情報セキュリティへの取り組み

組織的な取り組み

異なるセキュリティリスクにスピーディかつ全方位的に対処するため、執行役員2名を含む各事業、情報システム、法務、広報、内部監査、セキュリティ推進の各部門代表者からなる「ITセキュリティ戦略室（CyberAgent CSIRT）」を組織し、グループを横断する情報セキュリティマネジメント体制を整備しています。また、日々変化し複雑化する情報セキュリティインシデントの予防及び円滑な対応を目的として、セキュリティ実務経験者による専任組織「セキュリティ推進グループ」を設置しています。万が一、個人情報の漏洩など重大なインシデントが発生した場合は、速やかに影響を受けた可能性のある利用者の方への連絡など適切な措置を行います。

「ITセキュリティ戦略室（CyberAgent CSIRT）」は日本シーサート協議会、FIRST (Forum of Incident Response and Security Teams) に加盟し、外部組織との連携によるインシデント対応を実現しています。

情報セキュリティ体制図

各部門のセキュリティ担当者が集まるITセキュリティ戦略室（CyberAgent CSIRT）

人的な取り組み

全従業員の情報セキュリティへの意識向上のため、情報発信のための特設サイトを設け、様々な観点からセキュリティの重要性をマンガ形式でわかりやすく解説したコンテンツを公開するなど、情報の集積、発信と啓蒙に努めています。

eラーニングシステムを活用した従業員向けのセキュリティ教育も行なっており、情報セキュリティ基礎や個人情報保護法に対する理解を深めるコンテンツに加え、サービス開発を行うエンジニア向けコンテンツや、サービス企画に携わる従業員向けのコンテンツなど各従業員の業務内容に合わせ、事業の運営に必要な知識の習得を促進しています。

技術的な取り組み

社内システム
従業員が使用するアカウントは人事情報と連携したユーザ管理システムにより一元的に管理し、権限を持たない人の社内システム利用や社内ネットワークへのアクセスを制限しています。
マルウェア対策は業務内容に応じて一般的なアンチウィルス対策からより高度なマルウェアへの対策を行い、事業や業務のリスクレベルに応じた予防を行なっています。システムの利用状況は常時モニタリングし、外部からのサイバー攻撃の検知および対処を行なっています。

サービス開発
システムセキュリティ専任組織「セキュリティ推進グループ」がサービス開発に関するセキュリティガイドラインを策定、サービス企画・設計段階で事業部門から相談を受けるなど安全なサービス開発の支援体制を整えています。
また、開発環境で用いるアカウントを一元的に管理できる仕組みを設け、プロジェクトに応じて適切なユーザー及び権限の管理を行なっています。新規サービスのリリース前には脆弱性診断を実施し、セキュリティインシデントにつながる問題を未然に解消、運用中の主要なサービスに対しては脆弱性診断を年に1回の頻度で実施しています。

物理的な取り組み

オフィス
各オフィスでは、セキュリティカードによる入退室管理を行なっています。扱っている情報のセキュリティレベルに応じて入室制限、監視カメラの設置などを行い、情報管理を強化しています。

データセンター
当社の利用するデータセンターは、個人情報やシステムインフラの安全な管理のため、万全な防災機能を備えています。また重要度のレベルに応じてLv1～Lv7のエリアに分けられ、警備員とカード認証による入退室管理、持ち込み・持ち出し機器の検査をはじめ、複数要素認証や監視カメラによるモニタリングを行うなど、自然災害や人為的リスクを回避するための様々な取り組みを行っています。