高度な情報セキュリティとプライバシーの保護

Security

ゴールとKPI

2030年ゴール
社会インフラにふさわしいセキュリティ基盤を構築・運用している
2024年ゴール
kubellグループ全体の重要な経営機能として位置づける情報セキュリティを構築している
2030年KPI
  1. CEO管掌の元、情報セキュリティに関わる社会情勢や事業戦略に対応したセキュリティ戦略を立案し、全社横断的なセキュリティマネジメントを強化
  2. セキュリティ機能を監視する独立した監査体制の整備・運用
  3. 国際セキュリティ認証SOC2の認証取得・運用
  4. 重大セキュリティインシデント: 0件
2024年KPI
  1. PSIRT / CSIRTの体制強化
  2. 最適なセキュリティ研修プログラムの整備(開発、コーポレート): 該当スタッフの研修受講率 100%
  3. ソフトウェア・サプライチェーンに対するセキュリティ対策の実施
  4. SAST / DASTの導入による自動的な脆弱性早期発見の体制強化
  5. 重大セキュリティインシデント: 0件

※1 SOC2...米国公認会計士協会(AICPA)が開発したサイバーセキュリティ・コンプライアンス・フレームワーク(Service Organization Control Type 2)
※2 PSIRT / CSIRT...PSIRT(Product Security Incident Response Team)とは、自社で製造・開発する製品やサービスを対象に、セキュリティレベルの向上やインシデント発生時の対応を行う組織。CSIRT(Computer Security Incident Response Team)とは、セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応する組織。
※3 SAST / DAST...SAST(Static Application Security Testing)とは、ソースコードを解析し、組織のアプリケーションが攻撃されやすくなる脆弱性を検出すること。DAST(Dynamic Application Security Testing)とは、アプリケーションの実行中に、外部からの攻撃をシミュレートすることで、アプリケーションの脆弱性を検出すること。

考え方と体制

情報セキュリティに関する考え方

当社は、導入者数38.6万※1・DAU106.4万※2を超えるお客様に、ビジネスを効率化・活性化するクラウド型ビジネスチャットサービスを開発・提供しており、お客様の大切な情報資産・機密情報をお預かりしています。
これらの情報を確実に保護することが事業継続の大前提であるため、情報セキュリティを当社の最重要経営課題と位置づけ、2013年 1月に「情報セキュリティ基本方針」を定めて、情報セキュリティの確保にむけた取り組みを全社的に推進しています。

「情報セキュリティ基本方針」はこちらをご覧ください

※1 2022年12月末時点
※2 1日あたりのサービス利用者数(Daily Active User)の土日祝日を除く平日の中央値、2023年3月末時点

情報セキュリティ体制

当社では、CEOをトップとして、グループ全体の情報セキュリティ対策を推進する組織として、セキュリティ室を設置。情報セキュリティマネジメントやコーポレートセキュリティを担当するチームと、サイバーセキュリティを担当するセキュリティエンジニアリングチームで構成しています。

また、情報セキュリティに関する高度な専門性を有する資格保有者を配置し、変化するセキュリティ環境への対応を進めています。

情報セキュリティ体制図

kubellの主な取り組み

情報セキュリティの確保にむけた取り組み

情報セキュリティの確保にむけた取り組みをご報告します。

1)情報セキュリティに関する国際認証取得状況

株式会社kubell、株式会社kubellストレージ、株式会社kubellパートナーの全事業を対象として、第三者機関の審査を経て、情報セキュリティに関する国際認証規格ISO/IEC 27001:2013 / JIS Q 27001:2014※1、及び個人情報と関連するプライバシーまでを適切に保護する国際認証規格ISO/IEC 27701:2019を取得しております。
また、株式会社kubell、株式会社kubellストレージにおいては、クラウドサービスの提供や利用に適用される国際認証規格ISO/IEC 27017:2015の認証を取得し、厳格なセキュリティ基準に従って、システム開発・運用を行っております。

※1 ISO/IEC 27001:2013 / JIS Q 27001:2014...情報セキュリティマネジメントシステム(ISMS)に関する国際規格

ISMS認証の取得状況
認証名 範囲 認証取得日
ISO/IEC 27001:2013 / JIS Q 27001:2014 Chatwork株式会社およびChatworkストレージテクノロジーズ株式会社 第1版:2013年03月21日
第10版:2022年3月23日
ISO/IEC 27017:2015 Chatwork株式会社およびChatworkストレージテクノロジーズ株式会社 第1版:2018年4月10日
第5版:2022年4月26日

取得している情報セキュリティに関する認証規格

2)外部からの攻撃対策

情報セキュリティを取り巻く環境が急速に変化する中、サイバー攻撃など外部からの攻撃が高度化するなど、情報漏洩リスクは年々増大しています。これに対応するため、プロダクト開発とコーポレート・マネジメントの両面からセキュリティ対策に取り組んでいます。
プロダクト開発では、「不正アクセスの予防・遮断」「WAFの導入」「開発に利用するミドルウェア・ライブラリの脆弱性を評価・確認する脆弱性管理」「セキュアな開発を実現するためのセキュリティ教育」「外部のセキュリティ専門会社による定期的な診断」などを実施しているほか、プロダクトのセキュリティ対策に専任で取り組む「セキュリティエンジニアリングチーム」を設置すると共に、社員が情報セキュリティについて相談・報告ができる「セキュリティ相談窓口」「セキュリティリスク報告フォーム」を設置・運用しています。また、セキュリティリスク報告フォームなどで把握したリスク事案から重要リスクを評価・特定し、対応策を検討する「リスク管理の棚卸し」を定期的に実施するなど、セキュアなプロダクト開発に継続的に取り組んでいます。
コーポレートセキュリティの側面では、役職員の末端情報機器などエンドポイントでのセキュリティ対策の強化を実施しています。

※ WAF...ウェブアプリケーション・ファイアウォールの略。Webアプリケーションへの攻撃を遮断するなど、不正アクセスからWebアプリケーションを守るためのセキュリティ対策

主な外部からの攻撃対策
取組み 概要 頻度
セキュリティベンダーによる脆弱性診断 年一回セキュリティベンダーによる脆弱性診断を実施し、アプリケーションのセキュリティ強化を実施 年1回
セキュリティ相談窓口 脆弱性をアプリケーションに埋め込まないように設計段階から実装について開発者が相談を行えるセキュリティの相談窓口を設置。これ以外にもセキュリティ・インシデントやその可能性がある場合にも気軽に報告できる場所として運用 適時

3)内部からの情報漏洩対策

当社では、プロダクト開発においては、開発時に情報漏洩防止の観点でのレビューを行うほか、不正アクセスや改ざんを防ぐために必要最低限の人員が必要最低限の情報にのみアクセス可能な仕組みを構築すると共に、サービス保守とセキュリティ対策のためにサービスへのアクセスや利用状況・データ通信などの履歴(ログ)を含む重要データを厳重に保管し、情報システムへのアクセス状況を監視する仕組みを構築・運用しています。また、それらの運用が適切になされているかを定期的に確認すると共に、内部監査も実施しています。また、退職者からの情報漏洩を防止するための措置も講じています。
コーポレートセキュリティの確保では、全社員に情報セキュリティ教育を実施しているほか、重要情報については最低限のアクセス権限を設定してシステムアカウントを管理すると共に、アクセスログの保存を行っています。また、ノートPCなど端末機器からの情報漏洩防止にむけ、セキュリティ設定を一元管理すると共に、紛失時にデータを削除するMDMを導入しています。また、個人情報の委託・預託先については状況を管理し、セキュリティチェックを実施しています。

※ MDM...ビジネスで使用するスマートフォン、ノートPCなどの端末機器の、システム設定などを統合的・効率的に管理する手法。 また、それを実現するソフトウェアや情報システムなどをいう。

主な内部からの情報漏洩対策
取組み 概要 頻度
役職員を対象とした研修の実施
  • セキュリティ研修:IPA の重大セキュリティを参考に教育内容を整備。全社員が受講
  • 各サービスについて事業継続の観点での点検を年1回実施
入社時年1回
重要な情報資産に関して、最低限の権限付与によるシステムアカウント管理
  • 役職員IDのSSO&自動プロビジョニング化対応
  • 退職者による情報漏えいの防止
  • 定期的な棚卸しによる確認
都度
MDMによる端末管理の実施
  • リモートによるデータ削除における紛失・盗難時の情報漏えいの防止
  • 暗号化などのセキュリティ設定の強制化
都度

4)その他の情報セキュリティ向上にむけた取り組み

情報漏洩リスクが増大する中、個社で出来る取り組みだけでは限界があります。そのため当社では、類似のサービスを提供する企業と連携することでセキュリティ対策の強化を図ることを目的に、2022年10月、SaaS提供事業者と共同でBtoB向けSaaSの開発・運用を行う企業によるセキュリティ対策の情報交換の場として「SaaSセキュリティの会」を立ち上げ、現在(2024年5月時点)、22社に参加いただき、セキュリティ対策の強化にむけた情報交換や脆弱性診断などを推進しています。

プライバシーの保護

プライバシー保護に向けた考え方と取り組み

全ての利用者の皆さまに、利便性が高くご安心いただけるITサービスを提供するには、お預かりするプライバシー情報を各国・地域の情報保護規制に従って確実かつ適切に保護・管理する必要があります。
そのため、当社ではプライバシー保護に関する方針を整備した上で、このポリシーを遵守するための教育を、関係するすべての役員・従業員に対し定期的に実施しています。また、2022年4月にはプライバシー保護に関する国際認証規格ISO27701を取得し、マネジメントの強化に取り組んでいます。

プライバシーポリシーの詳細はこちらをご覧ください。

※ ISO/IEC 27701:2019...2019年に発行された国際規格。同規格は、ISO/IEC 27001およびISO/IEC 27002のアドオン(拡張)規格として位置づけられており、 情報セキュリティマネジメントシステムの要求事項に加え、個人情報の処理によって影響を受ける可能性があるプライバシーを保護するための要求事項とガイドラインを規定

ISO27701認証

画像の転載、複製、改変等は禁止します