情報セキュリティの取り組み
安心・安全な楽天のサービス
対策のポイントといざという時の対処
安心・安全な楽天のサービス
1. 楽天が考える情報セキュリティ
楽天グループは、インターネットを通じてショッピングやオークションをはじめとする、さまざまなサービスを提供しています。サービスをご利用いただく際の、不正利用者による犯罪や迷惑行為などを未然に防ぐことはもとより、つねに急速な技術の発達による新たな危険を念頭に置いて、お客様およびお客様の大切な情報を保護するための施策を講じています。楽天グループは、どのサービスも総合的に安心・安全にご利用いただけるよう、継続して各種取り組みを行っています。
楽天情報セキュリティの考え方2. 開発者のための安心・安全なソフトウェア開発の取り組み
楽天グループでは、ソフトウェアやサービスを開発の段階から、セキュリティの専門家が積極的に関与して、教育や検査などを行い、リリース当初から安心・安全なサービスを提供しています。ユーザのみなさまの安全を脅かすシステム上の欠陥や仕様上の問題点である脆弱性を、あとから検査して見つけ、修正するのではなく、最初から開発者が脆弱性のない安全なシステムを作る。これが楽天の安心・安全なサービスづくりの考え方の基礎となっています。
一般に、楽天のサービスのような情報システムにおいて、お客様をはじめとしたユーザの安全を脅かすシステム上の欠陥や仕様上の問題点を脆弱性といいます。楽天では、脆弱性のないシステムを作るために、これからご説明するような取り組みを数多く行っています。そのなかでも楽天が最も大切と考えているのは、当社の開発者教育です。
楽天では何千人もの開発者が、日々新しいサービスを開発しています。そのすべての開発者がセキュリティに関する十分な知識を身につけ、高いプロ意識を持って開発できるよう、定期的な教育や試験を行っています。
サービス開発プロセス
楽天では、以下のようなプロセスでサービスのリリースを行っています。サービス開発に対応して行っているセキュリティの取り組みを順を追ってご説明します。
セキュリティ教育
サービス開発プロセスの中でも楽天が最も大切に考えているのは、開発者の教育です。楽天では、すべての開発者がセキュリティに関する十分な知識を身につけ、高いプロ意識を持って開発できるよう、定期的な教育や試験を行っています。すべての開発者は、まず、セキュリティ専門家が開催する1日セミナーを受講することから始めます。
セキュリティRFPとチェックリスト
楽天は基本的に社内でサービスの開発を行っていますが、一部のサービスは外部に委託しています。社内外のセキュリティレベルを一定レベルに維持強化するため、外部委託先にはセキュリティRFPやチェックリストを提供しています。これらを利用してチェックを行うことにより、納品後のセキュリティ監査で指摘される項目を減らすことができます。また、契約前にシステム仕様を検討することができるため、セキュリティレビューとしても効果を期待できます。
サーバの設定に由来する既知の脆弱性が存在しないこと
- パスワード漏えい対策
- アクセス制限
- フィッシング詐欺対策
- 情報の暗号化
- セッションハイジャック対策
セキュリティレビュー
実際にサービスが企画されると、必要に応じてデータの取り扱いや具体的なプログラム手法について、セキュリティの観点からレビューを行います。先にレビューを行い、問題になりそうな部分やリスクになり得る部分を事前に洗い出すことで、より安全な開発を行えるようにしています。
ツールによる脆弱性検査
コーディングが終了し、実際のサービスリリース前に品質確認の作業を実施します。
このプロセスは、一般的なプログラムおよび画面上のバグを発見するための作業ですが、それにあわせて、ツールによるクロスサイトスクリプティングやクロスサイトリクエストフォージュリなどの脆弱性検査を行っています。
セキュリティ監査
楽天では、すべてのサービスリリースの前に、かならずセキュリティ監査を実施しなければなりません。監査については社内規則で定められており、脆弱性が発見された場合は、そのサービスをリリースできないと決められています。
監査は基本的に、当社内の監査を専門に行っているスペシャリストによって実施されており、一部はセキュリティ専門会社によって実施されています。
3. 情報セキュリティ強化の取り組み
楽天グループでは不正ログインや詐欺、その他情報セキュリティに関して、お客様とお客様の大切な情報を保護するための取り組みを行っています。
情報セキュリティに関する各種規格の取得
楽天グループでは、お客様の大切な情報を保護するために、各種規格に基づく情報セキュリティマネジメント体制の構築に取り組み、各種認証を取得しています。
- ISO/IEC 27001: 情報セキュリティマネジメントの国際規格
- PCIDSS: クレジットカード情報管理の国際規格
- プライバシーマーク: 個人情報保護のための体制を整備している企業を認定する制度
不正ログインを未然に防ぐ
不正ログインをいち早く発見し、お客様の被害拡大を防ぐため、楽天グループではログイン状況の監視を行っています。監視により不正ログインの兆候が確認された場合は、パスワードの初期化を行っています。
お客様には一時的にご不便をお掛けすることがありますが、被害拡大防止のための措置であることをご理解いただけますと幸いです。
システムの安心・安全な運用
楽天ではセキュリティ事故を起こさないために、日常のシステム運用においてもいくつかの施策を行っています。
楽天のシステムについて
楽天のWebサービスでは数千台のサーバが稼動しており、常にインターネット上の脅威にさらされていると言っても過言ではありません。巨大な楽天のシステムのセキュリティを維持することは簡単なことではありませんが、全社員がセキュリティについて適切な知識と知恵を備えることで、みなさまに安心・安全なサービスを提供できるように、日々取り組んでおります。楽天のシステムを安心・安全に運用するために、楽天がどのようなオペレーションを行っているかご紹介します。
- Rakuten-CERTの活動
楽天では図のようなプロセスを経て、サービスのリリースを行っています。 - Rakuten-CERTの組織構成図
Rakuten-CERTの重要な役割の一つとして、外部との情報交換窓口があります。
組織内での横断的な情報共有の展開も非常に重要な機能ですが、他社との企業間でも利害関係を超え、コンピュータセキュリティに関する情報を共有するようにしています。
その活動の一環として、Rakuten-CERTは、日本シーサート協議会とFIRST(Forum of Incident Response and Security Teams)に加盟しており、積極的に外部との情報交換を行っています。 - Rakuten-CERTの今後
楽天は日本だけでなく世界各国で事業を展開しています。各国拠点の支社やグループ企業を逐次Rakuten-CERTの枠組みに取り入れ、グローバルな視点に立った情報交換や、インシデント対応フローを構築しています。 - 脆弱性情報の管理と運用
日々、あらゆるアプリケーションやデバイスで脆弱性が発見されている中、楽天では公開されている脆弱性情報を毎日収集しています。対応が必要だと思われる脆弱性については、Rakuten-CERTのメンバーである各セキュリティ担当者に連絡を取り、ヒアリングと対応措置をとるように、適切な指示を行っています。 対応が必要だと思われる脆弱性は、Rakuten-CERT事務局にてスケジュール管理を行い、対応が完了するまでフォローを行っています。
4. おもなサービスにおけるセキュリティの取り組み
以下のページでは、それぞれのサービスに対応した取り組みを発信しています。ぜひ参考にしてください。
楽天市場では、安心・安全にお買い物を楽しんでいただけるよう、情報セキュリティに関する取り組みを行っています。
楽天市場 情報セキュリティの取り組み「楽天市場」では店舗様に出店いただく前に「情報セキュリティ試験」を受けていただいており、合格した後に出店していただくことになっています。 また、各店舗ごとのプライバシーポリシーの公表、店舗セキュリティ責任者の任命・公表を推進し、お客様が安心してインターネットショッピングをお楽しみいただけるよう努力しています。 そのほか、安心してお買い物を楽しんでいただくために、模倣品対策および万が一のお買い上げ時の補償も行っています。
ブランド模倣品の補償楽天「ラクマ」では、お客様に快適で安心な取引をしていただくためにさまざまな取り組みを実施しております。
ラクマ 安心安全のための取り組み楽天カードはISMS(情報セキュリティマネジメントシステム)の認証を取得しており、継続して情報セキュリティ対策に取り組んでおります。
楽天カード ISMS認証の取得楽天銀行のサービスとインターネットサービスを楽しく安全に過ごしていただくために、楽天銀行のセキュリティ情報をご紹介しています。
楽天銀行のセキュリティお客様の安心・安全なお取引のためのセキュリティ対策を金融犯罪の傾向や事例へのリンクとともにご紹介しています。
楽天証券のセキュリティ楽天モバイルが推奨するセキュリティ対策などをまとめております。
楽天モバイル 情報セキュリティポリシー対策のポイントといざという時の対処
1. 今すぐできるセキュリティ対策
楽天グループは、インターネットを通じてショッピングやオークションなど、さまざまなサービスを提供し、新たな技術やサービスの導入を続けています。同時に、世の中の新しい技術が登場する時期に合わせて、不正利用者によってインターネット上のサービスが犯罪や迷惑行為に利用されるおそれがあります。不正利用者は、不正アクセスなどによりお客様の重要な情報を盗むほか、巧みに悪意あるサイトなどに誘導し、重要な情報や金銭をだまし取ろうとします。
お客様がインターネットサービスをご利用する際に、思わぬトラブルに巻き込まれないために、日頃からお客様ご自身に注意していただきたいこと、万が一お客様が被害にあわれた際の対処方法についてご案内します。
偽サイト・偽メール対策
楽天では、以下のようなプロセスでサービスのリリースを行っています。サービス開発に対応して行っているセキュリティの取り組みを順を追ってご説明します。
本物をかたったサイトに気をつけましょう
楽天でお買い物をする場合は、ショップやサービスに案内されたアドレスではなく、https://www.rakuten.co.jp からアクセスするようにしましょう。 URLをクリックするとアクセスした本物そっくりのサイトに誘導して、お客様の大切な情報を奪う行為や、金銭をだまし取る行為が後を絶ちません。サイトにアクセスする際やクレジットカード情報などの大切な情報を入力する際は、立ち止まって本物かどうかを十分に確認しましょう。
例えばURL(Uniform Resource Locater:サイトの住所)で確認する場合、楽天市場のトップページの正しいURLは「 https://www.rakuten.co.jp 」です。ショッピングなどを行う場合、このトップサイトから検索することで偽サイトへの誘導を回避できます。
総務省「国民のための情報セキュリティサイト」
STOP.THINK.CONNECT.(フィッシング対策協議会)
あやしいメールやメッセージに気をつけよう
メールやメッセージの中にあるURLを気軽にクリックしないようにしましょう。本物や知り合いを装い悪質なサービスに誘導したり、ウイルス付きのファイルを添付したメールやSNSにおいて悪意あるサイトに誘導するなどのメッセージにだまされないように注意しましょう。
お客様の大切な情報が盗まれてしまったり、高額な金額を請求されてしまう可能性があります。見極めるのは困難かもしれませんが、普段と異なる文体で送られてきたり、不自然な添付ファイルがある場合は、直接送信者本人にご確認ください。
不審なメールやSMSに関する各サービスのヘルプ
楽天カスタマーサービスを装った不審なSMSに関して
楽天市場を装った不審なメールに関して
楽天カードを装った不審なメールに関して
楽天グループの新しいログイン画面について
ログイン関連の対策
楽天グループは、インターネットを通じてショッピングやオークションなどさまざまなサービスを提供しています。一方でサービスが不正利用者により犯罪や迷惑行為に利用されるケースがあります。 不正利用者は不正アクセスなどによりお客様の重要な情報を盗んだり、巧みに悪意あるサイトなどに誘導し、重要な情報や金銭をだまし取ろうとしています。このようなトラブルに巻き込まれないために、以下の対策を施し、大切なIDが第三者により不正にログインされることを最大限回避しましょう。
ログイン関連の対策
楽天グループは、インターネットを通じてショッピングやオークションなどさまざまなサービスを提供しています。一方でサービスが不正利用者により犯罪や迷惑行為に利用されるケースがあります。 不正利用者は不正アクセスなどによりお客様の重要な情報を盗んだり、巧みに悪意あるサイトなどに誘導し、重要な情報や金銭をだまし取ろうとしています。このようなトラブルに巻き込まれないために、以下の対策を施し、大切なIDが第三者により不正にログインされることを最大限回避しましょう。
パスワードの使いまわしを避ける
パスワードはインターネットサービスごとに違うものを使いましょう。
複数のインターネットサービスでパスワードを使い回すことは非常に危険です。昨今、何かしらの方法で入手したID、パスワードのリストを用いて不正にログインする事案が多発しています。これは同じパスワードによる攻撃には、パスワードを使っているサービスの数が多いほど、不正にログインされてしまう可能性が高くなるという性質があります。
第三者により不正なログインがされてしまうと、会員情報を閲覧・変更等されるばかりか、なりすまして商品を購入されたりしてしまいます。楽天会員IDのパスワードは、他サービスのものとは異なるものをご利用ください。
パスワードの強度を高める
他人が推測しづらい、できる限り複雑なパスワードを使いましょう。
英数字記号を含めた複雑で長いパスワードにすることで、第三者による推測や不正なログインをできる限り防ぐことができます。
楽天グループでは会員登録時、会員登録後の変更時にパスワードの強度を測れる仕組みをご用意しています。
設定するパスワードにより低、中低、中、高とゲージが変わります。
できる限り「高」になるように設定することをおすすめします。
端末を共有する際の注意
ご家庭、職場、ネットカフェなど、パソコンやタブレットなどを複数人で利用する場合は、最後に必ずログアウトをしましょう。 第三者による不正アクセス防止のため、ご使用のブラウザのシークレットモードを使用してログインするようにしてください。
シークレットモードを使用してログインした場合でも、サービス利用後はログアウトもしくは当該ウィンドウを閉じることを忘れずに行ってください。
ログイン状態が継続している場合、登録されている個人情報が閲覧・利用される危険性があります。
ブラウザの閲覧履歴の削除やキャッシュのクリアなども実行しておくと、さらに安心です。
※設定方法について不明点がある場合や、その他ブラウザの設定方法に関しては、ご使用のブラウザのヘルプをご確認いただくか、ブラウザの提供元までお問い合わせください。
※スマホアプリ(楽天の各種アプリ、LINE・Facebook・X (Twitter)・InstagramなどのSNSアプリ)からログイン画面を表示した場合、アプリ内ブラウザを使用して情報が表示されます。その場合はシークレットモードが使用できません。シークレットモードを使用する場合は、ChromeやSafariといったブラウザで表示してください。
シークレットモードの利用についてこまめにパスワードを変更する
不正アクセスは年々巧妙になっています。数年前に設定されたパスワードが推測されやすくはないか、他のサービスで使い回していないか見直してみましょう。 楽天から「長期間パスワードを変更されていないお客様へ」というタイトルのメールを受取られたお客様はこちらのヘルプページをご覧の上、対応をご検討ください。
何らかの方法でIDとパスワードを入手した犯罪者は、所有者に気づかれないように不正アクセスを続けます。長期間パスワードを変更しないでいると、漏えいしたパスワードを無効にできず、こうした不正アクセスを食い止めることができなくなります。
現在設定しているパスワードを確認して、悪意のあるユーザーにすぐに見破られにくい、セキュリティレベルの高いパスワードを設定することをおすすめします。
パスワード再設定はこちら不正なログインに注意する
ログイン履歴、ログインアラート、カード利用お知らせメール等を使って、万が一の際にはすぐに気づけるようにしておきましょう。パスワード再設定はこちらから行えます。早めに不正なログインに気がつければ、被害は最小限ですむかもしれません。日頃から不正なログインがないか気にかけましょう。
楽天グループでは、お客様がいつでもログインに関して確認できる機能をご用意しています。
不正ログインや
詐欺かなと思ったら
以下の内容をご確認いただき、各お問い合わせ先へご相談ください。
こんな場合はお気をつけください
- ご登録済みのメールアドレスやショートメッセージなどに、パスワード初期化の通知や身に覚えがないメールアドレスの変更や注文の通知が届いたとき。
- ログイン履歴、ログインアラートなどの機能で身に覚えがないログインを確認したとき。
ログインとおぼしき事態が発生した場合
- ユーザーIDの確認・パスワードの再設定からパスワード変更を行ってください。
- 登録済みのメールアドレスや配送先の住所などの登録情報が変更されていないか、ご確認ください。
身に覚えのない利用履歴や請求がある場合
- 楽天市場
※不正注文のキャンセルは該当店舗にお問い合わせください。 - 楽天カード
※楽天カード以外はご利用のクレジットカード会社にお問い合わせください。 - 深刻な被害の場合
最寄の警察署又は都道府県警サイバー犯罪相談窓口にもご相談ください。
都道府県警サイバー犯罪相談窓口