最終更新日:2025年3月31日
2024年4月1日に総務省へ報告した再発防止策の進捗状況は以下の通りです。
再発防止策の各項目及び進捗詳細につきましては、総務省へ提出している報告書の概要でもご覧いただけます。
| 2024年4月1日 | |
|---|---|
| 2024年7月1日 | |
| 2024年9月30日 | |
| 2024年12月27日 | |
| 2025年3月31日 |
| 指導内容 | 当社の対応 | 対応状況 | 今後の予定 | |
|---|---|---|---|---|
| ① NAVER Cloud社とのネットワーク分離による安全管理措置の見直し |
NAVER Cloud社と旧LINE社環境とのネットワーク分離と当社サーバ・ネットワーク及び社内システムの保護の強化 | NAVER社及びNAVER Cloud社との不必要な通信の遮断 | 対応中 ・ファイアウォールの設置及び2024年3月時点において不要な通信の遮断について完了(2024年3月) ・サーバー・データの日本国内移転に伴うファイアウォールポリシーの見直し及び設定変更、不要なファイアウォールポリシーの削除を実施(2024年6月) ・委託業務の終了・縮小に関する計画策定完了(2024年6月) ・3ヶ月に一度の設定メンテナンスにて不要と判断したファイアウォールポリシーを削除(2024年9月完了) ・社外環境と旧LINE社データセンター間の接続経路の総点検の実施及び点検結果を踏まえた是正を完了(2024年8月末点検完了、9月末是正完了) ・旧LINE社データセンターからNAVER Cloud社データセンターへのアウトバウンド通信制御の計画を立案(2024年8月末) ・アウトバウンド通信に対するファイアウォールポリシーの適用を完了(2024年10月末) ・アウトバウンド通信に対するファイアウォールポリシーの点検を完了(2024年12月末) ・アウトバウンド通信に対するファイアウォールポリシー新規追加の申請プロセスを構築(2024年12月末) ・NAVER社及びNAVER Cloud社が管理する当社利用システムの分離及び業務委託の終了に伴い、不要となった通信を遮断(2025年3月末) |
以降、継続的にファイアウォールポリシーのメンテナンスを実施 |
| 当社従業者が利用するシステムへの二要素認証の適用 | 完了 ・旧ヤフー環境にある一部システムを除き適用を完了(2024年3月) ・スマートフォンの持ち込みが禁じられている制限エリアで業務を行う従業員に対し、認証デバイス配布と二要素認証適用を完了(2024年6月末) ・旧ヤフー環境にある一部システムに二要素認証を適用し、当社従業者が利用するすべての社内システムへの二要素認証の適用を完了(2024年10月末) |
ー | ||
| NAVER社及びNAVER Cloud社とのシステム分離 | 対応中 ・会計監査・税務申告に利用するデータがあるシステムを除く当社利用システムについて、NAVER社及びNAVER Cloud社とのシステム分離を完了(2025年3月末) |
従業員向けシステムについて 2026年3月末 国内子会社利用システム 2026年3月末(※1) 海外子会社利用システム |
||
| 認証基盤の分離 | NAVER Cloud社がシステム管理を担う認証基盤の利用停止と当社認証基盤への移行 | 対応中 ・NAVER社認証基盤と直接連携している当社管理のシステムについて、当社の認証基盤への切り替えについて完了(2024年3月) ・運用面における分離について完了(2024年6月) ・2025年3月末のシステム分離により当社利用システムの認証基盤の分離を完了(2025年3月末) |
2026年3月末 国内子会社認証基盤の分離完了 2026年3月末(※1) 海外子会社認証基盤の分離完了 |
|
| 独立したSOC(Security Operation Center)業務体制の整備 | SOC Tier1業務の当社及び国内グループ企業によるSOC体制への移管 | 完了 ・NAVER Cloud社管理の監視ログの国内化を完了(2024年3月) ・インシデント対応体制の改善計画の立案及び外部評価を完了(2024年6月末) ・日本でのSOC Tier1業務の運用を開始(2024年10月) ・インシデント対応の定期演習を複数回実施(2024年12月から2025年3月) |
以降、継続的にインシデント定期演習を実施 | |
| ② 安全管理措置の見直し |
Active Directory管理の是正 | 完了 (2024年3月) | - | |
| 重要システムのアクセス管理強化 |
完了
・重要システム及び求める安全管理措置を定義し、重要システムのリスクを把握・評価する仕組みの構築を完了(2024年6月末) ・上記についての規程化を完了(2024年7月1日) ・重要システムの特定を完了(2024年9月) ・重要システムに対する安全管理措置の遵守状況を確認し、未遵守箇所についての是正を完了(2024年10月確認完了、12月末是正完了) ・時流等に応じた安全管理措置の見直しの実施計画策定(2024年11月) |
ー | ||
| 外部企業を交えた対策計画 | 完了 ・外部企業からの提言受領(2024年3月) ・パスワード保存に関する注意喚起及びe-Learning実施(2024年4月末) ・NAVER Cloud社環境にて適切に対策が実施されていることを確認(2024年5月末) ・当社データセンターのサーバーにおいて、管理共有機能を無効化(2024年6月) |
ー | ||
| サイバーセキュリティ対策及びセキュリティ監視にかかる効果検証と抜本改善・強化 | 完了 ・外部企業によるペネトレーションテストを実施し、発見された事項に対する是正計画の策定を完了(2024年8月末) ・振る舞い検知等の仕組みや相関分析ルール等の見直しのため、外部機関を交えた現状分析・有効性検証を実施(2024年8月末) ・振る舞い検知や相関分析ルールの効果検証結果を踏まえ、計画した全ての検知ルール実装を完了(2025年2月) ・ペネトレーションテストによる発見事項の是正対応及び是正に向けた仕組みの検討等を実施(2025年3月末) |
以降、継続的な検知ルールの見直し、策定した仕組みの導入や改善状況の定期的なモニタリングを実施 | ||
| ③ 委託先管理見直し |
委託先管理の見直し | 業務委託先におけるセキュリティリスク評価基準の見直し | 完了 (2024年3月) | - |
| リスクに応じた実効的な委託先管理を実現するための監督方法の検討及び基準の策定並びにその実施 | 完了 社内規程・組織の整備を完了し、サプライヤ評価及び案件リスク評価を開始(2024年7月) |
今後当該体制のもと順次実施 | ||
| 安全管理措置/サイバーセキュリティ対策の策定 | 完了 ・当社発番のアカウントを用いた委託先による当社ネットワーク環境アクセスに二要素認証を導入(2024年1月) |
- | ||
| 自社としての侵害の有無や範囲を把握するための委託先へのPC貸与 | 完了(※2) ・当社発番のアカウントを用いた委託先へのPC貸与を開始(2024年3月) ・当社業務を実施している委託先へのPC貸与を完了し、当社貸与PC以外からのアクセス遮断及び不要と判断したアカウント削除(2024年9月末PC貸与完了、10月アクセス遮断、アカウント削除実施) ・上記委託先以外の当社ネットワークにアクセス可能な委託先へのPC貸与を完了し、当社貸与PC以外からのアクセス遮断及び不要アカウント削除を実施(2025年3月末) |
- | ||
| NAVER Cloud社の安全管理措置の管理監督 | NAVER Cloud社及び本件関係委託先企業に対する現地実査と是正要求 | 完了 ・NAVER Cloud社への現地実査と是正要求(2024年2月) ・本件関係委託先企業への現地実査と契約の解除(2024年3月末) ・NAVER Cloud社に対する業務委託の内容に応じた監査を実施(2024年2月から4月、6月) ・是正要求事項が是正済みであることを確認(2024年6月末) |
NAVER Cloud社に対する定期的な監査の継続 | |
※1:当初2026年12月完了としていたところを、2026年3月完了に前倒し
※2:当社CISOによる承認プロセスを経て、リスク低減策を講じたうえでアクセス遮断の対象外としている委託先があります。詳細は2025年3月31日提出報告書(概要)を参照
本項目に関し、グループ全体でのセキュリティガバナンスの見直し及び強化を推進しております。
取り組みの詳細及び最新の進捗状況は、「総務省からの行政指導に対する2025年3月31日提出報告書(概要)」からご覧いただけます。
総務省からの行政指導に対する2025年3月31日提出報告書(概要)
ユーザーの皆様へ向けた情報公開窓口として、2024年4月1日に本ページを公開いたしました。
再発防止策の進捗状況を公開するとともに、本件に関してユーザー保護の観点から公開すべき情報が新たに明らかになった場合、速やかにお知らせしてまいります。