セキュリティ対策
サービスを運営する上で、お客様やご出演いただく皆様の個人情報を厳重かつ細心の注意を払い、お守りすることは私たちの最も重要な責務であると考えております。リアズグループが皆様の大切な情報をどのように保護しているか、具体的な取り組みをご紹介します。
■大切な情報は世界最高水準のクラウドサービスに保管
お客様や出演者の情報は、Amazon Web Services (AWS) という世界No.1シェアを誇るクラウドサービスに保管しています。AWSは世界中の政府機関や金融機関も採用する極めて高いセキュリティ基準と、豊富なセキュリティ機能を備えています。リアズグループでは、AWSの最上位プレミアティアサービスパートナーであるクラスメソッド株式会社の協力を得て、常にシステムの安全性を追求し、最新の脅威に対応できる体制を構築しています。
・AWS クラウドセキュリティ https://aws.amazon.com/jp/security/■個人情報は厳重な管理下でアーカイブ
お預かりした大切な個人情報は、AWSの非常に安全性の高いストレージクラスで保管しています。これは、通常のアクセス方法とは異なり、万が一データへのアクセス試行があったとしても、実際に情報を取り出せるまでに数十時間を要する設計になっています。この時間的猶予により、不正アクセスを検知した場合でも、情報が外部に持ち出される前に迅速かつ確実に対処することが可能です。さらに、このような通常とは異なるアクセスパターンやシステムへの不審な挙動は、AI技術によって24時間365日体制で監視しています。異常を検知した際には、即座に社内の専門チームへアラートが通知され、担当者が迅速に対応できる体制を整えています。
■「最小権限の原則」の徹底
情報セキュリティにおいて最も基本的な原則の一つが「最小権限の原則」です。これは、各担当者やシステムに、業務遂行に必要な最低限の権限のみを付与するという考え方です。不要な権限を持たせないことで、万が一アカウント情報が漏洩した場合や内部不正が発生した場合のリスクを大幅に低減できます。リアズグループでは、従業員に対して担当業務に関連する情報アクセス権のみを付与し、それ以外の情報には一切アクセスできないよう厳しく制限しています。AWSの運用においても、管理者権限を持つアカウントの日常的な使用は禁止し、業務ごとに細分化した権限のみを使用しています。またこの細分化された権限へのアクセスも、社内IDプロバイダと連携したシングルサインオン(SSO)を採用しており、従業員は個別のパスワードを入力することなく、より安全かつ効率的にシステムを利用できます。これにより、アカウント情報の一元管理と厳格なアクセスコントロールを実現しています。
■内部からの情報漏洩リスクへの対策
セキュリティの脅威は、外部からのサイバー攻撃だけでなく、組織内部にも潜在しています。従業員による意図しない情報流出や、悪意を持った関係者による機密情報の持ち出しといったリスクに対しても、私たちは多角的な対策を講じています。 例えば、個人情報を扱う業務エリアでは、スマートフォンの持ち込みを一切禁止し、写真撮影による情報漏洩やSNSへの安易なアップロードといった行為を物理的に防止しています。また、前述の「最小権限の原則」を徹底し、日常業務において従業員が重要な個人情報へ容易にアクセスできない仕組みを構築しています。 さらに、機密情報の物理的な持ち出しを防ぐため、弊社が導入しているエンドポイントセキュリティの機能を利用し、PC端末からのUSBメモリなどの外部記憶デバイスの利用を原則として禁止しています。クラウド上に保存されたデータについても、先述の通りAWSでの厳重な保管と、AIと専門チームによる常時監視体制を敷いており、内部関係者であってもこれらの多重のセキュリティ対策を突破してデータを不正に持ち出すことは極めて困難な環境となっています。
■「ゼロトラスト」に基づく先進的なネットワークセキュリティ
リアズグループでは、より強固なセキュリティ体制を確立するため「ゼロトラストネットワークアクセス(ZTNA)」モデルを採用しています。これは、「何も信用しない」という前提に立ち、社内ネットワーク、クラウドサービス、各種業務システムなど、全ての通信を常に検証し、正当なアクセスであることを確認するセキュリティの考え方です。 例えば、弊社エンジニアがAWS上のシステムへアクセスする際には、以下の複数の条件をすべて満たす必要があります。 ・弊社が正式に発行・管理している正規のアカウントであること ・業務に使用するPC端末にエンドポイントセキュリティが導入され、常に最新の状態で稼働しセキュリティ基準を満たしていること ・全ての通信がセキュリティゲートウェイを経由していること ・ゼロトラストネットワークへのアクセス元IPアドレスが、事前に登録された安全な拠点からのものであること ・AWSへアクセスする際のグローバルIPアドレスが、弊社専用のIPアドレスであること ・その他、弊社が定める複数のセキュリティポリシーをすべてクリアしていること これらの条件をリアルタイムで継続的に検証し、すべてクリアした場合にのみ、必要最小限の権限でアクセスが許可されます。これにより、不正アクセスやなりすましのリスクを大幅に低減しています。
・ゼロトラストネットワークアクセスとは https://www.zscaler.com/jp/resources/security-terms-glossary/what-is-zero-trust-network-access■巧妙化するフィッシングメールへの対策
近年、企業や個人を狙ったフィッシングメールによる情報窃取が後を絶たず、大規模なセキュリティインシデントの原因となっています。リアズグループでは、この脅威に対しても先進的な対策を導入しています。具体的には、日本航空(JAL)様をはじめ国内外の多くの企業で採用実績のあるメールセキュリティソリューションを導入しています。このシステムは、AI技術を駆使して未知のフィッシングサイトや悪意のあるメールを99.99%という極めて高い精度で検出し、ユーザーに届く前にブロックまたは隔離します。さらに、弊社独自のセキュリティポリシーを適用し機能強化したGmailのフィルタリングシステムと組み合わせることで、二重の防御壁を構築し、フィッシングメールによる被害を未然に防いでいます。
■全従業員のセキュリティ意識向上のための継続的な取り組み
これまで述べてきたような高度な技術的対策を講じることはもちろん重要ですが、最終的に情報を扱うのは「人」です。そのため、リアズグループでは、従業員一人ひとりのセキュリティ意識の向上が不可欠であると考えています。「重要な情報にはむやみにアクセスしない」「不審なメールやファイルは開かない」「個人情報の取り扱いルールを遵守する」といった基本的な行動を全従業員が徹底することで、ヒューマンエラーによる情報漏洩リスクを最小限に抑えることができます。この意識と知識を維持・向上させ、形骸化させないために、最新のサイバー攻撃の手口や情報セキュリティに関する社内規定、インシデント発生時の対応手順などを学ぶ定期的なセキュリティ講習や研修を実施し、全社的なセキュリティレベルの向上に努めています。
このように、リアズグループでは、お客様、ご出演いただく皆様、そして弊社に関わる全ての皆様の大切な情報を、多層的かつ継続的なセキュリティ対策によってお守りしています。安心してサービスをご利用いただける安全な環境を提供し続けることが、皆様からの信頼にお応えする道であると確信し、今後も情報セキュリティへの取り組みを一層強化してまいります。
