目次
提供するサービスの性質上、システムのセキュリティ・開発・保守管理体制は極めて重要であると考えています。当社では、情報セキュリティポリシーのもと、「情報セキュリティ規程」その他の情報セキュリティに係る社内規則を制定し、その十分な理解と遵守を目的としたセキュリティ教育の実施や、外部の事業者による監査の実施等、セキュリティリスクへの様々な取り組みを行っています。
情報セキュリティに関する運用監視体制
外部機関との連携
情報セキュリティに関する新たな脅威やインシデント(不測の事態)に対応するため事業者団体に加盟し、継続的な技術動向の把握に取り組んでいます。
今後も外部機関との情報共有や連携を通じ、自社のさらなるセキュリティ強化とインシデントの早期検知・迅速な対応を図っていきます。
<日本コンピュータセキュリティインシデント対応チーム協議会>
コンピュータセキュリティインシデントの発生に適切に対処するため、同じような状況や課題を持つCSIRTによる緊密な連携体制の実現を目指しながら、共通の問題を解決する場を設けることを目的として設立された協議会です。
当社は、同協議会が運営する複数のワーキンググループに参加し、インシデントの効果的な再発防止策に関する事例を基にした分析や、情報セキュリティ活動に関連する国内法や判例の理解、情報発信等、社会全体のセキュリティ向上につながる活動を、協議会に参加する様々な事業者のCSIRTとの協働によって行っています。
お客様よりお預かりした個人情報を保護し適切に取り扱うため、個人情報保護マネジメントシステムを策定するとともに、個人情報保護方針を定め、当社で勤務する全ての従業員に周知し、この方針に従った個人情報の適切な保護に努めています。
個人情報保護委員会
方針等
「個人情報保護方針」 https://corporate.kakaku.com/privacy
「個人情報の取り扱いについて」 https://corporate.kakaku.com/privacy/about
情報セキュリティ規程やその他の情報セキュリティに係る社内規則の十分な理解と遵守を目的としたセキュリティ教育を計画し、定期的に実施しています。年1回実施している全従業員向けセキュリティ研修の内容は、国内外で発生しているサイバー攻撃の事例や従業員を狙った攻撃の手口等の最新の動向をもとに、毎年、検討・アップデートしています。上記に加えて、新入社員を対象とした研修や役職者を対象とした研修、エンジニア向けの研修等、役職や職種に応じて求められる知識や具体的なアクションについての様々な研修を行っています。
また研修以外にも、標的型攻撃メールへの対応や外部の会議システムを利用する際の注意事項等、社内外の事例や働き方の変化を踏まえた対策について、従業員への周知徹底を随時・継続的に行うことで情報セキュリティに関する意識の維持・向上を促す取り組みを進めています。
インターネットに公開されているシステムについて、新規公開前、システム改修時、及び改修の有無に関わらず定期的に、第三者機関による脆弱性診断を実施しています。確認された問題点はリスクの重要度により分類を行い、システムの改修や設定の見直し等の是正を図っています。
また、24時間365日体制のセキュリティオペレーションセンター(SOC)事業者が外部からのサイバー攻撃をウェブアプリケーションファイアウォール(WAF)により監視しており、異常が確認された際には当社のエンジニア部門が不正なトラフィックをブロックする等の対応を行っています。
従業員が使用するPCについては、従来からあるばらまき型メールによるマルウェア感染等への対策のほか、昨今話題となっている標的型攻撃等の高度なマルウェアに対処できるよう、機械学習や振る舞い検知(挙動から悪意あるプログラムを識別する手法)を活用したマルウェア対策ソフトウェア(EDR)を導入して検知力を高めています。
セキュリティ事故についての報告をするエスカレーションプロセスを明確に定義し、万が一のセキュリティ事故の発生時には役員を含めた体制で対応することとしています。また、インシデント発生時には迅速に対応・復旧できるよう、不定期でインシデント対応訓練を行うことであらかじめ決定したプロセスの確認をしています。
当社が取り扱う様々なデジタル広告に関して、お客様に安全に・安心してサービスをご利用いただけるよう品質保全に努め、2021年10月にJICDAQ(一般社団法人デジタル広告品質認証機構)より、ブランドセーフティ認証及び、無効トラフィック対策認証を取得いたしました。
<JICDAQ(一般社団法人デジタル広告品質認証機構)>
デジタル広告が、生活者や企業、そして社会にとって有益であることを願い、デジタル広告市場が健全に発展することを目指して立ち上がった認証機構。広告品質に係る業務プロセスの基準を定め、事業者の登録・検証・認証を行っています。ブランドセーフティ認証と無効トラフィック対策認証の2つの分野がJICDAQ認証の対象(2021年10月時点)であり、当社はともに認証を取得しています。
担当サービスに合わせた技術研修に加えて、個々のスキルや経験に応じた教育を行っており、優秀なエンジニアを育てることに注力しています。新たな技術に関するテックミーティング、各チームでの勉強会・情報共有も頻繁に行っており、成長できる環境が整っています。
また、スキルや知識を発信することで事業と社会双方の成長に貢献できると考えており、社外イベントの登壇、技術ブログを通じた情報発信も行っています。
技術発展と技術コミュニティ活性化への貢献を目的とし、各種協賛や業界団体への加盟を通じて、支援等に取り組んでいます。
<取り組みの例>
一般社団法人セキュリティ・キャンプ協議会
「セキュリティ・キャンプ」を産官学一体で実施、全国的に普及・拡大し、若年層の情報セキュリティ人材を発掘・育成するとともに、指導者(コーチ)の育成・拡大を目指すことによって幅広い情報セキュリティ人材の拡大に貢献する協議会です。当社は同協議会の設立趣旨に賛同し、オフィシャルメンバーとして活動に参加しています。