情報セキュリティ基本方針 | 株式会社ユーザベース

私たちユーザベースグループは、経済情報の力で、誰もがビジネスを楽しめる世界をつくるため、ビジネスパーソンの生産性を高め、創造性を解放すべく、新しいプロダクト・サービスを提供し続けます。

お客様と社会の信頼に応えるべく、ご利用の利便性や快適性を維持しながら、大切な情報の「安全性」を確保するため、情報セキュリティ基本方針を定めます。この基本方針を私たちの情報セキュリティに対する取組みの指針とし、継続的な改善を行い、事故が発生した場合も原因究明し再発することのないよう努めていきます。

01継続的なルールの整備・改訂

法令を遵守するのはもちろんのこと、私たちを取り巻くリスクを継続して把握し、そのリスクに対応するために必要なルールの整備・改訂を行います。

02情報リテラシーを有する者による運用

継続的に、法令や情報セキュリティルールの周知を行い、情報セキュリティリテラシーを醸成し、役員・従業員の1人1人が、法令やルールの意味を理解して、業務を遂行していきます。

03技術の活用

情報セキュリティに関する最新の技術動向を把握し、ご利用の利便性や快適性を維持しながら、より安全にサービスを提供するべく、技術を活用した改良を継続していきます。

04誠実な姿勢・対応

情報セキュリティに関する事故が発生した場合、早く・正確に情報を開示する事を約束いたします。また事故の原因を究明して、再発防止策を立て、同じような事故が繰り返されないよう努めます。

セキュリティ管理体制

セキュリティリファレンス

情報セキュリティマネジメントやサイバーリスク対策をMECEに推進するため、代表的なセキュリティフレームワークであるISO /IEC27001、NIST CSF、OWASP、CIS Controlsに基づき各種施策を講じています。

外部認証機関

株式会社ユーザベース* は、ISO/IEC 27001（情報セキュリティマネジメントシステム（ISMS)）の認証を取得しています。（認証登録番号：IS 813329）

*ユーザベースグループでISO/IEC27001を適用する関連事業所は、株式会社ユーザベース、株式会社ミーミル、Uzabase USA Inc.、株式会社UB Ventures、株式会社UB Datatechです。
*株式会社UB Venturesは2024年11月にファーストライト・キャピタル株式会社に社名変更ならびにオフィス移転しました。2025年のサーベイランスで登録変更のための審査を受審予定です。

ISMS認証証書

セキュリティ定期研修

ユーザベースグループでは、情報セキュリティ研修を定期的に行っています。研修受講者は社員をはじめ、役員、派遣社員、アルバイト、インターン、業務委託を対象としており、グループ全体でセキュリティリテラシーの向上を推進しています。

2023年度の研修実績

研修受講率：100%

修了テストの平均得点率：88%（8.8点/10点満点）

入社時セキュリティ研修

全入社者を対象にセキュリティ研修を実施し、ユーザベースグループにおけるセキュリティの考え方や、日々の業務で実践するセキュリティ対策に関する教育をしています。

コーポレートITセキュリティ

セキュアな認証・認可

多要素認証やシングルサインオン（SSO）の技術を活用したセキュアなシステム認証を実現しています。また、人事情報と連携し、従業員の役割や責任に応じたアクセス・コントロールを行なっています。

ソリューション

Okta

エンドポイントの保護

不正アプリの実行禁止、物理媒体の制限、Webフィルタリング、盗難防止、監査ログの取得により機密情報の漏洩を阻止する仕組みを整備しています。

ソリューション

Jamf / LANSCOPE

サイバーレジリエンスの推進

エンドポイントを常時モニタリングし、マルウェアによる不審な挙動を検知し除去できる仕組みを導入しています。また、社内リソースと社外専門家より構成する運用体制の下、脅威をいち早く検知し、最小限の被害で収束させるよう対応を行なっています。

ソリューション

Sumologic

ゼロトラストの推進

その他、ゼロトラスト・セキュリティの実現に向け最新のテクノロジーを活用したセキュリティ対策に継続的に取り組んでいます。

プロダクトセキュリティ

データ・通信の暗号化

業界標準の暗号化方式に基づきデータの暗号化を行なっています。通信経路はSSL/TLSによって暗号化し、悪意のある第三者による通信内容の傍受や改ざん、なりすましを防いでいます。

アプリケーションの保護

アプリの高速化・安定化、トラフィック負荷分散を行い、SQLインジェクション攻撃やDDoS攻撃などのサイバー攻撃からアプリケーションを保護し、情報漏洩やサービス不全を防いでいます。

ソリューション

Akamai CDN/WAF

※一部プロダクトのみ

脆弱性管理

第三者による定期脆弱性診断を加え、自社内もOS・ミドルウェア・ライブラリなどの脆弱性のCVSS・攻撃コード（ PoC ）有無などトリアージが自動判定できる仕組みを導入し、脆弱性を効率よく可視化・管理・対応を行なっています。

ソリューション

yamory

セキュア開発の推進

その他、OWASP^*のフレームワークで定める要求事項に基づき、テクノロジーを活用したセキュリティ対策を継続的に取り組んでいます。
^*ウェブアプリケーションのセキュリティ向上を目指す米国の非営利団体

セキュリティチェックシート

プロダクトの導入検討に際して、セキュリティを監査する情報システム部門などの担当者の方々向けに、セキュリティチェックシートを公開しています。経済産業省が公開している「クラウドサービスレベルのチェックリスト」、および情報処理推進機構が公開している「安全なウェブサイトの作り方セキュリティ実装チェックリスト」に準拠した、運用や開発体制に関わる網羅的な観点で構成されるチェックシートのため、お客さまのセキュリティ基準を満たしているかのご確認にご活用ください。
^* 「NewsPicks」のセキュリティチェックシートは近日公開予定です。