CISOのもとでセキュリティ組織を集中管理
現在のセキュリティ組織の体制について教えてください。
東氏: 当社では、CISOのもとにセキュリティ機能を集中させています 。また、外部団体との窓口はCSIRTが務めています 。
さらに、当社のセキュリティ体制の特徴として、各グループ会社(2025年3月時点で140社超)についても、LINEヤフーのCISOがそれぞれのセキュリティ責任者と連携しながら取組みを統制・支援していることがあげられます 。LINEヤフーの取締役会を頂点として、権限移譲によってグループ会社までガバナンスを効かせている形です。
LINEヤフーのセキュリティ組織(LINEヤフー株式会社「セキュリティ 」(2025年9月11日最終閲覧))
この体制自体は、2023年にZホールディングス株式会社、LINE株式会社、ヤフー株式会社等が合併する前からZホールディングス株式会社が備えていたものと変わりませんが、近年発生したインシデントを機に、さらなるセキュリティ強化を図っています。
その強化策の1つが「セキュリティガバナンス委員会 」の設置(2024年4月)です。これは代表取締役社長を委員長として定期的に開催しているもので、CISO、CTO(Chief Technology Officer)をはじめとするセキュリティ関連の役職のほか、トピックに応じて各部門を管掌する役職員が参加します。ここでセキュリティに関する議題について、経営に関わる内容からテクノロジー関連の動向までを含めて議論・審議しています。
加えて、ビジネスやインフラ環境の面でLINEヤフーと密接な関係にあるグループ会社とは、「グループCISO Board 」という会議体を設けています。メンバーには、たとえば当社のカスタマーサポート業務を手掛けている会社のように、そこが攻撃されればLINEヤフーも大きな打撃を受けるような会社が入っています。このBoardを通じて、参加各社のセキュリティガバナンスの見直しや高度化を行い、その結果をセキュリティガバナンス委員会にも報告しています。
貴社のサイトでは、CISOはCDO、DPOといった役職者と連携してセキュリティ強化に取り組んでいると公表していますが、それぞれどのような役割を担っているのでしょうか。
Q.ユーザーデータを守るために、LINEヤフー社ではどのような体制を構築していますか。
A.LINEヤフー社は「プライバシー&セキュリティファースト」を経営方針とし、ユーザーの皆さまがいつでもサービスを安心してご利用いただけるように、安全のためのセキュリティ強化とプライバシー保護に取り組んでいます。
東氏: CISO はセキュリティのトップとして、グループ会社を含めたセキュリティ対策の企画、検討、実行、管理までを担当しています。CDO(Chief Data Officer) は、データの活用やそれに関わる法的な側面の担保、特にユーザーのプライバシー保護や透明性の確保などを管轄しています。また、DPO(Data Protection Officer) は、ユーザー目線から監視や評価、助言を行う監査役で、CISOやCDOからは独立した立場をとっています。
各役職・組織がそれぞれの役割を果たしますが、セキュリティに領域についてはセキュリティガバナンス委員会の審議を経て方針が決まることとなります。
東 信一 氏(CISOオフィス本部 リスクアセスメント部 部長)
NIST CSFのうち「識別」「防御」に注力
セキュリティ組織として、どのようなミッションを定めていますか。
東氏: NISTが定めたサイバーセキュリティ基準を考慮したうえで情報システムを構築し、サービスを提供すること 」を方針とし、これにもとづいてCIA(機密性、完全性、可用性)の向上を図っています 1
ユーザーのデータを扱うにあたっての「機密性(Confidentiality)」、データを不正な改ざんから守る「完全性(Integrity)」、Webサービスやアプリを24時間365日安定稼働させる「可用性(Availability)」は、どれもおろそかにできないと考えています。
LINEヤフーの主なサービスユーザー数(2025年3月時点)
LINE 月間アクティブユーザー数(日本):約9,900万
Yahoo! JAPAN デイリーユニークブラウザ:約1億700万
PayPay登録ユーザー数:7,000万人
ユーザーデータの保護・管理に関する取組みについてお聞かせください。
東氏: インシデント再発防止策の確実な実行 」を大テーマとして、グループ全体としてのセキュリティレベルの向上を図っています 2 当社における「重要システム」とは何かを定義して、必要なセキュリティ基準をつくり、計画を立てて実行、改善するというサイクルで取り組んでいます 。
また、当社のサイバーセキュリティ基本方針のベースとしている「NISTサイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」の中では、特に現在は「識別 」「防御 」に力を注いでいます。
異なるシステムを使っていた会社が合併したことに加えて、新インフラの構築や、環境の統合が日々進んでいく中では、まず「何を守るのか」、次いで「どう守るのか」の順番で計画を進める必要があります。合併後、まだ日が浅い現在は「識別」、つまり私たちのグループのどこに、どんなシステムやデータがあって、どれを優先的に守るべきなのかを特定し、常に情報資産を更新・管理することを重視しています 。
「防御」については、特に最小権限の原則を徹底するよう、プロジェクト化して全社での浸透に努めています 。合併の結果、システムによっては担当者が参照可能な範囲やアクセス権の設定、暗号化の方法などに差異・ゆらぎがあるため、まずはこれを同じルールに揃えようとしています。防御にはさまざまな方法がありますが、まずはその前提となるポリシーを整えようということです。現状、大枠は定まりつつあり、実装のフェーズに入っています。
NIST CSFにもとづく「識別」「防御」の主な対策(LINEヤフー株式会社「LINEヤフー社が提供するサービスの開発体制・データ管理体制 」(2025年8月20日、2025年9月11日最終閲覧)ともとに作成)
委託先には2段階のリスク評価を実施
実施しているデータ保護対策の評価(リスクアセスメント)はどのように行っていますか。
東氏:
また、国内ではまだ実施企業が少ない「バグバウンティプログラム」を、LINEメッセンジャーのサービスのリスク評価に役立てています 3
(※)Webサービスやアプリなどの脆弱性・バグを発見した第三者に対して、報酬を支払うシステム。
委託先企業(サプライヤー)に対しては、どのようなリスク評価を行っていますか。
東氏: 新規のサプライヤーには2段階の調査を行っています 4
LINEヤフーにおける、サプライヤーの案件調査フロー
貴社ではグローバルな開発体制をとっていますが、海外拠点のリスク管理についてはどのように取り組んでいますか。
東氏:
日本のユーザーの方々は、自身のどんな情報がどこで扱われているのかについて特に心配されていると思います。そのため、どの国のどの会社に、どんな業務を依頼しているかを、当社のWebサイト上で公開するなどして、透明性の担保に努めています 。
LINEヤフーのWebサイトで公開されている、日本ユーザー向けサービスの開発・運用を担当する海外グループ会社一覧LINEヤフー社が提供するサービスの開発体制・データ管理体制 」(2025年8月20日、2025年9月11日最終閲覧))
社内システムに共通する対策は「多層防御」と「最小権限」
社内システムや業務環境に対するセキュリティ対策としては、特にどのような点を重視していますか。
東氏: 社員が利用する環境は、サービス用のシステム環境と認証を分け、明確に区別しています 。そのうえで、重要システムや機密情報へのアクセスは多要素認証を設けるなど、扱う情報の重要度等にあわせた共通ルールを設定しています。
サイバー攻撃はセキュリティレベルが低いところが狙われますので、ユーザーのデータを守るためには、やはり社内システムも同様に高いレベルでの保護が不可欠です。そのため、社内のシステムやデータについてもNIST CSFに沿った保護策をとっています。
また、子会社や委託先企業にセキュリティが弱いところがあれば、そこを攻撃対象にされかねませんので、同じようにセキュリティレベルの底上げに取り組んでいます。
日野氏: 従来から、すべての対策に共通するのは、「多層防御」と「最小権限」です 。この2点は絶対に欠かせませんね。
日野 隆史 氏(CISO管掌 セキュリティマネジメント本部 教育部 部長)
インシデント対応訓練で見えた「部門間での意識の差」
貴社ではシステム面の対策に加えて、全社でのインシデント対応訓練 5
日野氏:
たとえば、エンジニア向けには「マイクロハードニング 」と呼ばれるトレーニングを実施して、技術力の強化を図っています。これは、45分間で1セットのサイバー攻撃対応を1日4回繰り返すことで、セキュリティインシデントへの対応能力を高めるというもので、3〜4人のグループに分かれ、チームでスコアを競う形で行います 6
また、全社規模で実施する「インシデント対応訓練 」では、具体的なセキュリティインシデントの発生シナリオを作成したうえで、社内のさまざまな部門の担当者が参加するグループワークを行っています。発生した事象について「社内のどの部門にどんな連絡をとるのか」「どういう意思決定をするのか」「どの外部機関と、どの順番でコミュニケーションをとるのか」など、実際のインシデントが発生した際に必須となる幅広い対応の方法を確認する機会にしています。7
教育・訓練(一部抜粋)の選定根拠・方針
分類
コンテンツ名
選定根拠や方針
定期教育
全従業者セキュリティ教育
法規:個人情報保護法、電気通信事業法、経済安全保障推進法、サイバーセキュリティ経営ガイドライン
業界標準:ISMS、PCI DSS
内規:情報セキュリティ規程群(情報セキュリティ教育規程・細則を含む)
力量:NIST CSF、NIST SP800-171、サイバーセキュリティ経営ガイドライン、プラス・セキュリティ人材の定義 8
その他:脆弱性診断結果、ヒヤリハット、インシデント、第三者機関による指摘事項
年次セキュリティ技術研修
役職者向け研修
PCI DSS年次訓練
訓練
インシデント対応訓練
不正メール対応訓練
マイクロハードニング
入社時・着任時教育
入社時セキュリティ研修
定期教育・訓練に加え、新入社員(新卒・中途)、特定職種・職位への着任時に必要な教育を網羅
新卒向け情報セキュリティ研修
入社時セキュアプログラミング研修
新任セキュリティ責任者導入研修
これまでのインシデント対応訓練によって得られた気づきや、訓練を改善したポイントなどはありますか。
日野氏:
訓練に参加した広報担当者コメント 広報担当者として訓練に参加したのですが、当初、セキュリティ担当者はインシデントへの対応でかかりきりになっており、「対外的な発表については考える余裕がない」ということでした。しかし、ユーザーに影響がある事象であれば対外的な公表は必須ですので、その必要性をチームに提言したということがありました。
また、長時間情報のアップデートがないと、ユーザーの方々に対して不誠実になってしまいます。そのため、大きな進捗がなかった場合でもそのこと自体を対外的に公表していきたいと伝えていき、徐々にその必要性を認識してもらえるようになりました。訓練をとおして、部門間の共通理解が深められたと感じています。
日野氏:
有事には、サービスを止めればユーザーからの信頼に悪影響が出るが、サービスを止めなければ被害が拡大する可能性があるといった状況を前に、「サービスを止めるか止めないか」という究極の議論が必要になることも考えられます。そのためには、部門を超えて適切な会話ができる状態にしておかなければなりません 。さまざまな部門が集まって行う訓練は、そのためにも有効な方法だと思います。
訓練により、技術面の対応に加えて、ビジネスへのインパクトを念頭に置いた意思決定もできるようにしていくということですね。
日野氏:
サイバー攻撃が今後まったく発生しないということは考えられませんので、訓練の意義はますます大きくなってきています。IPAが毎年発表している「情報セキュリティ10大脅威」9
守るべきを守りつつ、イノベーションを阻害しないセキュリティ
システム面の対策や教育・訓練のほかに、社内向けのセキュリティ施策として力を入れていることはありますか。
東氏: 2023年の合併以降、新組織としてのポリシーやルールの策定、統合にも取り組んでいます 。
また、新技術への対応も、我々の重要な役割です。2025年7月にニュースリリースとして発表しましたが、当社では全社員の生成AIの活用を義務化し、3年間で業務生産性を2倍にするという目標を打ち出しました 10
日野氏:
東氏:
セキュリティ組織としての今後の展望や目標をお聞かせください。
東氏:
日野氏:
(文:渡邊智則)
最新情報をフォローする
