高度な情報セキュリティとプライバシーの保護
ゴールとKPI
- 2030年ゴール
- 社会インフラにふさわしいセキュリティ基盤を構築・運用している
- 2024年ゴール
- Chatworkグループ全体の重要な経営機能として位置づける情報セキュリティを構築している
- 2030年KPI
-
- CEO管掌の元、情報セキュリティに関わる社会情勢や事業戦略に対応したセキュリティ戦略を立案し、全社横断的なセキュリティマネジメントを強化
- セキュリティ機能を監視する独立した監査体制の整備・運用
- 国際セキュリティ認証SOC2の認証取得・運用
- 重大セキュリティインシデント: 0件
- 2024年KPI
-
- PSIRT / CSIRTの体制強化
- 最適なセキュリティ研修プログラムの整備(開発、コーポレート): 該当スタッフの研修受講率 100%
- ソフトウェア・サプライチェーンに対するセキュリティ対策の実施
- SAST / DASTの導入による自動的な脆弱性早期発見の体制強化
- 重大セキュリティインシデント: 0件
※1 SOC2...米国公認会計士協会(AICPA)が開発したサイバーセキュリティ・コンプライアンス・フレームワーク(Service Organization Control Type 2)
※2 PSIRT / CSIRT...PSIRT(Product Security Incident Response Team)とは、自社で製造・開発する製品やサービスを対象に、セキュリティレベルの向上やインシデント発生時の対応を行う組織。CSIRT(Computer Security Incident Response Team)とは、セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応する組織。
※3 SAST / DAST...SAST(Static Application Security Testing)とは、ソースコードを解析し、組織のアプリケーションが攻撃されやすくなる脆弱性を検出すること。DAST(Dynamic Application Security Testing)とは、アプリケーションの実行中に、外部からの攻撃をシミュレートすることで、アプリケーションの脆弱性を検出すること。
考え方と体制
情報セキュリティに関する考え方
当社は、導入者数38.6万社※1・DAU106.4万人※2を超えるお客様に、ビジネスを効率化・活性化するクラウド型ビジネスチャットサービスを開発・提供しており、お客様の大切な情報資産・機密情報をお預かりしています。
これらの情報を確実に保護することが事業継続の大前提であるため、情報セキュリティを当社の最重要経営課題と位置づけ、2013年 1月に「情報セキュリティ基本方針」を定めて、情報セキュリティの確保にむけた取り組みを全社的に推進しています。
「情報セキュリティ基本方針」はこちらをご覧ください
※1 2022年12月末時点
※2 1日あたりのサービス利用者数(Daily Active User)の土日祝日を除く平日の中央値、2023年3月末時点
情報セキュリティ体制
当社では、代表取締役CEOをトップとして、グループ全体の情報システムの情報セキュリティをコーポレート本部のCSE部※1が管理し、開発する製品・サービスの情報セキュリティをプロダクト本部のプロダクトセキュリティ部が管理する情報セキュリティ体制を構築しています。
また、情報セキュリティに関する高度な専門性を有するCISSP※2の資格保有者を配置し、変化するセキュリティ環境への対応を進めています。
※1 CSE部...Corporate Solution Engineeringの略。
※2 CISSP...(ISC)² (International Information Systems Security Certification Consortium:国際情報システムセキュリティ認証コンソーシアム)が認定する国際的に権威のある情報セキュリティ・プロフェッショナル認定資格
情報セキュリティ体制図
Chatworkの主な取り組み
情報セキュリティの確保にむけた取り組み
情報セキュリティの確保にむけた取り組みをご報告します。
1)情報セキュリティに関する国際認証取得状況
当社は、Chatwork株式会社およびChatworkストレージテクノロジーズ株式会社における全事業を対象とした第三者機関の審査を経て、情報セキュリティに関する国際認証規格ISO/IEC 27001:2013 / JIS Q 27001:2014※1、及びクラウドサービスの提供や利用に適用される国際認証規格ISO/IEC 27017:2015※2、及び個人情報と関連するプライバシーまでを適切に保護する国際認証規格ISO/IEC 27701:2019を取得し、厳格なセキュリティ基準に従ってシステムの運用をおこなっています。
※1 ISO/IEC 27001:2013 / JIS Q 27001:2014...情報セキュリティマネジメントシステム(ISMS)に関する国際規格
※2 ISO/IEC 27017:2015...クラウドサービスに関する情報セキュリティ管理策のガイドライン規格
ISMS認証の取得状況
| 認証名 | 範囲 | 認証取得日 |
|---|---|---|
| ISO/IEC 27001:2013 / JIS Q 27001:2014 | Chatwork株式会社およびChatworkストレージテクノロジーズ株式会社 | 第1版:2013年03月21日 第10版:2022年3月23日 |
| ISO/IEC 27017:2015 | Chatwork株式会社およびChatworkストレージテクノロジーズ株式会社 | 第1版:2018年4月10日 第5版:2022年4月26日 |
取得している情報セキュリティに関する認証規格
2)外部からの攻撃対策
情報セキュリティを取り巻く環境が急速に変化する中、サイバー攻撃など外部からの攻撃が高度化するなど、情報漏洩リスクは年々増大しています。これに対応するため、プロダクト開発とコーポレート・マネジメントの両面からセキュリティ対策に取り組んでいます。
プロダクト開発では、「不正アクセスの予防・遮断」「WAF※の導入」「開発に利用するミドルウェア・ライブラリの脆弱性を評価・確認する脆弱性管理」「セキュアな開発を実現するためのセキュリティ教育」「外部のセキュリティ専門会社による定期的な診断」などを実施しているほか、プロダクトのセキュリティ対策に専任で取り組む「プロダクトセキュリティ部」を設置すると共に、社員が情報セキュリティについて相談・報告ができる「セキュリティ相談窓口」「セキュリティリスク報告フォーム」を設置・運用しています。また、プログラムの脆弱性の発見に報奨金を設定し、外部の技術力の高いバグハンターによる脆弱性の発見を制度的に運営する「バグバウンティ・プログラム」を導入しているほか、セキュリティリスク報告フォームなどで把握したリスク事案から重要リスクを評価・特定し、対応策を検討する「リスク管理の棚卸し」を定期的に実施するなど、セキュアなプロダクト開発に継続的に取り組んでいます。
コーポレートセキュリティの側面では、役職員の末端情報機器などエンドポイントでのセキュリティ対策の強化を実施しています。
※ WAF...ウェブアプリケーション・ファイアウォールの略。Webアプリケーションへの攻撃を遮断するなど、不正アクセスからWebアプリケーションを守るためのセキュリティ対策
主な外部からの攻撃対策
| 取組み | 概要 | 頻度 |
|---|---|---|
| バグバウンティプログラムの運営 | バグハンターからのアプリケーションに対する脆弱性報告を受付、セキュリティ強化に活用 | 適時 |
| セキュリティベンダーによる脆弱性診断 | 年一回セキュリティベンダーによる脆弱性診断を実施し、アプリケーションのセキュリティ強化を実施 | 年1回 |
| セキュリティ相談窓口 | 脆弱性をアプリケーションに埋め込まないように設計段階から実装について開発者が相談を行えるセキュリティの相談窓口を設置。これ以外にもセキュリティ・インシデントやその可能性がある場合にも気軽に報告できる場所として運用 | 適時 |
3)内部からの情報漏洩対策
当社では、プロダクト開発においては、開発時に情報漏洩防止の観点でのレビューを行うほか、不正アクセスや改ざんを防ぐために必要最低限の人員が必要最低限の情報にのみアクセス可能な仕組みを構築すると共に、サービス保守とセキュリティ対策のためにサービスへのアクセスや利用状況・データ通信などの履歴(ログ)を含む重要データを厳重に保管し、情報システムへのアクセス状況を監視する仕組みを構築・運用しています。また、それらの運用が適切になされているかを定期的に確認すると共に、内部監査も実施しています。また、退職者からの情報漏洩を防止するための措置も講じています。
コーポレートセキュリティの確保では、全社員に情報セキュリティ教育を実施しているほか、重要情報については最低限のアクセス権限を設定してシステムアカウントを管理すると共に、アクセスログの保存を行っています。また、ノートPCなど端末機器からの情報漏洩防止にむけ、セキュリティ設定を一元管理すると共に、紛失時にデータを削除するMDM※を導入しています。また、個人情報の委託・預託先については状況を管理し、セキュリティチェックを実施しています。
※ MDM...ビジネスで使用するスマートフォン、ノートPCなどの端末機器の、システム設定などを統合的・効率的に管理する手法。 また、それを実現するソフトウェアや情報システムなどをいう。
主な内部からの情報漏洩対策
| 取組み | 概要 | 頻度 |
|---|---|---|
| 役職員を対象とした研修の実施 |
|
入社時年1回 |
| 重要な情報資産に関して、最低限の権限付与によるシステムアカウント管理 |
|
都度 |
| MDMによる端末管理の実施 |
|
都度 |
4)その他の情報セキュリティ向上にむけた取り組み
情報漏洩リスクが増大する中、個社で出来る取り組みだけでは限界があります。そのため当社では、類似のサービスを提供する企業と連携することでセキュリティ対策の強化を図ることを目的に、2022年10月、SaaS提供事業者と共同でBtoB向けSaaSサービスの開発・運用を行う企業によるセキュリティ対策の情報交換の場として「SaaSセキュリティの会」を立ち上げました。現在、12社に参加いただき、セキュリティ対策の強化にむけた情報交換や脆弱性診断などを推進しています。
プライバシーの保護
プライバシー保護に向けた考え方と取り組み
全ての利用者の皆さまに、利便性が高くご安心いただけるITサービスを提供するには、お預かりするプライバシー情報を各国・地域の情報保護規制に従って確実かつ適切に保護・管理する必要があります。
そのため、当社ではプライバシー保護に関する方針を整備した上で、このポリシーを遵守するための教育を関係するすべての役員・従業員に定期的に実施しています。また、2022年4月にはプライバシー保護に関する国際認証規格ISO27701※を取得し、マネジメントの強化に取り組んでいます。
プライバシーポリシーの詳細はこちらをご覧ください。
※ ISO/IEC 27701:2019...2019年に発行された国際規格。同規格は、ISO/IEC 27001およびISO/IEC 27002のアドオン(拡張)規格として位置づけられており、 情報セキュリティマネジメントシステムの要求事項に加え、個人情報の処理によって影響を受ける可能性があるプライバシーを保護するための要求事項とガイドラインを規定
画像の転載、複製、改変等は禁止します
