当社グループが提供するサービスは、企業や個人のユーザーに対してさまざまなデータの管理や利用を促進するものであるため、情報の取り扱いや保護については経営の最重要項目に位置付けています。また、クラウドサービスの展開では多くのケースにおいて利便性とセキュリティは相反するものとなりますが、社会や経済の効率性・生産性の向上を実現するには、双方のバランスを高度にとっていくことが重要であるため、企業理念において「セキュリティと利便性を両立させる」というプレミス(サービス提供の前提条件)を掲げています。利便性を確保した上で、データプライバシーの保護や情報セキュリティ等のあらゆる対策を全役職員で講じることでセキュリティリスクを最小化し、安全性の高いサービス提供を安定的に行います。
プライバシーリスクやセキュリティリスクに対して迅速かつ全方位的に対処できるよう、取締役がCISO*1、DPO*2及び個人情報保護管理者の役割を担っています。また、グループを横断する情報セキュリティ、サイバーセキュリティに関する専門部署として、情報セキュリティ部を設置しています。情報セキュリティ部ではCSIRT*3機能を有するほか、SOC*4を内製して運用しており、継続的な監視、脅威の分析を行っています。そのほか、プロダクトセキュリティチームを設置し、自社プロダクトのセキュリティ強化と脆弱性への対応を行っています。また、2007年の会社設立当初より、個人情報マネジメントシステムを構築し、社内におけるデータ保護の取り扱いに関する環境を整備するとともに、最新セキュリティ技術を駆使して、さまざまな重要情報を24時間365日監視する体制を整えています。
情報セキュリティ部、各プロダクトの開発責任者はともにCISOの直下に配置され、CISOに統括されています。CISOは、経営会議に参加してセキュリティやリスク状況について定期的に報告し、経営層のレベルで情報セキュリティ及びサイバーセキュリティに関する重要な意思決定を行っています。また、CISOの諮問機関として、情報セキュリティ部長及びプライバシーにおけるコンプライアンスを統括する総務法務部長が出席する、情報セキュリティ・プライバシー委員会を隔週1回の頻度で開催し、会社を取り巻く環境等の脅威分析と対策、各種リスク対策等の検討、見直しを行います。
塩見 賢治
CISOの塩見賢治は、2007年に当社を共同創業し、それ以来、当社のプロダクト開発を一貫して主導してきました。その豊富な経験と専門知識を背景に、現在は技術本部長としてエンジニア組織を統括しています。また、当社の海外子会社である、Sansan Global Development Center, Inc.のCEOを務め、多様性のある組織作りにも力を注いでいます。
2023年には、CISO(最高情報セキュリティ責任者)に就任し、以後、プロダクトセキュリティの強化、ゼロトラストの推進、インシデント発生時の指揮等、当社グループにおけるセキュリティ強化に尽力しているほか、外部カンファレンスへの登壇等を通じて、業界全体のセキュリティ貢献にも努めています。また、DPO(データ保護責任者)として、データプライバシーの保護やコンプライアンスを推進し、組織全体のデータ保護戦略を策定・実施しており、セキュリティとプライバシーの両面で当社グループをリードしています。
情報セキュリティに関する規程やルールの整備、各サービス毎に定めたガイドラインを通じて、情報漏洩やサイバー攻撃等の想定される各リスクに対する管理体制や統制体制の強化を進めています。また、それぞれについて年に一度棚卸を行い、最新性を保っています。
⽇本⼯業規格「JISQ15001」を当社が満たすことを⽬的に、個⼈情報の適切な取扱いに関する⼿続きを定めています。
当社の情報資産を扱う情報システム管理業務に関する⼿続きを定めています。
情報資産が適切かつ安全に管理され、有効に活用されることを目的に、情報資産の管理に関する手続きを定めています。
情報システムの技術的安全管理に関するルールを定めています。
備えておくべきセキュリティ機能とその運用についての指針を各サービス毎に定めています。
各国での個人情報保護に関する法律の改正や新たな制定・施行に伴い、次の対応を進めています。
個人情報保護法改正に伴い、当社の個人情報保護基本規程を含む社内規則の改訂及び各種手続きの変更と厳格化を行いました。
海外子会社の個人情報保護については、会社所在地のシンガポール、フィリピン、タイにおける制度を把握した上で安全管理措置を実施しています。
海外への委託に関しては、フィリピン、ミャンマー、ベトナム、バングラデシュ、タイをはじめ、30か国以上の海外法制の調査を行っており、委託先における組織的・人的・物理的・技術的な安全管理措置を評価しています。
当社では、さまざまな取り組みを通じて個人情報保護法と安全管理に関する正しい理解を促進し、全社のセキュリティ意識を高めています。
全ての役職員に取得を義務付け、入社後一定期間が経過しても未合格の場合には、原則として昇給が保留されるルールを設定しています。
入社時と年に一度、情報セキュリティと個人情報保護に関する研修を全役職員に実施しています。
月に一度取締役CISOより、セキュリティに関する取り組みやトピックスを全役職員向けに発信しています。
情報資産の機密性に応じた区分を明確にした上で、各区分のリスクに応じた管理策を定義しています。また、管理策の実施を徹底する仕組みとして、社員からセキュリティ委員を指名し、社員間でセキュリティに関する相互監査を行っています。
セキュリティに関する知識やスキル、経験、対応力、特定分野における専門性等を評価し、グローバルでの人材採用を行っています。
特定分野の専門的知識や経験、スキルに優れ、幅広いセキュリティ分野への対応が期待できる人物を選抜し、有識者がマンツーマンでオンザジョブトレーニング(OJT)を行い、専門家を育成します。
業務を通じて高いセキュリティ意識を醸成し、経験を積みながら、必要十分なセキュリティ対策が実現できる能力を身につけたセキュリティ人材の育成を目的に、各サービスの一部のエンジニアがCISRTを兼務しています。
高度セキュリティ人材確保の一環として、社内で指定したセキュリティ高度資格の取得を推奨しており、自己学習を通じた知識獲得を促進しています。
2024年5月末時点 | |
---|---|
セキュリティ高度 資格保持者 |
9名 |
有識者によるマンツーマンのOJTを経験し、社内のセキュリティに関する役割を独力で遂行できるようになるまで育成を行います。
第三者機関によるセキュリティ関連のさまざまな認定を受けています。
当社の個人情報保護マネジメントシステム(PMS)の運用は、日本産業規格「JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項」をベースにした審査基準によって評価されており、2007年に認定を取得しています。PMSを導入することで、リスクを顕在化させないための取り組みや、万が一事故等が発生した場合の体制や対応手順の整備、緊急事態への適切な対応と再発防止による管理体制の強化をしています。
情報セキュリティマネジメントシステム(ISMS)に関する国際規格であるISO/IEC 27001、クラウドサービスの提供や利用に対して適用されるクラウドセキュリティに関する国際規格であるISO/IEC 27017を取得しています。なお、「Sansan」において、ISO/IEC 27701の取得を目指しており、世界標準のプライバシー保護マネジメントシステムの構築を進めています。
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:ISMAP)は、調達時のセキュリティ水準の確保を図り、円滑な導入に資することを目的に、日本政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録する制度です。ISMAP-LIUは、リスクの小さな業務・情報の処理に用いるSaaSを対象とする仕組みの名称であり、管理基準は、JIS Q 27001、JIS Q 27002、JIS Q 27014、JIS Q 27017等を基礎として作成され、インシデント対応に関連する内容を中心に国際規格及び統一基準に含まれない観点については、SP800-53を参照して構成されています。2024年9月、当社はクラウドサービスとして初めてISMAP-LIUクラウドサービスリストに登録されました。
公益社団法人日本文書情報マネジメント協会(JIIMA)の「電子取引ソフト法的要件認証制度」とは、国税関係書類をコンピュータで作成し、電子的にやり取りする場合の当該取引情報の保存を行う市販ソフトウエア及びソフトウエアサービスが電子帳簿保存法第7条の要件を満たしているかをチェックし、法的要件を満足していると判断したものを認証するものです。「Bill One」及び「Contract One」において、令和3年改正法令基準「電子取引ソフト法的要件認証」を2022年4月に取得しています。
複雑化しているサイバーセキュリティ、情報セキュリティ上の脅威に対し、ユーザーから重要データを預かり、安心安全なサービスの提供を行うため、防御、監視活動並びにそれを支える体制を構築しています。
ネットワークの通信制御を含めた多層防御のアーキテクチャを採用しており、各端末ではEDR*6を導入して、異常検知時には自社のSOCにて速やかに調査・対応を行える体制を整備しています。また、新設されたプロダクトセキュリティチームでは、各サービスの開発から一貫したセキュリティ向上に取り組んでいます。そのほか、CSIRTを組織し、インシデント発生時には即座に対応できる体制を整えています。
外部ベンダーと協力し、24時間365日のサイバー攻撃に対して監視活動を行い、異常検知時は速やかに調査・対応を実施しています。また、社内の情報機器に対する不正行為を予防する監視活動を行っています。
外部機関のハッカーを登用し、意図的にサイバー攻撃を行わせることで、各サービスやシステムのセキュリティレベルをテストし、強化につなげています。その際、社内環境においてもペネトレーションテストを実施しており、役職員に対しては標的型攻撃メールやBCP*7訓練をしています。
(単位:回) | 2021年5月期 | 2022年5月期 | 2023年5月期 | 2024年5月期 |
---|---|---|---|---|
脆弱性診断 | 1 | 1 | 1 | 1 |
ペネトレーションテスト | 1 | 1 | 1 | 1 |
第三者機関や社内専門部署によるサービスの脆弱性診断のほか、さまざまな技術的な取り組みを進めています。
外部からアクセスされたデータセンターへの通信は、ユーザー認証HTTPSによる高度な暗号化等を行っています。
名刺や請求書等の紙書類をスキャンした後、端末から画像データを削除しています。
全てのサーバーは、ネットワーク機器の多重化等により負荷分散がなされており、障害発生時にはサービスを迅速に復旧させることが可能です。また、データセンターの二重化を行い、災害時の機能・サービス停止リスクを最小化しています。
全社でゼロトラストセキュリティを採用し、社内ネットワーク内外で業務が安全に行われ、守るべき情報資産へのアクセスが可能な仕組みの全ての安全性を確保して事業活動を実施しています。ゼロトラストセキュリティ推進の1つとして、場所を問わず業務の実施が可能なゼロトラストベースの管理策を適用した環境で業務ができることを進めています。主な機能として、
リスク評価の基準を定め、リスク評価とリスク管理を行っています。
「脅威エージェントの要素」と「脆弱性の要素」でリスク評価を行い、リスクの発生可能性(リスクが顕在化する確率)を定量的に算出し、高中低の三段階で評価します。
「機密性 、 完全性 、 可用性を考慮した技術的な影響度の要素」と「ビジネス的な影響度の要素」でリスク評価を行い、リスクの影響度(リスクが顕在化した場合の影響の大きさ)を定量的に算出し、高中低の三段階で評価します。
手順①②で算出された値から、リスクの重大度の評価を行います。リスクは、致命的・高・中・低・留意に分類され、リスク受容判断が行われ管理されています。
情報セキュリティ部は、企業理念のプレミス「セキュリティと利便性を両立させる」の下、利便性を確保した上で、データプライバシーの保護や情報セキュリティ等のあらゆる対策を全役職員に講じることでセキュリティリスクを最小化し、安全性の高いサービス提供を安定的に行うことを目標にしています。加えて、「SaaS業界をけん引する存在になる」ことを目指すべき姿として掲げており、自社のセキュリティレベルを業界最高水準にすることに留まらず、ベストプラクティスや学びを社内外に積極的に共有し循環させていくことで、業界全体のセキュリティ水準を引き上げていくことを目指しています。
2023年には、新たな取り組みとして、プロダクトセキュリティチームを新設しました。各サービスや機能の開発プロセスでは、最終テスト段階での脆弱性診断だけではなく、セキュリティ・バイ・デザイン*11 の思想の下、設計の初期段階からセキュリティチームが関わっており、そもそも脆弱性のない安心安全なサービス開発を推進しています。また、毎年実施しているペネトレーションテストでは、2023年は、ほぼ侵害を許すことなく終えることができており、国内有数のホワイトハッカーにも侵害を許さない検知能力、防御能力は業界でも最高レベルであると自負しています。
コロナ禍以降、企業のDXが急速に進むことで社会全体のセキュリティリスクが高まっています。強固なセキュリティは、顧客や取引先に対して安心を提供するのみならず、デジタル社会の発展に不可欠なものであり、企業の枠を超えて社会全体に多大な利益をもたらします。私たちは、これからも積極的なセキュリティ対策を推進し、安全で信頼できるサービスを提供し続けます。そして、そうした私たちの取り組みは、社会全体のDXを支え、持続可能な未来を創造する原動力になるものと信じています。