お知らせ
2023年5月19日
富士通株式会社
情報セキュリティ対策の強化およびシステム品質改善に向けた当社の取り組みについて
当社および当社グループ会社の度重なる情報セキュリティインシデントやシステム品質に関する問題により、お客様をはじめ関係者の皆様に多大なるご心配、ご迷惑をおかけしていることについて、あらためて深くお詫び申し上げます。
情報セキュリティに関しましては、2021年に検知したプロジェクト情報共有ツール「ProjectWEB」への不正アクセスをはじめ、2022年に発覚したクラウドサービス「FJcloud-V/ニフクラ」や「FENICSインターネットサービス」等での情報セキュリティインシデントにより、多くのお客様や関係者の皆様に多大なるご迷惑をおかけいたしました。また、システムの品質に関しましては、今般の「Fujitsu MICJETコンビニ交付」に関連した一連のトラブル等によって、住民の方がご利用になる行政サービスへの信頼を損ねることとなりました。本事案については現在、デジタル庁様、総務省様ほか関係機関のご指導のもと自治体様のご協力を賜りながら再発防止に向けた再点検作業を進めております。
重要な社会システムを担う企業として、当社および当社グループ会社がこのような事態を発生させたことについて大変重く受け止めるとともに、全社をあげて下記の施策を推進してまいります。
1. 体制強化
当社は、「ProjectWEB」への不正アクセス事案において設置された、第三者で構成され る検証委員会からの提言を真摯に受け止め、全社をあげて再発防止策の策定、実行および 組織風土の改善に取り組んでまいりました。これまでの取り組みを踏まえ、さらなる施策強化と実効性の担保を図るためには、これまで以上に経営者主導による全社的、組織横断的な対応が必須であると考え、当社グループ全体の品質責任者として最高品質責任者(Chief Quality Officer:CQO)を新たに任命することといたしました。さらに、CEOが委員長を務める当社リスク・コンプライアンス委員会の体制・機能を拡充し、恒常的・全社的な対応を実現する体制に強化いたします。
具体的には、これまで当社グループに関する重要なリスク・コンプライアンスについての審議の場であった同委員会のメンバーに新たに任命したCQOを加えるとともに、情報セキュリティ、システム品質に関する全社的な施策および個別事象への対応も含め、具体策まで踏み込んで決定し、迅速に実行する体制といたします。こうした体制を構築することで、CISO・CQOに対してこれまで以上に強化した権限を付与し、人事制度や投資リソース等その他の各 CxO の領域を含む全体を統括する、CEO主導によるリスクマネジメント経営を徹底してまいります。また、施策実行の迅速性と実効性を担保するため、同委員会を毎月開催することといたします。
2. 情報セキュリティ対策強化
(1)課題認識
プロジェクト情報共有ツール「ProjectWEB」およびクラウドサービス「FJcloud-V/ニフクラ」の情報セキュリティ事案を受け、再発防止策の横展開を図ってまいりました。特に、「ProjectWEB」事案では検証委員会による再発防止の提言を受け、2022年度には多角的な再発防止策に取り組みました。例えば、インターネットシステムの多要素認証化につきましては、対応必須化のルールを追加し、2022年12月に国内展開を完遂しました。さらに、全社セキュリティ点検によって、同年11月にセキュリティリスクの可視化を行いました。
しかしながら、脆弱性を検知する仕組みが整う前に点検を実施したことで、点検内容が不十分なプロジェクトがありました。その結果、インターネットサービス「FENICS」の不正アクセスに直ちに気づくことができず、事態を大きくすることとなりました。
これを踏まえて脆弱性を検知する仕組みを整備し、客観性の高い方法でセキュリティリスクを可視化・把握することで、適切に対応してまいります。
(2)施策
①客観性の高いリスク把握(脆弱性を検知する仕組みの整備)と対応
脆弱性を検知するためには、全てのIT資産を管理する必要があり、管理されたIT資産に対する脆弱性スキャンおよび脆弱性情報との突合によって検知する仕組みを導入いたしました。一方でIT資産は急激に増加しており、登録前の資産のように管理対象から外れている資産に対しても把握が必要です。このため、攻撃者と同じ目線でインターネットに公開されているアクセス可能な資産を把握する仕組みを導入いたしました。前者の仕組みにつきましては、2022年度に国内のIT資産の登録を完了し、2023年度から脆弱性スキャンおよび脆弱性情報との突合を開始しております。また、後者の仕組みにつきましては、既に専任のチームを整え、2023年度よりグローバルでの運用を開始しております。
なお、これらの仕組みによって可視化されたIT資産の管理を「②セキュリティ統制に関する権限の集中化」と合わせて、迅速に対応してまいります。
②セキュリティ統制に関する権限の集中化
2022年4月、システム稼働判定に際して情報セキュリティの観点で稼働を差し止める権限をCISOに付与しました。さらに、現場のセキュリティ統制予算に関しても2023年度よりCISOの裁量下に置くことで、セキュリティ対応のスピードと統制精度の向上を図ります。
③現場組織のセキュリティ強化
2022年度にセキュリティ人材像、特に現場のセキュリティ責任者の人材像を再定義し、プロフェッショナル認定制度の見直しを行いました。現場のセキュリティ責任者の役割と責任を明確化したうえで報酬制度を含めた見直しを行い、2023年1月より先行して国内から現場組織のセキュリティ体制を強化しております。
なお、ここまでご説明した内容を含め、全社としての具体的な取り組みに関するご理解を深めていただくため、過去の事案を振り返り、原因・再発防止策について具体的かつ総括的にまとめた冊子を作成し、当社ホームページからダウンロード可能な形で2023年度下期よりご提供させていただく予定です。
3. システム品質の改善・向上
(1)課題認識
各ビジネス領域や組織に依存した品質保証から、品質統制の権限集中化を進めております。具体的には、国内のSIビジネスについてはお客様フロント部門、ジャパン・グローバル・ゲートウェイ、グローバル・デリバリー・センターが一体となってプロジェクトを実施する構造へと変革し、これに対応する品質規定を発行し、全社品質基準による品質統制とリスクモニタリングを2022年度に当社内へ展開してまいりました。
2023年度にはこれを富士通Japan株式会社(以下、富士通Japan)に展開していく計画でしたが、直近の富士通Japanでの品質問題発生を踏まえると結果的には対応が間に合っておらず、特に住民の方がご利用になる行政サービスの領域においては、品質統制が不十分なプロジェクトがございました。
(2)施策
①富士通Japanに対する品質統制の早期権限集中化
富士通Japanに対しては、即時に品質統制の権限集中化を図ります。具体的には、標準化されたプロジェクトマネジメント、品質管理、リスクモニタリングによる予兆検知、現物確認を展開いたします。
②住民向けサービスに対する品質統制の恒久対応
利用シーンや利用者の変化に適した実装技術に関する考慮が不足しておりました。本原因を踏まえ、証明書発行処理の中でのトランザクション一意性担保に関する設計・実装・テストにフェールセーフの組込みを徹底いたします。
さらに、その妥当性を検査する第三者の体制を構築いたします。具体的には、事業部門から独立して品質統制を行うグローバル品質マネジメント本部が証明書発行等個人情報を取り扱うシステムに対して、プロジェクトの計画段階で「品質を担保する作業プロセスと体制が組み込まれているか」をチェックし、かつ「各工程において実際に計画通りに実施されているか」を検証するプロセスを整備し、住民向けサービスへの適用の具体化と徹底を2023年5月より実行してまいります。
③品質統制・リスクモニタリングを支える設計・運用基盤の強化
開発プロジェクトの進捗やテスト密度・不具合検出率等、開発現場で発生する品質に関わる情報を共通プラットフォームであるFujitsu Developers Platform上に乗せてEVM (Earned Value Management)や品質指標と組み合わせてタイムリーに解析することにより、開発現場の品質や出荷の判定を、より客観的に評価する仕組みを構築いたします。2023年10月より運用を開始いたします。
4. おわりに
当社および当社グループ会社の度重なるインシデントにより、多くのお客様をはじめ関係者の皆様に多大なるご心配、ご迷惑をおかけしていることについて、あらためて深くお詫び申し上げます。今後も社会やお客様から必要とされる企業として当社が存在し続けるためには、情報セキュリティ対策の強化およびシステム品質の改善・向上は不可欠な構成要素であり、第1項でご説明した全社体制のもとで不断の取り組みを進めてまいります。情報セキュリティおよびシステム品質に関わる事案によって損なわれたお客様ならびに社会からの信頼を回復し、当社のパーパスである「イノベーションによって社会に信頼をもたらし、世界をより持続可能にしていくこと」の実現に向けて、引き続き尽力してまいります。
以上
本件に関するお問い合わせ
広報IR室
このお知らせに記載された内容は、発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。
