ推進組織も入り込み、システム構築時からコンサル/支援を実施し、リスクマネジメントプロセスに基づいたセキュリティリスクをチェックします。


[1] セキュリティリスク可視化・評価、実査・ヒアリング・リスク特定

サイバー攻撃リスク対応の観点から、インターネットに接続している全てのシステム(以下、公開システム)についてリスク管理データベースを構築しリスクの可視化を行っていたことを、今回の事案を踏まえ、インターネットに接続されていないシステム(以下、非公開システム)を含めた顧客情報を保有する全システムに拡大しています。既存の非公開システムに関するデータベースに内部不正項目を加え、内部不正に対するリスク管理を開始しました。

現在、第1線である各システム主管組織においてリスク管理データベースを作成し、この内容を第2線の情報セキュリティ推進組織によるシステム実査を通じて追加修正を行うことで、精度の高いリスクの視える化を実施しています(2024年7月)。

実査については、システム実査の他、各組織の業務プロセスや、業務を行う物理的環境におけるリスクについても確認を行い、必要なセキュリティ対策を第1線が講じられるよう支援を行っています(2024年7月)。

<今後の取り組み>
システム開発のライフサイクルにおける各プロセス(構築前/運用時/改修・更改時/廃止時)ごとに、リスク管理データベースを用いてセキュリティリスクをチェックする運用を開始します(2025年4月開始)。

(2) リスク箇所の最小化

  • 情報漏洩リスク低減を図るため、“アカウント”や“権限”を集中的に管理し、”データ抽出・持ち出し”・”クラウドやシステム(サーバ)へのアクセス”等を一括制御可能な環境に順次統合します。

  • 当環境下においてデータの受け渡し経路を限定化・視える化することでリスクを最小化します。


[1] 情報外部持ち出し対策、USBメモリによる情報漏洩対策

お客さま情報の取り扱いに伴うUSBメモリの原則利用禁止を進めるため、NTT西日本グループ全体のお客さま情報を保有する全システムの緊急点検を行い、不要なUSBメモリの削減を実施するとともに、継続利用のUSBメモリについては、運用ルールに基づいた使用になるよう徹底しました(2024年2月)。

更にUSBメモリ利用アカウントの棚卸しを実施するとともに(2024年3月)、組織別のUSBメモリのアカウントの視える化を実施し、NTT西日本グループ全体におけるUSBメモリ利用用途の把握、分析を行いました(2024年5月)。またUSBメモリ利用用途の分析結果を踏まえて、業務プロセスの見直しによるUSBメモリの利用廃止、USBメモリを代替するデータ受け渡しデバイスの追加配備をすすめ(2024年3月)、データ受け渡しワークフローにおいて申請・承認が可能なファイル中継GWの導入検証を開始しました(2024年8月)。

あわせて、顧客情報を多く持つ非公開システムでは、業務端末設定に係る権限を一元管理しつつ、操作端末に顧客情報を含めたデータそのものをダウンロード・保存することを不可とする業務端末のVDI化の開発に着手しました(2024年6月)。

<今後の取り組み>

ファイル中継GWについて、導入検証を完了のうえ、2025年1月より順次導入します。また、VDI化業務端末についても、開発を完了のうえ、2025年3月より順次導入します。

[2] ゼロトラスト化の推進

NTT西日本やNTTフィールドテクノ等の主要会社のOA網で使用しているセキュリティに優れたゼロトラスト環境を実現できるセキュアFATを、グループ各社にも展開するために、グループ各社への導入説明会を実施(2024年7月)し、方式検討や技術検証、導入スケジュールの調整等を進めています(2024年8月)。

<今後の取り組み>

セキュアFATについて、未導入となっているグループ会社に2025年3月以降順次導入していきます。

[3] 特権アカウント管理強化

まず特権アカウント保有者を把握・管理するために、リスク管理データベースを構築し、リスクの可視化を行っていますが、システム管理権限を使用する際のリスク管理強化することを目的とした特権アカウント管理システムの導入に向けた評価検証を開始しています(2024年7月)。

また、実査を通じて、厳格な物理セキュリティ措置や運用面を含めて特権アカウントのセキュリティ対策が不十分なシステムについて、優先順位を上げて特権アカウント管理システムの導入を行っていくための検証を開始しました(2024年8月)。

<今後の取り組み>

特権アカウントを有する長期配置者に対する具体的なマネジメント方針を、現在改訂中の規程類((4)情報セキュリティ推進体制の強化[1]参照)に盛り込み運用を開始します(2025年4月以降)。

(3) 監視の高度化・点検の徹底

  • 内部不正が起こりうることを前提に、システムによる監視の高度化や、現場での点検の形骸化防止のための点検項目・ログ確認方法の見直しを実施します。


[1] 各種ログによる内部不正の監視強化

主要会社のOA網で使用しているセキュアFATにおいては、「IPA組織における内部不正防止ガイドライン(第5版)」等を参考にし、内部不正観点での検知ルールを追加で実装(例えばダウンロードファイルサイズが規定値以上を検知、同じ端末から別IDログイン等々)しており、合わせてログ分析PFによる不適切なシステム利用・情報の取り扱いを検知できる仕組みを導入しました※(2024年6月)。

<今後の取り組み>

上記の内部不正観点での検知ルールによる監視について、グループ会社がセキュアFATを導入するタイミングでそれぞれ導入していくこととします(2025年3月~)。

※USBへのデータ書き出し制限、クラウドサイトへのデータアップロード制限、Webサイトへのアクセス制限等は実装済み

[2] 振る舞い検知対象システムの拡大

NTT西日本グループにおける公開システムには、振る舞い検知を既に導入していますが、非公開システムに対しても振る舞い検知の導入を開始しており、一部システムについては既に導入し運用を行っています(2024年4月)。

[3] 各職場でのログ自主点検方法の具体化、効率化

第1線である各職場がログに関する自主点検が円滑に実施できるよう、ログ点検方法の具体化や効率化を進めています。具体化については、実査を行っていく中で確認や支援を行い、検知ロジックの精査を進めています(2024年8月)。また、効率化については、他社の優良事例の評価を開始しています(2024年8月)。

(4) 情報セキュリティ推進体制の強化

  • 情報セキュリティ・サイバーセキュリティ対策のトータルマネジメント機能を有する新組織を設立し、情報セキュリティ推進体制を強化します。

  • 新組織にてNTT西日本グループ全体のセキュリティ人材を育成し、育成した人材をNTT西日本グループの各組織に配置することで、グループ全体のセキュリティガバナンス能力を向上します。

  • NTT西日本グループのセキュリティガバナンスの方向性や対処策について、社外の有識者と議論するアドバイザリーボードを新たに設置します。


[1] セキュリティ推進体制、3ラインモデルの見直し

①「デジタル革新本部」の設置
IOWN・生成AI等の先進技術やオープンイノベーションを活用することにより、地域社会の課題解決や新たなイノベーションの創出、お客さま起点でのDX(デジタルトランスフォーメーション)推進・AI活用を通じたCX(カスタマーエクスペリエンス)向上と業務プロセスの抜本的な効率化の同時実現に加え、高度化・巧妙化する情報セキュリティやサイバーセキュリティ上の脅威に対する的確な対処等を統合的に推進するため、新たに「デジタル革新本部」を設置しました。当該本部は、「デジタル改革推進部」、「技術革新部」、同時に新設する「セキュリティ&トラスト部」から構成されています(2024年7月)。

②「セキュリティ&トラスト部」の設置
NTT西日本グループ全体の情報セキュリティやサイバーセキュリティ対策のトータルマネジメント、セキュリティ戦略の企画・策定、セキュリティ人材の育成・配置等を担うCoE(Center of Excellence)として、新たに「セキュリティ&トラスト部」を設置しました(2024年7月)。
「セキュリティ&トラスト部」は、それまでのサイバーセキュリティオペレーションセンタ、情報セキュリティ推進部及び技術革新部サイバーセキュリティ戦略室を統合し、NTT西日本グループのセキュリティ人材を結集させて、100人規模の組織とし、グループ会社を含む現場組織への集中統制や必要な支援を実施するとともに、セキュリティ人材を育成していくことで、グループ全体のセキュリティガバナンス能力の向上に取り組んでいます。

③CISO、CDAIOの設置
デジタル改革本部長がCISO(Chief Information Security Officer)およびCDAIO(Chief Digital AI Officer)を担うこととし、技術的安全管理措置に係るシステム対処を全社横断的に進めるマネジメント体制を構築しました(2024年6月)。

④内部監査部の強化
内部監査部長を執行役員とするとともに、情報セキュリティに関する監査項目を追加し、NTT西日本グループ会社の内部監査組織との連携を更に進めるなど、第3線として、第1線及び第2線の情報セキュリティに関するガバナンスが機能しているか等の監査を強化しました(2024年7月)。

⑤外部有識者を交えたセキュリティ戦略検討の強化
情報セキュリティ推進委員会として、NTT西日本グループのセキュリティ戦略の検討や施策の展開、セキュリティマネジメント、セキュリティリスク/事故等に関する対策や検討行って参りましたが(2023年11月、2024年2月、2024年6月)、さらなるセキュリティ戦略の強化を行うために見直しを行い、経営層と外部有識者によるセキュリティ戦略を議論するアドバイザリーボードを設置し、半年ごとに開催します(2024年10月予定)。
また、アドバイザリーボードに基づく具体的な施策の検討/展開や、リスク管理状況、点検/監査状況の報告を行うセキュリティ&トラスト委員会を設置します(2024年11月予定)。

<今後の取り組み>
セキュリティリスクの再定義及び規程類のシンプル化・具体化を進めることとし、情報の重要度に応じメリハリのあるマネジメントを行うべく、規程類・マニュアル類を改訂します(2025年3月)。

[2] 全社的な意識改革、管理者・担当者向けの研修強化

①経営層からの情報セキュリティ遵守に関するメッセージ発信
漏洩事案発生を受け、本事案が、グループ全体としてお客さま情報を守る意識や措置に緩みがあったために起こってしまったことを踏まえ、今回の事件を重く受け止め、真摯に反省し、原点に帰ってお客さま情報管理の徹底に取り組むべきとのメッセージを、社長から全社員向けに発信しました(2023年10月)。事案に関する記者会見(2024年2月)のタイミングにおいては、あらためてNTT西日本グループ全社員向けにメッセージを発信し、お客さま情報の管理は事業の根幹であることを伝え、情報セキュリティを自分ごととして認識し取り組むよう指示しました(2024年3月)。
その後、社長が新たに就任した際に、強いリーダーシップを発揮して情報セキュリティ強化に向けた再発防止策を着実に実行していく旨を宣言しています(2024年4月)。就任直後から、各現場を訪問してタウンホールミーティングを開催し、直接社員に対し情報セキュリティの重要性について社員の意識醸成を行っています(2024年4月~)。
また、CISOから、内部不正への取り組み進捗状況の共有、及び情報セキュリティ意識を高めるメッセージを全社員向けに発信しました(2024年8月)。

②セキュリティ意識改革に向けた研修
経営層、セキュリティ管理責任者、業務担当者(業務主管、システム主管、運用主管等)、全社員それぞれに向けて、「自分ごと」としてセキュリティを捉える研修や勉強会を建付けて、セキュリティ意識の強化に取り組んでいます。
具体的には、再発防止策を確実に各職場にて実行できるよう、社内関係者向けに再発防止策に関する研修会を複数回実施致しました(2023年12月、2024年3月、5月、7月)。また、管轄するシステムのリスクポイント対処方法に関するノウハウ、責任者としての役割を習得させるため、セキュリティマネジメント責任者向けの研修を実施しました(2024年9月)。

<今後の取り組み>
今後も継続的に経営層からNTT西日本グループ全社員向けに、情報セキュリティの変革に向けたメッセージを発信し続けるとともに、層別・役割別の研修についても継続します。さらに、社内HPにおいて情報セキュリティの変革をテーマとした特設ページを開設して情報を発信し続け、常に社員全員が自分ごととして意識し続けるよう取り組みを進めていきます。

Ⅱ. 株式会社NTTマーケティングアクトProCX

  • NTT西日本グループ全体の再発防止内容を踏まえて株式会社NTTマーケティングアクトProCX(以下「ProCX」)の再発防止策を講じることで、クライアントさまに安心・信頼をおいていただけるコールセンタ業務の適切な運営の実現に向け取り組んでいます。


委託先管理監督の強化

ProCXは、BSとの間で「お客さま情報の取り扱いに関する覚書」を締結し、①システムバックアップ等本サービスを構成するシステムの安全な運営・維持管理・計画メンテナンス、②マルウェア感染等本サービスのセキュリティ上の問題を解決するための対処、③本サービスの故障発生時における復旧対応及び④その他、甲乙協議の上、必要と認めた問題を解決するための場合を除き、BSが個人情報を取り扱うことを禁止することを約定し、BSによる個人情報の取り扱いの範囲を明確化するとともに(2024年1月)、BSにおける物理的・技術的安全管理措置の履行状況を確認するため立ち入り点検を行い、適切に対処していることを確認しています(2024年3月)。

上記に加えて、ProCXは、多くのお客さま情報をクライアントさまからお預かりするコールセンタ事業者として、クライアントさまに安心・信頼をおいていただけるコールセンタ業務の適切な運営の実現に向け、以下の課題を特定し必要な取り組みを進めています。

(1) リスクの視える化


NTT西日本グループ施策と連動し、保有全システムにおいて「リスク管理データベース」の作成を行い(2024年5月)、各システムにおける責任者の明確化、及びリスク個所の特定と評価を実施しています。

また、ProCX社コールセンタにて運営する全業務に対し、現業部門において個人情報の取り扱いに関するリスクアセスメント(リスクの特定、分析及び評価)を実施すべくリスクアセスメントシートを活用しリスクの可視化を行っています(2024年4月)。


(2) リスク箇所の最小化


リスク最小化に向け、以下のとおり技術的・物理的対処を進めています。(2024年3月~順次展開中)

[1] 業務用ネットワークの集約

従来はシステムごとにネットワークを構築し対策していた外部脅威について、各ネットワークを1つの閉域網内に集約することで外部脅威にさらされるリスクを最小限のものとするとともに、近年被害が拡大状況にあるマルウェア等の高度なサイバー攻撃に対する備えとしてEDRを導入することで、早期の攻撃検知、防御及び駆除が可能となるよう対策を進めています。

[2] 未承認端末のアクセス制限

MACアドレスによる接続端末の制御を行い、利用許可されていない端末のNWへの接続防止を進めています。

[3] 監査ログの集中管理

ログ収集と点検を集中管制できるよう、資産管理システムを導入いたしました。

[4] 統合アカウント管理

利用されているアカウントを特定し、アカウントの集中管理を実現するためのディレクトリ・システムの導入を進めています。

[5] USBメモリ利用制限

コンタクトセンタにおけるUSBメモリを利用した個人情報の取り扱いについては、2024年4月をもって、クライアント指定のものを除き撤廃し、データ受け渡しデバイスを用いた運用に切り替えしています。


(3) 監視の高度化・点検の徹底


内部不正及び外部脅威への監視強化に向けEDR及UEBA導入を行い、異常行動の検知の高度化(通常では想定されない時間帯でのアクセスや禁止されたサイトへのアクセス等の自動検知等)によるお客さま情報流出の未然防止及び追跡が可能な仕組みの導入を進めています。(2024年3月~順次展開)


(4) 情報セキュリティ推進体制の強化


[1] 危機意識の浸透及び意識改革

室林代表取締役社長より、多くのお客さま情報をクライアントさまからお預かりするコールセンタ事業者として、情報セキュリティの重要性を認識し、情報セキュリティが事業の根幹であること、一人ひとりが「自分ごと」としてお客さま情報管理の徹底に取り組むことを全社員にメッセージを発信(2024年3月)するとともに、各エリアでのタウンホールミーティングを行い、社員へ直接意識醸成と意見交換を行いました(2024年4月~5月)。

[2] 情報セキュリティに関するガバナンス面の改善

情報セキュリティ対策のトータルマネジメントを行う第2線機能を専担的に担うため、セキュリティ&トラスト部(以下、「ST部」という。)を社長直結組織として新設し、ST部が第2線として、第1線である現業部門が情報セキュリティに関する事項を遵守しているかをモニタリングするとともに、監督・支援するなど、リスクマネジメントプロセスの実効性の確保が担える体制に強化しました(2024年7月)。

また、従来は、ジョブ(システム)毎に実施していた情報セキュリティ対策について、全社横断的にセキュリティポリシーを策定し、情報セキュリティシステムを設計、構築、運用及び保守する機能(情報システム担当)を新設(2024年7月)することで、技術的安全管理措置の実装強化を進めていくとともに、ST部が情報システム担当の取り組みの監視・牽制を行うことで、ST部と情報システム担当が両輪となり情報セキュリティマネジメントシステムをより有効的に機能する体制としています。

加えて、第1線及び第2線に対する監督・是正権限を有する第3線として実施する内部監査結果を取締役会に直接報告する体制をとりました。これらを通じて、リスクマネジメントプロセスの在り方を見直し、より実効的に情報セキュリティに関するガバナンスを確保する組織体制を構築しています。

[3] 情報セキュリティリスクに対する危機意識の浸透及び教育

この度の情報流出事案について、ProCXにおいて危機管理意識やエスカレーションのあり方、また委託先管理の重要性の認識に課題があったことを重く受け止め、全ての取締役、担当部⾧及び担当課⾧に対してのリスクマネジメント強化研修について、年間を通じ、継続して実施することとしています。これまで、管理者約170名に対して、委託先管理における法的責任及びリスクコントロールのあり方等に関する本件事案の発生を踏まえた研修を実施(2024年3月)し、ProCXへの転入管理者及び新任管理者に対しても同様に研修を実施しました(2024年8月)。

更には、業務用システム等を用いて大量の個人情報を取り扱うコールセンタ業務の特性を踏まえた専門的な研修が必要との観点から、コールセンタ業務従事者に特化した研修について、年間を通じ、継続して実施することとしており、コールセンタ業務に携わるセンター所⾧、ジョブマネージャーやSVといった役職にある従業者及びこれらの役割を担う従業者に対して、本件事案の振り返りを含む今後の情報セキュリティ対策のあり方等について、映像教材を用いた研修を実施しました(2024年3月)。なお、同研修は全社員に対しても実施を完了しています(2024年5月)。


Ⅲ. NTTビジネスソリューションズ株式会社

  • サービスを提供する事業者として、NTT西日本と連携して、情報セキュリティの取り組みを強化するとともに、改めて、事業を支える社員一人一人に顧客起点のマインドを浸透させ、顧客の立場に立った組織となるため、経営トップ自ら率先して以下の取り組みを進めています。


(1) リスクの視える化


BS保有の全システムについて、内部不正観点リスクの把握・視える化にむけ「リスク管理データベース」の作成を実施しました(2024年5月)。具体的には、お客さま情報の保有量等の把握、セキュリティリスク箇所(データダウンロード可否・網外への持出し可否・権限保有状況等の持出しリスク、USBメモリ使用制限有無・認証方式・ログ取得項目等のセキュリティ対策実施状況)の特定を行いました。これにより、システムごとにセキュリティリスク状況を評価し、必要なセキュリティ対策を着実に実行していきます。


(2) リスク箇所の最小化


当該事案が発生したシステムについては、リスク箇所の最小化に向け、中継サーバの設置による保守端末へのダウンロードの禁止(2023年8月)、使用を許可されていない私有USBメモリ等の外部記録媒体の接続防止措置、保守拠点における保守端末からのインターネットアクセス接続の無効化やMACアドレス認証等の導入による私有端末によるシステムへのアクセス無効化(2023年10月)、作業者へPDSサーバからの顧客データのダウンロード権限を与えない保守等運用形態への変更(2024年1月)に加え、中継サーバに対する振る舞い検知を可能とするセキュリティソリューション(EDR)や多要素認証の導入(2024年3月)を図り、リスク個所の更なる最小化に努めています。

また、お客さま情報等を保有する全てのシステムに対し、4つの立場(利用者・特権を持つ利用者・保守ヘルプデスク・保守SE)で44項目(①持ち出し禁止/ルート制限の観点、②トレースの観点)の点検を実施し、発見された不備事項について運用対処を含む是正対処を完了しています(2024年2月)。

さらに、USBメモリ利用アカウントの棚卸しを実施するとともに(2024年3月)、組織別のUSBメモリのアカウントの視える化を実施し、BS社全体におけるUSBメモリ利用用途の把握、分析を行いました(2024年5月)。またUSBメモリ利用用途の分析結果を踏まえて、業務プロセスの見直しによるUSBメモリの利用廃止、USBメモリを使用することなくデータの受け渡し(申請・承認)を可能とするファイル中継GWの導入検証を開始しました。また、一部のシステムでは媒体そのものにデータが残らないデータ移送用のデバイスを導入し、USBメモリを使用しない環境を整備しています。

その他、保守端末等のデバイス管理ソリューション(MDM)の導入、システムアクセス時の多要素認証の導入、データベースの暗号化等のセキュリティ対策等についても順次導入を進めています。

(3) 監視の高度化・点検の徹底


当該事案が発生したシステムについては、USB接続時に複数の管理監督者へ接続アラームメールが発出される仕組みの導入、外部記録媒体への記録が必要な際、複数の管理監督者を経由しないと実施困難な仕組みの導入、作業記録簿の記載をルール化したうえで、作業記録簿と作業ログとの突合による定期チェック等を実施しています(2023年10月)。

その他のBS保有システムについても、作業記録簿と作業ログとの突合による定期チェックの実施や振る舞い検知アラートに基づくヒアリング調査や、振る舞い検知を可能とするセキュリティソリューション(EDR)の導入や作業ログの記録・保管・改ざん防止措置等、各システムのリスク度合いに応じた対策を順次導入しています。


(4) 情報セキュリティ推進体制の強化


[1] 情報セキュリティに関するガバナンス面の改善

第1線の現場組織における強化として、当該事案発生担当に情報セキュリティを担当する要員を段階的に増員し体制強化を図っています(2024年4~7月)。

また、BSの第2線強化として、当社における情報セキュリティに関する推進者の明確化、BS独自システムへの適正な対処等の課題解決促進に向け「セキュリティ&トラスト推進室」を新たに設置しました(2024年7月)。

さらに、第3線の機能強化をNTT西日本の内部監査部と連携し進めており、BS独自に情報セキュリティに関する監査項目を追加し、第1線及び第2線のガバナンスが正しく機能しているか等の監査強化を図る等、BSにおける内部監査の質の拡充に努めています(2024年6月)。

顧客情報を扱うシステム従事者の長期配置見直しについても計画的に取り組んでおり、点検や研修等のフォロー策と合わせてガバナンス強化に努めています。


[2] 危機意識の浸透及び意識改革

「顧客起点」「情報セキュリティ」を経営の最重要課題とすることをトップ自らコミットし、各種情報セキュリティ強化の取り組みを全社一丸となって着実に実行すべく、全社員に向けてメッセージを発信しました(2024年3月)。

また、BS社の全社員にて「顧客起点」「情報セキュリティ」の意義について、自ら考え、実施すべきことを明確にする目的で「タウンホールミーティング」を実施し、社員の意識醸成を図っています(2024年4月~)。

さらに、各職場(事務所、システム運用拠点等)において、内部不正の発生を抑止するための啓発ポスターを作成・掲示し、職場における意識・風土の向上を図っています(2024年3月~)。


[3] 情報セキュリティリスクに対する危機意識の浸透及び教育

個人情報を取り扱う業務を担当する者に対して、NTT西日本主催の再発防止策に関する説明会にて、情報セキュリティリスクに対する危機意識の浸透を図りました(2023年12月)。また、NTT西日本と連携し、新任管理者に対して、管理者としての業務マネジメントにおいて必要な情報セキュリティ知識の習得を目的とした研修を実施しました(2024年6月)。


リリース文アーカイブ

【2023年10月17日リリース分】

リリース文アーカイブ