セキュリティの取り組み
安全なサービスを提供するための取り組み
LINEヤフーでは、堅牢なサービスを提供するための取り組みの一環として、社内専任組織と第三者機関による脆弱性診断の実施等、アプリケーションへの脆弱性対応を実施しています。アプリケーションに脆弱性を持たせないことを目的に、エンジニアを対象とするセキュアプログラミング研修を実施しています。本研修はエンジニアの力量を強化し、サイバーセキュリティの国際基準に準拠する上でも重要な研修として、全エンジニアを対象に受講を必須化しています。
これまでLINE株式会社が提供していたサービスでは、コミュニケーションアプリ「LINE」およびWEBサイトに存在する脆弱性を早期に発見し、ユーザーに、より安全なサービスを提供することを目的とし、サービスの脆弱性の発見を公募し、報告者に報奨金をお支払いするBug Bounty Programを運営しています。
関連リンク
社外との情報共有体制
LINEヤフーでは、情報セキュリティに関する新たな脅威に対応するため、常に外部の最新情報を入手すべく、以下の団体と連携し、継続的な技術動向の把握に取り組んでいます。
| 他組織シーサートとの緊密な協調体制を敷き、社会的かつシーサート間に共通する 課題の解決などを目指しています。 | |
| サイバー犯罪の情報を共有することにより、サイバー空間の脅威の大本を特定、軽減及び無効化し、以後の事案発生の防止に資するための活動を行っています。 | |
| インシデント対応時の組織間連携などを、技術的な立場から行っています。 |
フィッシングサイトや不正利用などに対する取り組み
LINEヤフーではLINEヤフーグループ各社の情報セキュリティに関わるインシデント対応の一環としてフィッシング対応を行っています。フィッシングの早期検知、関係各社・機関との連携による不正なウェブサイトの無効化を継続的に実施しています。
また、LINEヤフーでは、お客さまのID・パスワードが第三者に知られてしまった場合に備えて、不正ログインを防止し、被害を軽減するための対策を行っています。同時に、日本のインターネット利用者に対して安全なID管理についての啓発を行うとともに、一定の不正利用を想定した事前対策を講じています。
関連リンク
セキュリティ教育の徹底
LINEヤフーでは、以下のように業務内容や役職に合わせた研修や訓練を行っています。
| 入社時研修 | 新卒・中途採用(派遣、業務委託社員を含む)の全新入社員を対象に、一般的な情報セキュリティ知識と対策、社内の情報管理ルールを学ぶeラーニングを実施しています。 |
|---|---|
| 新任管理職研修 | 管理職就任時に必要な情報セキュリティ関連知識を習得するためのeラーニングを実施しています。 |
| 技術者向け研修 | プログラミング業務を行うエンジニアの新入社員を対象に、セキュアプログラミング研修を実施しています。さらに、全社のエンジニアを対象に、技術の新しい知見を補完するアップデート研修を、年次で実施しています。 |
| 標的型攻撃メール対応訓練 | 各グループ会社の従業員に標的型攻撃メールを模した訓練メールを送付し、 インシデント対応力の向上を図る訓練を各社で年1回以上実施しています。 |
| インシデント対応訓練 | 各グループ会社のサービスに従事する社員を主な対象とし、万が一情報セキュリティインシデントが発生した場合の対処方法を学ぶ仮想訓練を各社で年1回実施しています。 |
あわせてインシデント発生時には必要に応じて緊急eラーニングを全従業員に実施し、迅速なセキュリティへの意識浸透を図っています。
また、LINEヤフーでは、グループ会社に対して業務上必要な情報セキュリティ知識を習得できるeラーニング等の教育資料を必要に応じて提供しています。
※Zホールディングス株式会社・ヤフー株式会社・PayPay株式会社は、派遣・業務委託社員を含む全従業員を対象に情報セキュリティに関するeラーニングを3カ月に1度実施しています。(2023年9月末時点)