情報セキュリティ体制

セキュリティ関連規程策定

社内規程やルールなどを業界のセキュリティ基準と照らし合わせ策定を行っています。

セキュリティ相談

従業者が日々の業務において直面したセキュリティに関する課題の相談にのり、解決まで導いています。

社内教育

社員のセキュリティ意識向上を目的に入社時および定期的にEラーニングシステムを使い社内教育を実施しています。また、社内教育が浸透したかを確認するため不定期で訓練を実施し、意識向上を図っています。

監査

定めている社内規程、ガイドライン/ルール通りに正しく運用されていることの確認、またパーソナルデータを委託/提供している企業様のセキュリティ体制などについて監査を実施しています。

SOCとは

Security Operation Centerの略で、 情報システムへの脅威の監視や分析などを行う役割を担当する専門組織です。インシデントの検知に重点を置いています。

不正な通信の監視、調査分析

ネットワークやシステムの不正な通信の監視を実施しています。 異常が発生した場合は迅速に調査/分析を行い、早急に解決まで導いています。

異常発生時の対応

24時間365日ベースで対応を実施しています。

社外MSS※の活用（Managed Security Services）

PayPayでは社内SOCによる監視/調査分析に加え、社外MSS※を活用してセキュリティインシデントに備えています。社内外からPayPayを守っています。

社外MSS：社外のセキュリティ専⾨家が監視を実施し、検知したリスクの判定を行う

CSIRTとは

Computer Security Incident Response Teamの略で、セキュリティインシデントに対処するための専門組織です。インシデント発生時の対処に重点を置いています。

インシデント対応

セキュリティに関するインシデントが発生した場合、関係サービス、部門と連携の上、陣頭指揮を執り解決に導いています。また、関連会社および外部機関との情報共有を行っています。

予防的措置

日々世界中から脆弱性情報、脅威情報を収集し、PayPayに影響のある事象に関して発見した場合、迅速に関連部門と調整の上、対応を行っています。

フィッシングサイト対応

常時世界中からフィッシングサイト発生の情報を集め、PayPayを騙るフィッシングであった場合は迅速に調査の上、サイト閉鎖と社内/社外への注意喚起を行っています。PayPayを騙るフィッシングサイトについては下記を参考ください。

フィッシングサイトについて

常時攻撃耐性評価

悪意をもった利用者（いわゆる攻撃者／犯罪組織など）からの攻撃は常に存在する脅威です。想定外の攻撃により金銭や個人情報などが奪取されないように、SOCやCSIRTと連携しながら様々な攻撃手法を組み合わせた攻撃シナリオを設計し、常時PayPay全システムに実際の攻撃を行いその挙動を評価し、積極的な対策を続けています。

第三者機関によるセキュリティ診断

常に新しい視点によるセキュリティレベルの評価を実施するために、様々なセキュリティ専門会社と協力して評価、対策を行っています。

ホワイトハッカー※チームを組織

国内外で活躍し優秀な実績を持つホワイトハッカーを積極採用し、Red Teaming、ペネトレーションテスト（侵入テスト）、脆弱性診断のプロセスを内製化し、新機能の高頻度なリリースサイクルに対する迅速なセキュリティ評価を実現しています。

ホワイトハッカー：あらゆる攻撃手法と対策に精通したサイバーセキュリティの専門家