弥生の安心・安全への取り組み
弥生は、お客様の大切な情報とビジネスを守るため、包括的なセキュリティ対策を実施しています。組織セキュリティや個人情報取り扱いに関する第三者機関のセキュリティ国際標準に準拠し、継続的なセキュリティ向上に取り組んでいます。
セキュリティ基本方針
当社は、「中小企業を元気にすることで、日本の好循環をつくる。」というミッションのもと、
お客様の大切な情報資産を守るため、以下の基本方針を定めます。
1. 経営主導のセキュリティ推進
経営陣を中心とした全社横断でのセキュリティガバナンス体制を構築し、継続的な改善と強化を推進します。
2. 国際基準に準拠した管理体制
ISO27001等の国際基準に準拠した情報セキュリティマネジメントシステムを運用します。
お客様の個人情報の保護に関しては、プライバシーマークを取得しており、社内で厳重な体制とプロセスの元、管理されております。
3. 包括的なリスク管理
情報資産、システム資産、委託先管理など、社内業務に関してのリスク発生対象を網羅的に把握・整理し、各種脅威とリスクを継続的に評価し、必要な対策を実施します。
4. 技術による多層防御の実装
弥生では、単一の防御手段に依存しない多層防御戦略を採用しています。
外部からの攻撃、内部の脅威、システムの脆弱性など、あらゆるリスクに対して複数の防御層を設置し、万が一の事態でもお客様の情報資産を確実に保護します。
5. セキュリティ教育の徹底
- 全従業員に対して情報セキュリティの重要性を周知し、適切な教育を実施します。
組織・体制
CISOメッセージ
中小企業の未来を守るセキュリティへの想い
弥生をご利用いただいているお客様の多くは、日本経済を支える中小企業・個人事業主の皆様です。皆様の事業の成長とともに、お預かりする情報の責任の重さを強く感じています。
近年、中小企業を狙ったサイバー攻撃が増加する中、弥生では「攻撃されない仕組み」と「攻撃されても被害を最小化する仕組み」の両面から、多層防御のセキュリティ体制を構築しています。
また、お客様自身のセキュリティ対策も重要です。弥生では、サイバー保険やセキュリティツールの優待提供、セキュリティ教育コンテンツの充実など、お客様のセキュリティ向上も積極的に支援しています。
「お客様に安心してご利用いただける、最も信頼できるバックオフィスパートナーであり続ける」この想いのもと、セキュリティの継続的な強化に取り組んでまいります。
セキュリティ統括部:部長 兼CISO(最高情報セキュリティ責任者) 吉崎 博人
情報セキュリティ管理体制
CISO(最高情報セキュリティ責任者)の設置
情報セキュリティ全般の統括責任者として、セキュリティ戦略の策定と実行を指揮
情報セキュリティ委員会
各部門の代表者で構成され、部門横断的な社内全体のガバナンス活動を実行する組織(委員会という建て付けで部門横断的な連携組織となります)
セキュリティ統括部
- 日常的なセキュリティ運用管理、監視、改善活動を実施
各部門のセキュリティ対策の実行支援、社内コンサルテーション
専門性を必要とするセキュリティ技術やナレッジの社内展開
運営体制の特徴
- 明確な役割分担と責任範囲の設定
- 定期的なセキュリティ会議の開催
- インシデント発生時の迅速な対応体制
- 継続的な改善活動の実施
管理プロセス
セキュリティポリシーの策定・更新
- リスクアセスメントの定期実施
セキュリティ監査の計画・実行
改善計画の立案・実施・評価
コーポレートセキュリティ
エンドポイント・セキュリティ
資産管理、デバイス管理
エンドポイント資産管理ツールでPC個別のセキュリティも管理されております。
マルウェア対策
EDR※というソリューション種別でプロテクトされており、既知のマルウェア、未知のマルウェアの両方への検知・対応、もしくは防御対応が可能となっております。
- ※
EDR(Endpoint Detection and Response)
- ※
データ漏えい対策
Microsoft社とCrowd Strike、双方のDLP※を社内展開しており、社内機密データのカタログ化、重要度に応じたラベリング、データ漏洩防止など複数の機能によって統合管理しております。
- ※
DLP(Data Leak Prevention)
- ※
メール・セキュリティ
不審・不正メールの対策
アンチスパム機能
迷惑メールや広告メールを自動的に検出・排除し、ユーザーの受信トレイへのスパム到達を防ぎます。
アンチマルウェア機能
既知のウイルスやトロイの木馬、ランサムウェアなどの悪意あるファイルやリンクを検出し、感染リスクを低減します。
なりすましメール対策(DMARC, SPF, DKIM):
送信元のドメイン認証により、実在する組織になりすました不正メールを判別・遮断します。
データ損失防止(DLP)機能:
クレジットカード番号などの機微情報流出を特定し、自動でブロックします。
ネットワーク・セキュリティ
VPN・SD-WAN機能
企業WANやリモートアクセスの制御・最適化・セキュア化をしております。
次世代ファイアウォール機能
IP・ポート制御、アプリケーション制御、アンチウイルス、アンチスパイウェア、SSL復号と不審監視・検知などをクラウド上で制御しております。
URL/コンテンツフィルタリング
危険なWebアクセスや許可されていないサイトへの接続をブロックし、企業のポリシーに合致した安全なWeb利用を実現しております。
DNSセキュリティ
悪性ドメインへのアクセスをリアルタイムで遮断しております。
CASB(Cloud Access Security Broker)機能
SaaSアプリケーション利用の可視化・リスク判定・制御をしております。
ログの統合監視・検知
Microsoft Sentinelによる統合監視を行っております。
プロダクト・セキュリティ
アプリケーション開発や運用・保守
下記のWebアプリケーション開発コンポーネントに関する脆弱性を統合管理しております。
アプリライブラリスキャン
コンテナイメージスキャン
クラウドアセットスキャン
外部のセキュリティベンダによる各種脆弱性診断の検査を実施しております。
プラットフォームセキュリティ脆弱性診断
Webアプリケーションセキュリティ脆弱性診断
クラウドインフラの構築や運用・保守
弥生でアプリケーション開発を行う場合のメイン基盤は、安全性と安定性を両立させるためにマルチクラウド戦略を採用しています。商用サービスのメインプラットフォームとしてはAmazon AWSを採用しており、一部一般ユーザーを含めた顧客サポート基盤としては、Microsoft Azureを採用しています。
両プラットフォームでは、包括的なセキュリティ機能の提供がされている為、技術的に高いレベルでお客様の安全確保を実現しております。
AWS(Amazon Web Services)
統合的なセキュリティ機能連携
Security Hub
クラウドサービス内の各種脅威検知・監視
GuardDuty
ウェブアプリケーション保護
AWS WAF
API活動ログ監視
CloudTrail
WAF
アプリケーションとAPI保護機能
悪性Botの対策管理機能
ブラウザ内で発生する攻撃リスクに対する防御
DoS攻撃対策
Microsoft Azure
統合的なクラウド・セキュリティ管理
Defender for Cloud
クラウド内の各種設定状態の管理
Defender for CSPM(Cloud Security Posture Management)
データ暗号化
データの透過的な暗号化(Transparent Data Encryption)
脅威対策
ファイアウォールによる不正アクセス防止
アンチウイルス・マルウェア対策
侵入検知・防止システム(IDS/IPS)
AIによる異常検知システム
データ保護
保存データの暗号化
通信データの暗号化
アクセス制御・権限管理
操作ログの記録・保管
セキュリティ教育・啓発活動
全社員向けセキュリティ教育プログラム
新入社員研修
入社時の必須セキュリティ教育
定期研修
年次セキュリティ教育の実施
定期的なBCP訓練
事業継続計画に基づく実践的な訓練を定期実施
情報共有
最新脅威情報の社内共有
教育内容
セキュリティポリシーの理解
脅威の種類と対策方法
フィッシングメールの見分け方
安全なPC・システム利用方法
教育効果
全社員のセキュリティ意識向上
セキュリティインシデントの予防
迅速な脅威感知対応力の向上
組織全体のセキュリティ文化醸成
認証・コンプライアンス
国際標準に準拠した認証取得により、高いセキュリティ品質を確保しております。
ISO27001認証
情報セキュリティマネジメントシステムの国際標準
継続的な改善プロセスの確立
リスク管理の体系化
第三者による客観的なセキュリティ評価
プライバシーマーク
個人情報保護の第三者認証
個人情報保護法への完全準拠
適切な個人情報の取扱い
従業員教育の徹底
定期的な内部監査の実施
セキュリティ最新情報
弥生のセキュリティに関する最新情報をお届けします
