セキュリティの取り組み
安全なサービスを提供するための取り組み
LINEヤフーでは、堅牢なサービスを提供するための取り組みの一環として、社内専任組織と第三者機関による脆弱性診断の実施等、アプリケーションへの脆弱性対応を実施しています。アプリケーションに脆弱性を持たせないことを目的に、エンジニアを対象とするセキュアプログラミング研修を実施しています。本研修はエンジニアの力量を強化し、サイバーセキュリティの国際基準に準拠する上でも重要な研修として、全エンジニアを対象に受講を必須化しています。
これまでLINE株式会社が提供していたサービスでは、コミュニケーションアプリ「LINE」およびWEBサイトに存在する脆弱性を早期に発見し、ユーザーに、より安全なサービスを提供することを目的とし、サービスの脆弱性の発見を公募し、報告者に報奨金をお支払いするBug Bounty Programを運営しています。
関連リンク
日本のユーザーのデータ保護・管理体制
日々拡大、高度化、グローバル化するサイバーセキュリティリスクを管理するため、LINEヤフー社では、業種を問わず世界中で広く参照されている米国標準技術研究所(NIST)が定めたCybersecurity Frameworkなどを考慮したうえで、さまざまなサイバーセキュリティ対策を講じています。
LINEヤフー社における主なサイバーセキュリティ対策を、NIST Cybersecurity Frameworkに基づいてご紹介します。
NISTのCybersecurity Frameworkとは、社内外の利害関係者とサイバーセキュリティリスクについてコミュニケーションを行うための分類法が示されたものです。
「統治」「識別」「防御」などの6分類に体系化されており、平時のリスク管理や脅威に対する事前の対策から、インシデントが発生した後の対応策・信頼回復の取り組みまで、サイバーセキュリティに関連する広範な管理策をカバーしています。
- 1 統治|サイバーセキュリティ戦略・方針の設定と管理
-
LINEヤフーグループでは、サイバーセキュリティ基本方針を定め、情報セキュリティ上の脅威に対して、ユーザーの情報を漏洩から守ること(機密性)、24時間365日いつでもユーザーにサービスを提供し続けること(可用性)、コンテンツを破壊や改ざんから確実に守ること(完全性)を方針として、最善の取り組みを行なっています。
代表取締役社長が委員長を務めるセキュリティガバナンス委員会を組成し、CISO、CTOほかセキュリティに関連する執行役員らが参加してセキュリティガバナンスの向上に向けた議論を行っています。
また、グループ全体でセキュリティを強化することを目指し、グループCISO Boardを通じた密接な情報連携と継続的改善活動に取り組んでいます。
さらに、サプライチェーン全体を強化するため、厳格な基準に基づくサプライヤー選定および管理を実施しています。
購買・調達について国内外のセキュリティ標準・規格を参照し組織の現状とのギャップを特定、改善に結び付けるべく、セルフチェックや第三者機関による審査を実施しています。
- 2 識別|資産・リスクの特定と評価
-
LINEヤフー社における重要システムと、それに対して求める安全管理措置基準を定義したうえで、ISO27001※を活用したリスクマネジメントプロセスのなかで、リスクを把握し、管理する仕組みを整備・実施しています。
具体的には、年次のリスクアセスメントとして、各システムのデータ保管の現状、施されているセキュリティ対策、それに伴うリスクを全体的に把握し、評価する業務の仕組みを構築しています。
また、外部の専門機関と社内の専門組織が連携して、サービスの脆弱性診断、およびセキュリティ対策の有効性検証を定期的に行っています。
さらに、外部のホワイトハッカーなどの協力を得てシステムやサービスの脆弱性を早期に発見する取り組みである Bug Bounty Program や、脆弱性報告フォームを運営しています。
※ ISO27001:情報セキュリティマネジメントシステム(ISMS)に関する国際規格 - 3 防御|特定された資産を守るための対策実施
-
当社ユーザーの個人情報へのアクセスは、内部不正・外部不正(サイバー攻撃)の両方の脅威を想定し、厳格な物理的・論理的アクセス制御を徹底しています。
例えば、特に機密性の高いユーザーデータの不正持ち出しを防ぐため、一般執務環境から隔離され禁止携帯品の持ち込み防止など専用のルールで管理されたセキュリティエリアを設置しています。またエリア外からの特に機密性の高いユーザーデータへのアクセスは、緊急時含む一定条件下に限定したうえで、アクセス可能なデータの制限、2名以上の作業体制といった対策下でのみ可能としています。 - 4 検知|セキュリティインシデントの早期発見と対処
-
インシデントの早期検知と被害の最小化を目指し、外部の専門機関と社内の専門組織が連携して、24時間365日のセキュリティ監視を行っています。
- 5 対応|インシデント発生時の適切な対応
-
インシデント対応基準や体制の整備、インシデント対応訓練を定期的な実施などを通じ、万一のインシデント発生時の迅速かつ適切な対応に備えています。
インシデント発生時には、迅速に事故対応体制を組成し、被害を最小化するための対応を実施するとともに、重要度に応じて速やかに経営トップまで影響や対応状況の報告を行う運用となっています。
また、CISOが統括するセキュリティ組織などの全社横断チームにより、事態の拡大防止と早期収束、二次被害防止のための迅速な情報開示を行います。 - 6 復旧|インシデント後の復旧とコミュニケーション
-
大規模な災害や障害、サイバーセキュリティインシデントなどにより影響を受けた機能やサービスをいち早く復旧させるため、危機管理体制・事業継続管理体制を整備しています。
実行計画およびその進捗は、代表取締役社長を委員長とするセキュリティガバナンス委員会や経営会議での確認も行っています。
社外との情報共有体制
LINEヤフーでは、情報セキュリティに関する新たな脅威に対応するため、常に外部の最新情報を入手すべく、以下の団体と連携し、継続的な技術動向の把握に取り組んでいます。
| 団体名 | 連携内容 |
|---|---|
| 他組織シーサートとの緊密な協調体制を敷き、社会的かつシーサート間に共通する 課題の解決などを目指しています。 | |
| サイバー犯罪の情報を共有することにより、サイバー空間の脅威の大本を特定、軽減及び無効化し、以後の事案発生の防止に資するための活動を行っています。 | |
| インシデント対応時の組織間連携などを、技術的な立場から行っています。 |
フィッシングサイトや不正利用などに対する取り組み
LINEヤフーではLINEヤフーグループ各社の情報セキュリティに関わるインシデント対応の一環としてフィッシング対応を行っています。フィッシングの早期検知、関係各社・機関との連携による不正なウェブサイトの無効化を継続的に実施しています。
また、LINEヤフーでは、お客さまのID・パスワードが第三者に知られてしまった場合に備えて、不正ログインを防止し、被害を軽減するための対策を行っています。同時に、日本のインターネット利用者に対して安全なID管理についての啓発を行うとともに、一定の不正利用を想定した事前対策を講じています。
関連リンク
セキュリティ教育・研修の徹底
LINEヤフーでは、ユーザーに安心・安全なサービスを提供し続けていくために、業務内容や役職に合わせた教育・訓練を行っています。
また、グループ会社に関しては一部のセキュリティ教育・訓練を共同で行うなどして、グループ全体で一定水準以上のセキュリティを維持できるよう取り組んでいます。
| 研修・訓練名 | 内容 |
|---|---|
| 全従業者向けセキュリティ研修 |
四半期に一度、全従業者を対象に社内の情報セキュリティ基本ルールを復習するeラーニングを実施しています。また必要に応じて臨時のセキュリティ教育も実施しています。 <2025年の実施状況と受講率> 2025年2月:99% 2025年3月:99% 2025年5月:99% 2025年8月:98% |
| 入社者向けセキュリティ研修 | 新卒・中途採用の新入社員を対象に、一般的な情報セキュリティ知識と対策、社内の情報セキュリティ基本ルールを学ぶeラーニングを実施しています。 |
| 新任管理職向けセキュリティ研修 | 管理職就任時に必要な情報セキュリティ関連知識を習得するためのeラーニングを実施しています。 |
| エンジニア向けセキュリティ研修研修 |
プログラミング業務に携わる新入社員を対象に、セキュアな視点を持って開発に臨むための研修を実施しています。 入社後は、近年のセキュリティ上の脅威動向と対策をキャッチアップするためのアップデート研修を、年次で実施しています。 |
| 標的型攻撃メール対応訓練 | 従業者に標的型攻撃メールを模した訓練メールを送付し、 インシデント対応力の向上を図る訓練を年1回以上実施しています。 |
| インシデント対応訓練 | 情報セキュリティインシデントが発生した場合を想定し、対応の予行練習と対応フローに問題がないか確認するための訓練を毎年 実施しています。 |
2025年12月3日より、LINE Security Bug Bounty Programの内容および運用体制の見直し・改善のため、一時的に本プログラムを停止することとなりました。