Не доверяй никому, проверяй каждого: как японский ИТ-гигант NEC управляет информационной безопасностью
Корпоративная миссия NEC включает кибербезопасность как элемент социальной ответственности и стратегии экономической безопасности Японии. Для перехода от технической защиты к управляемой системе устойчивости компания использует подход, при котором все технологии сначала тестируются на собственных процессах. Что именно представил японский ИТ-гигант в своем новом отчете про информационную безопасность читайте в SecPost.
Редакция SecPost подготовила обзор ключевых идей из NEC Cybersecurity Management Report 2025. Документ интересен тем, как компания реализует стратегию Digital Security Transformation и концепцию Client Zero — когда NEC первой применяет собственные решения внутри организации, а затем переносит полученный опыт клиентам.
Отчёт показывает, как глобальные стандарты (NIST CSF 2.0, ISO/IEC 27001), национальные руководства (METI Cybersecurity Management Guidelines 3.0) и принципы Zero Trust складываются в единую систему управления рисками, которая объединяет технологии, людей и процессы. Отчет доступен по ссылке.
Безопасность как часть миссии компании
Для NEC кибербезопасность — не вспомогательная ИТ-функция, а элемент корпоративной миссии «Orchestrating a brighter world» — «создавать более справедливый и безопасный мир с помощью технологий». Компания рассматривает защиту данных как часть своей социальной ответственности и вкладывает её в стратегию экономической безопасности Японии.
В отчёте подчеркивается: развитие искусственного интеллекта и открытых цифровых экосистем одновременно усиливает взаимосвязанность и уязвимость бизнеса. Ответом на эти вызовы стала программа MAKE JAPAN CYBER SECURE и долгосрочная инициатива Digital Security Transformation — переход от технической обороны к управляемой, измеримой системе цифровой устойчивости.
Ключевая особенность подхода — модель Client Zero: NEC внедряет собственные технологии внутри компании, тестирует их на реальных процессах и только затем предлагает клиентам. Это позволяет соединить теорию и практику, а также формировать решения, проверенные корпоративной средой. С 2025 года отчёт переименован из Information Security Report в Cybersecurity Management Report — изменение отражает новый акцент: безопасность становится элементом менеджмента и фактором доверия инвесторов, партнёров и общества.
Три опоры — инфраструктура, управление и персонал — обеспечивают реализацию принципов “Truly Open, Truly Trusted” и поддержку миссии компании “Orchestrating a brighter world”.
Источник: NEC Cybersecurity Management Report 2025
Информационная безопасность в структуре управления NEC
Система управления безопасностью в NEC встроена в общую модель корпоративного контроля. Основу задаёт NEC Group Management Policy — единый свод правил для всех подразделений и дочерних компаний, включая зарубежные. Он охватывает всё: от защиты коммерческой тайны и персональных данных до стандартов качества и экспортного контроля.
Функции распределены по принципу Three Lines Model («трёх линий защиты»). Первая линия — подразделения, владеющие рисками и отвечающие за выполнение требований. Вторая — службы управления рисками и комплаенса, которые поддерживают и контролируют их работу. Третья — независимый аудит, проверяющий зрелость процессов и эффективность мер.
За стратегию отвечает Corporate CISO (Chief Information Security Officer), который возглавляет Information Security Strategy Committee. Комитет оценивает состояние системы, утверждает ключевые направления и представляет результаты напрямую генеральному директору (CEO). Совет директоров выполняет надзорную функцию, контролируя соответствие решений общекорпоративной политике. Такое распределение полномочий позволяет соединить стратегию, исполнение и контроль в единую систему. На уровне стран и дочерних структур назначаются региональные менеджеры по безопасности (Regional CISOs), которые обеспечивают выполнение политики NEC по всему миру и поддерживают единый стандарт защиты данных.
Система управления и оценка рисков
NEC управляет безопасностью по принципу непрерывного цикла Plan–Do–Check–Act (PDCA), который позволяет постоянно анализировать угрозы, проверять эффективность мер и улучшать процессы. Все инциденты фиксируются централизованно, а их причины и последствия разбираются на уровне Комитета по стратегии информационной безопасности. Полученные данные используются для корректировки планов реагирования и приоритизации инвестиций.
Контроль за системой осуществляется как внутренними, так и внешними аудитами. Проверки проводятся по международным стандартам ISO/IEC 27001 и JISQ 15001, а также в соответствии с национальными рекомендациями Министерства экономики, торговли и промышленности Японии (METI Cybersecurity Management Guidelines 3.0). По итогам 2024 года 28 компаний группы NEC имеют сертификат Privacy Mark, подтверждающий соответствие требованиям по защите персональных данных, и большинство подразделений сертифицированы по стандарту ISMS.
Для руководства внедрена система цифрового мониторинга рисков. На интерактивной панели в реальном времени отображаются ключевые показатели — количество инцидентов, уровень выполнения мер, статус восстановления инфраструктуры и соблюдение регламентов. Это помогает принимать решения на основе данных, а не интуиции, и поддерживать единое понимание рисков на уровне топ-менеджмента.
Такая модель превращает управление безопасностью в прозрачный и измеримый процесс, где результаты можно оценить не только по отчётам, но и по оперативной аналитике.
Техническая инфраструктура: реализация Zero Trust
NEC перестраивает защиту по принципу Zero Trust — «не доверяй никому, проверяй каждого». Эта модель, разработанная Агентством по кибербезопасности США (CISA), охватывает пять направлений: идентичность, устройства, сети, приложения и данные.
Рабочие станции и мобильные устройства управляются через платформу Unified Endpoint Management (UEM), которая контролирует более 260 тысяч ИТ-активов компании по всему миру. Она выявляет уязвимости, следит за состоянием устройств и автоматически применяет обновления.
Доступ сотрудников строится на многофакторной и беспарольной аутентификации, совмещающей биометрию, токены и проверку доверенных устройств. При подозрительных действиях система запускает дополнительную проверку личности.
Сетевой уровень защищает архитектура SD-WAN (Software-Defined Wide Area Network), внедрённая в 289 офисах NEC. Для облачных сервисов используются инструменты CASB (Cloud Access Security Broker — посредник безопасности при доступе к облакам), CSPM (Cloud Security Posture Management — контроль конфигурации и политик безопасности облачной инфраструктуры) и SSPM (SaaS Security Posture Management — мониторинг безопасности облачных приложений). Они помогают своевременно выявлять ошибки настроек, несанкционированные подключения и нарушения корпоративных политик. Данные шифруются и маркируются с помощью технологии InfoCage FileShell, автоматически ограничивающей права доступа и фиксирующей действия пользователей. Это снижает риск инсайдерских утечек и делает безопасность встроенной частью ИТ-инфраструктуры — так реализуется принцип Digital Security Transformation.
Человеческий фактор и развитие компетенций
NEC считает, что цифровая устойчивость начинается с людей. В компании действует система обучения, которая охватывает всех — от инженеров до руководителей. Сотрудники регулярно проходят тренинги, тесты на осведомлённость и учения по реагированию на инциденты.
Особое внимание уделяется профессиональной сертификации. Более 560 специалистов NEC имеют статус CISSP (Certified Information Systems Security Professional), что делает компанию одним из крупнейших работодателей сертифицированных экспертов в Японии. NEC сотрудничает с профильными учебными центрами и развивает внутренние программы наставничества.
Эти усилия уже получили признание: в 2024 году компания стала лауреатом Japan Security Awards, получив Гран-при за вклад в развитие кадров в области кибербезопасности.
Партнеры и цепочки поставок
NEC распространяет свои стандарты безопасности на всех подрядчиков и партнёров. Защита закладывается с этапа проектирования — по принципу Security by Design, когда требования к безопасности встроены в процесс создания продукта.
Для сторонних организаций действуют единые правила по защите данных, контролю доступа и реагированию на инциденты. Их соблюдение проверяется регулярными аудитами и тестами инфраструктуры.
Компания создала специальную платформу обмена информацией, через которую партнёры получают уведомления об уязвимостях и обновления политик. Это помогает поддерживать единый уровень защищённости по всей цепочке поставок и снижает риск проникновения угроз извне.
Результаты и признание
Инициативы NEC в области кибербезопасности получили признание как в Японии, так и за её пределами. В 2024 году компания заняла лидирующие позиции в рейтинге Cyber Index Corporate Survey, получив две звезды — высшую оценку в категории корпоративного управления безопасностью.
Международные аудиты подтвердили соответствие системы стандартам ISO/IEC 27001 и JISQ 15001. 28 компаний группы NEC сертифицированы по программе Privacy Mark, что подчёркивает высокий уровень защиты персональных данных.
Развитие кадров также отмечено отраслевыми наградами: NEC получила Гран-при Japan Security Awards за вклад в подготовку специалистов по ИБ. Всё это укрепляет доверие клиентов и партнёров и подтверждает, что стратегия Digital Security Transformation приносит ощутимые результаты.
Компания NEC представила в отчете Information Security Report 2024 системный подход к кибербезопасности, где защита рассматривается как элемент корпоративного управления. В центре стратегии — архитектура Zero Trust, принцип Security by Design и управление на основе данных, основанные на международных стандартах NIST и рекомендациях METI.
