マネーフォワード クラウドのセキュリティ対策
作成日:2024年11月27日
お客様により安心して利用いただけるサービスへ
当社が提供するサービスにおいては、ユーザーのお金に関するさまざまな情報を多くお預かりしており、安定した事業活動を継続するためには、継続的な情報管理の強化が必要不可欠であると考えています。
当社では、社内外、故意又は偶然のすべての脅威からユーザー及び当社の情報資産の保護を図るため、「情報セキュリティ基本方針(セキュリティポリシー)」を制定したうえ、情報セキュリティ管理に関する運用ルールを定め、情報を不正に取得することを目的とした悪意の第三者によるシステムへの不正アクセス等による漏えいリスクなどに対して適切な防御措置を講じています。
信頼性の高いセキュリティ機能を全てのプロダクトで提供しています
厳重なデータ管理による強固なセキュリティ
金融機関のログイン情報は全て暗号化し、サーバーアクセス制限をかけることで、厳重なデータ管理、運用を行っています。
不正アクセスの予防とサーバー自動監視による検知
ファイアウォールの設置による外部からの不正アクセスの予防およびサーバー自動監視を行っています。
SOC報告書を提供
『マネーフォワード クラウド』をご利用の企業は、本報告書を利用することで、内部監査や外部監査において内部統制の評価業務を効率化することが可能になります。※マネーフォワード クラウドの有料事業者のみ申込可能です。
プロダクトのセキュリティ関連機能
お客様にご活用いただけるセキュリティ機能をご提供
2段階認証を設定可能
人為的なパスワード漏洩に対して有効な二段階認証を設定する機能の提供を通じてセキュリティの強化が可能です。
IPアドレスによる制限
接続可能なIPアドレスを指定し、アクセスを制限する機能を一部のプロダクトで提供しています。※一部プロダクトを除く
権限に合わせた機能制限
権限パターンを設定することで、機能ごとの操作に関する権限管理が行えます。※一部プロダクトを除く
パスワード強度の評価
ログインする際のパスワードは8桁以上になるようアラートを出すことでアクセスの際のセキュリティを高めています。
SSO(シングルサインオン)の設定
アカウント統制機能をお申し込みいただくことにより、SAML認証(SSO)の設定が可能です。連携実績のあるIdP一覧
バックアップ機能の提供
お客様のデータを遠隔地保管を含めて3重にバックアップしています。仕訳データのCSVエクスポートにより、お客様側でもバックアップが可能です。※一部プロダクトを除く
技術的対策
アグリゲーションに必要な情報のみお預かり
金融機関や口座と自動連携するアカウントアグリゲーションにおいて「ログイン情報」のみをお預かりし、お預かりするデータと連携先の認証情報は、暗号化して保存するなど厳重な管理・運用を徹底しています。
機密情報を暗号化し安全に保管
機密性の高い情報は暗号化して保管しています。悪意のある第三者によるデータの改ざんやなりすまし、通信内容の漏洩を防ぎます。
不正アクセスを事前に予防
ファイアウォールの設置を行うことで、外部からの不正アクセスの予防を図っています。
サーバーの自動監視でアタックを即座に検知
外部からのセキュリティアタックを受けていないか自動で監視する仕組みを設けることで、アタックに対してほぼリアルタイムで適切な対応を行うことができます。
信頼性の高いデータセンターの利用
サーバーは日本国内に設置し、信頼性の高いクラウドサービス事業者を利用することで、物理的なサーバーへのアクセスから厳重に守られた環境で運用しております。
外部機関によるテストを実施
外部のセキュリティ会社にシステムへの攻撃テストを依頼し、システムを乗っ取ることができないことを定期的にチェックしています。
組織的対策
SOC 報告書 受領状況
当社は、監査法人から「SOC 報告書」を受領しています。マネーフォワード クラウドをご利用の上場企業・上場準備企業は本報告書を利用することで、内部監査や外部監査において内部統制の評価業務を効率化することが可能です。
日本シーサート協議会への加盟
様々なインシデント関連情報、脆弱性情報、攻撃予兆情報等を収集するとともに、必要に応じて日本シーサート協議会の各社に応援を求めることで、セキュリティインシデントが発生した場合に、迅速かつ適切な対応を行うことが可能です。
定期的な確認・監査を実施
CISO室にて本番環境における個人情報を含んだ操作ログの分析及び確認を定期的に行っています。内部監査室による情報取扱い全般を含めた業務監査を実施するとともに、監査役による情報取扱い全般を含めた監査を実施しています。
人的・物理的対策
セキュリティ教育の実施
全従業員を対象として、情報セキュリティ、個人情報の取扱等の理解と社内ITツールの理解に関する入社時オリエンテーション及び定期的な研修を実施しています。
会社貸与PC以外からのログイン制御
セキュリティ管理ツールを入れたPCを従業員に貸与し、当該PC以外での業務を禁止するとともに、システムの仕組みとして会社貸与PC以外からはアクセスができないよう、主要業務ツールへの制御を行っています。
厳密なID管理の実施
役職員IDのSSO及び自動プロビジョニング化対応並びに統合ID管理を行うことで、退職者のIDの削除対応漏れによる当社システムへのアクセスを防止しています。
情報漏えい防止策
システムおよびセキュリティ対策の設計に関する遵守事項を定め、アクセス権限の設定など重大な操作については単独では行えない仕組みを構築し、人的ミスを防止しております。