リスクリスト
リスクアセスメント
Section titled “リスクアセスメント”当社が抱える情報セキュリティリスクは以下のとおりです。
| # | リスク | 資産 | 発生可能性 | 影響度 | レベル |
|---|---|---|---|---|---|
| #387 | 認証情報漏洩による不正接続リスク | 浜松拠点リモート用ネットワーク | 3 | 4 | 7 |
| #390 | 多要素認証未導入による認証強度不足リスク | 浜松拠点リモート用ネットワーク | 4 | 3 | 7 |
| #391 | 接続端末からのマルウェア侵入リスク | 浜松拠点内部用ネットワーク | 3 | 4 | 7 |
| #12 | 法令・コンプライアンス違反 | エアーズ株式会社 | 2 | 4 | 6 |
| #75 | 法令・コンプライアンス違反 | 開発部門 | 2 | 4 | 6 |
| #132 | 法令・コンプライアンス違反 | 浜松拠点管理者 | 2 | 4 | 6 |
| #313 | IAM権限の設定ミスにより不要な操作ができる | AWSメインアカウント | 4 | 2 | 6 |
| #315 | 退職者・契約終了者のアカウントが残っている | AWSメインアカウント | 3 | 3 | 6 |
| #378 | 機器認証の不備による不正接続リスク | 浜松拠点内部用ネットワーク | 2 | 4 | 6 |
| #380 | 来訪者による不適切な通信・マルウェア拡散リスク | 浜松拠点来訪者用ネットワーク | 2 | 4 | 6 |
| #382 | 再来訪なしでのネットワーク不正利用リスク | 浜松拠点来訪者用ネットワーク | 3 | 3 | 6 |
| #383 | 利用規約の未提示による不正・違法利用責任の発生リスク | 浜松拠点来訪者用ネットワーク | 2 | 4 | 6 |
| #384 | WAN側IPアドレスの共通化によるアクセス制御回避リスク | 浜松拠点来訪者用ネットワーク | 3 | 3 | 6 |
| #388 | 退職者による継続接続リスク | 浜松拠点リモート用ネットワーク | 2 | 4 | 6 |
| #389 | 接続端末からのマルウェア侵入リスク | 浜松拠点リモート用ネットワーク | 3 | 3 | 6 |
| #534 | 管理者権限の不適切な利用による情報漏えい | GitHub | 2 | 4 | 6 |
| #535 | 不正ログインによる情報漏えいや改ざん | GitHub | 2 | 4 | 6 |
| #538 | 誤った操作や悪意ある操作による情報漏えい | GitHub | 3 | 3 | 6 |
| #540 | ログが存在せず、万が一の際の原因追求が難しい | Google Workspace(全社利用) | 3 | 3 | 6 |
| #545 | 誤った操作や悪意ある操作による情報漏えい | Google Workspace(全社利用) | 3 | 3 | 6 |
| #547 | ログが存在せず、万が一の際の原因追求が難しい | Slack(全社利用) | 3 | 3 | 6 |
| #552 | 誤った操作や悪意ある操作による情報漏えい | Slack(全社利用) | 3 | 3 | 6 |
| #1 | アカウントやアクセス権限に関する方針がなく、不適切な設定が行われる | エアーズ株式会社 | 2 | 3 | 5 |
| #2 | インシデント発生時の対応が決まっていない | エアーズ株式会社 | 3 | 2 | 5 |
| #4 | セキュリティ的に不適切な従業者を採用してしまう | エアーズ株式会社 | 2 | 3 | 5 |
| #6 | 委託先による情報漏えいやシステム停止 | エアーズ株式会社 | 2 | 3 | 5 |
| #7 | 外部との情報のやり取りに関する基本方針がなく、不適切なやり取りが行われる | エアーズ株式会社 | 2 | 3 | 5 |
| #9 | 従業者の不適切な行動による情報漏えいや改ざん、システム停止 | エアーズ株式会社 | 2 | 3 | 5 |
| #10 | 保護すべき情報や、その責任の所在が不明瞭 | エアーズ株式会社 | 2 | 3 | 5 |
| #11 | 退職した元従業者による情報漏えい | エアーズ株式会社 | 2 | 3 | 5 |
| #64 | アカウントやアクセス権限に関する方針がなく、不適切な設定が行われる | 開発部門 | 2 | 3 | 5 |
| #65 | インシデント発生時の対応が決まっていない | 開発部門 | 3 | 2 | 5 |
| #67 | セキュリティ的に不適切な従業者を採用してしまう | 開発部門 | 2 | 3 | 5 |
| #69 | 委託先による情報漏えいやシステム停止 | 開発部門 | 2 | 3 | 5 |
| #70 | 外部との情報のやり取りに関する基本方針がなく、不適切なやり取りが行われる | 開発部門 | 2 | 3 | 5 |
| #72 | 従業者の不適切な行動による情報漏えいや改ざん、システム停止 | 開発部門 | 2 | 3 | 5 |
| #73 | 保護すべき情報や、その責任の所在が不明瞭 | 開発部門 | 2 | 3 | 5 |
| #74 | 退職した元従業者による情報漏えい | 開発部門 | 2 | 3 | 5 |
| #121 | アカウントやアクセス権限に関する方針がなく、不適切な設定が行われる | 浜松拠点管理者 | 2 | 3 | 5 |
| #122 | インシデント発生時の対応が決まっていない | 浜松拠点管理者 | 3 | 2 | 5 |
| #124 | セキュリティ的に不適切な従業者を採用してしまう | 浜松拠点管理者 | 2 | 3 | 5 |
| #126 | 委託先による情報漏えいやシステム停止 | 浜松拠点管理者 | 2 | 3 | 5 |
| #127 | 外部との情報のやり取りに関する基本方針がなく、不適切なやり取りが行われる | 浜松拠点管理者 | 2 | 3 | 5 |
| #129 | 従業者の不適切な行動による情報漏えいや改ざん、システム停止 | 浜松拠点管理者 | 2 | 3 | 5 |
| #130 | 保護すべき情報や、その責任の所在が不明瞭 | 浜松拠点管理者 | 2 | 3 | 5 |
| #131 | 退職した元従業者による情報漏えい | 浜松拠点管理者 | 2 | 3 | 5 |
| #312 | 信頼できない経路からのAWS操作リスク | AWSメインアカウント | 2 | 3 | 5 |
| #314 | ログ設定不備により追跡ができない | AWSメインアカウント | 3 | 2 | 5 |
| #344 | ネットワークの盗聴による情報漏えい | 浜松拠点来訪者用ネットワーク | 2 | 3 | 5 |
| #367 | ファームウェアの脆弱性による不正アクセス・情報漏洩リスク | 浜松拠点ルーター | 3 | 2 | 5 |
| #372 | 故障や作業ミスによるネットワーク停止リスク | 浜松拠点ルーター | 3 | 2 | 5 |
| #374 | 設定ミスや不備による不正通信・漏洩リスク | 浜松拠点ルーター | 2 | 3 | 5 |
| #375 | 管理者アカウントの不適切な取り扱いリスク | 浜松拠点ルーター | 3 | 2 | 5 |
| #376 | 設定情報等の未管理による復旧遅延リスク | 浜松拠点ルーター | 3 | 2 | 5 |
| #379 | ネットワーク盗聴による情報漏洩リスク | 浜松拠点内部用ネットワーク | 2 | 3 | 5 |
| #431 | ネットワーク障害による業務中断 | 従業者個人宅ネットワーク | 3 | 2 | 5 |
| #524 | 故障による情報の滅失 | 従業員スマートフォン | 3 | 2 | 5 |
| #532 | バックアップが存在しないことによる情報の滅失 | GitHub | 2 | 3 | 5 |
| #533 | ログが存在せず、万が一の際の原因追求が難しい | GitHub | 2 | 3 | 5 |
| #539 | バックアップが存在しないことによる情報の滅失 | Google Workspace(全社利用) | 2 | 3 | 5 |
| #541 | 管理者権限の不適切な利用による情報漏えい | Google Workspace(全社利用) | 2 | 3 | 5 |
| #542 | 不正ログインによる情報漏えいや改ざん | Google Workspace(全社利用) | 1 | 4 | 5 |
| #548 | 管理者権限の不適切な利用による情報漏えい | Slack(全社利用) | 2 | 3 | 5 |
| #553 | バックアップが存在しないことによる情報の滅失 | 社内Wiki(全社利用) | 2 | 3 | 5 |
| #554 | ログが存在せず、万が一の際の原因追求が難しい | 社内Wiki(全社利用) | 3 | 2 | 5 |
| #555 | 管理者権限の不適切な利用による情報漏えい | 社内Wiki(全社利用) | 2 | 3 | 5 |
| #559 | 誤った操作や悪意ある操作による情報漏えい | 社内Wiki(全社利用) | 2 | 3 | 5 |
| #561 | ログが存在せず、万が一の際の原因追求が難しい | ChatGPT | 3 | 2 | 5 |
| #562 | 管理者権限の不適切な利用による情報漏えい | ChatGPT | 2 | 3 | 5 |
| #567 | 災害や障害により事業が中断し、情報資産や従業員の稼働が確保できず、業務を継続できない | エアーズ株式会社 | 2 | 3 | 5 |
| #3 | セキュリティに関する権限や役割が曖昧 | エアーズ株式会社 | 2 | 2 | 4 |
| #5 | パスワードや秘密認証情報が推測されることによる情報漏えい | エアーズ株式会社 | 1 | 3 | 4 |
| #8 | 社内規程が存在しない、もしくは古い状態が続いている | エアーズ株式会社 | 2 | 2 | 4 |
| #13 | 洪水や地震などの災害によるシステム停止 | 浜松拠点 | 2 | 2 | 4 |
| #15 | 不正侵入による情報漏えい | 浜松拠点 | 1 | 3 | 4 |
| #66 | セキュリティに関する権限や役割が曖昧 | 開発部門 | 2 | 2 | 4 |
| #68 | パスワードや秘密認証情報が推測されることによる情報漏えい | 開発部門 | 1 | 3 | 4 |
| #71 | 社内規程が存在しない、もしくは古い状態が続いている | 開発部門 | 2 | 2 | 4 |
| #123 | セキュリティに関する権限や役割が曖昧 | 浜松拠点管理者 | 2 | 2 | 4 |
| #125 | パスワードや秘密認証情報が推測されることによる情報漏えい | 浜松拠点管理者 | 1 | 3 | 4 |
| #128 | 社内規程が存在しない、もしくは古い状態が続いている | 浜松拠点管理者 | 2 | 2 | 4 |
| #368 | 物理的な盗難・持ち出しによる情報漏洩リスク | 浜松拠点ルーター | 2 | 2 | 4 |
| #369 | 不適切な廃棄・輸送による情報漏洩や故障リスク | 浜松拠点ルーター | 2 | 2 | 4 |
| #377 | 障害監視・通知の不備による対応遅延リスク | 浜松拠点ルーター | 2 | 2 | 4 |
| #501 | 不適切な輸送による情報漏えいや滅失 | 委託元貸与PC | 2 | 2 | 4 |
| #507 | 不正ログインによる情報漏えいや改ざん | 委託元提供クラウドサービス | 1 | 3 | 4 |
| #510 | 誤った操作や悪意ある操作による情報漏えい | 委託元提供クラウドサービス | 2 | 2 | 4 |
| #511 | マルウェアなど外部からの攻撃による情報漏えい | 貸与ノートPC | 1 | 3 | 4 |
| #512 | 盗難や盗聴による情報漏えい | 貸与ノートPC | 2 | 2 | 4 |
| #519 | マルウェアなど外部からの攻撃による情報漏えい | 従業員スマートフォン | 1 | 3 | 4 |
| #525 | 機器の把握や管理ができていない事によるデータの漏えいや滅失 | 従業員スマートフォン | 2 | 2 | 4 |
| #527 | システム開発における一般的な原則が実施できていない | 社内工数管理システム | 2 | 2 | 4 |
| #529 | ログが存在せず、万が一の際の原因追求が難しい | 社内工数管理システム | 2 | 2 | 4 |
| #531 | 誤った操作によるシステムの停止 | 社内工数管理システム | 2 | 2 | 4 |
| #556 | 不正ログインによる情報漏えいや改ざん | 社内Wiki(全社利用) | 1 | 3 | 4 |
| #566 | 誤った操作や悪意ある操作による情報漏えい | ChatGPT | 2 | 2 | 4 |
| #14 | 来客や部外者による盗み見 | 浜松拠点 | 1 | 2 | 3 |
| #503 | 機器の把握や管理ができていない事によるデータの漏えいや滅失 | 委託元貸与PC | 1 | 2 | 3 |
| #513 | 紛失による情報漏えい | 貸与ノートPC | 2 | 1 | 3 |
| #516 | 故障による情報の滅失 | 貸与ノートPC | 2 | 1 | 3 |
| #517 | 機器の把握や管理ができていない事によるデータの漏えいや滅失 | 貸与ノートPC | 1 | 2 | 3 |
| #520 | 盗難や盗聴による情報漏えい | 従業員スマートフォン | 1 | 2 | 3 |
| #522 | 不適切な廃棄による情報漏えい | 従業員スマートフォン | 1 | 2 | 3 |
| #526 | システムの冗長化が不十分なことによるサービス停止 | 社内工数管理システム | 2 | 1 | 3 |
| #546 | バックアップが存在しないことによる情報の滅失 | Slack(全社利用) | 2 | 1 | 3 |
| #514 | 不適切な廃棄による情報漏えい | 貸与ノートPC | 1 | 1 | 2 |
| #515 | 不適切な輸送による情報漏えいや滅失 | 貸与ノートPC | 1 | 1 | 2 |
| #521 | 紛失による情報漏えい | 従業員スマートフォン | 1 | 1 | 2 |
| #528 | バックアップが存在しないことによる情報の滅失 | 社内工数管理システム | 1 | 1 | 2 |
| #549 | 不正ログインによる情報漏えいや改ざん | Slack(全社利用) | 1 | 1 | 2 |
| #550 | 利用終了時のデータの滅失 | Slack(全社利用) | 1 | 1 | 2 |
| #557 | 利用終了時のデータの滅失 | 社内Wiki(全社利用) | 1 | 1 | 2 |
| #563 | 不正ログインによる情報漏えいや改ざん | ChatGPT | 1 | 1 | 2 |
リスク対応計画
Section titled “リスク対応計画”上記のリスクを鑑み、以下のリスク対応計画を策定しています。
| 実施事項 | 対象 | 担当者 | 期限 |
|---|---|---|---|
| 故障に備え、保存される情報は、定期的に、クラウドサービスへのアップロードもしくは別媒体へのバックアップを行う。 | 浜松拠点ルーター | 加藤 匡邦 | 2026-10-31 |
| アクセスログをもとに、不審なアクセスがないことを、定期的に確認する。 | GitHub | 鈴木 謙吾 | 2026-10-31 |
| アクセスログをもとに、不審なアクセスがないことを、定期的に確認する。 | Google Workspace(全社利用) | 鈴木 謙吾 | 2026-10-31 |
| アクセスログをもとに、不審なアクセスがないことを、定期的に確認する。 | Slack(全社利用) | 鈴木 謙吾 | 2026-10-31 |
| 重大な影響を及ぼす作業(バックアップ取得・復元、暗号化設定、重要サービス再起動、データ移行等、「機密性」「完全性」「可用性」に影響を与える作業)は、操作・リカバリー手順書を作成し、レビューをうけること。 | 社内工数管理システム | 加藤 匡邦 | 2026-10-31 |
| 手順書の所在とCI/CD・監視のURL等は、ソースコードのトップドキュメントに一覧化して明示すること(例:/README.md あるいは /docs/OPERATIONS.md に「リンク一覧」節を設ける)。 | 社内工数管理システム | 鈴木 謙吾 | 2026-10-31 |
| 手順書は手順変更時などに常に改訂し、最新状態を維持すること。 | 社内工数管理システム | 加藤 匡邦 | 2026-10-31 |
| 毎月、監視・測定を実施し、情報セキュリティに関する規程の遵守状況の確認を行う。 | エアーズ株式会社 | 鈴木 謙吾 | 2026-10-31 |
| 各情報システムの管理者は、年に1回以上不要なアカウントやアクセス権が残っていないことを確認する。 | エアーズ株式会社 | 加藤 匡邦,鈴木 謙吾 | 2026-10-31 |
| 管理者/導入時の責任者は、新規にSaaS・クラウドサービスを導入する際、以下の項目を確認し、「SaaS管理台帳」に結果を記録しなければならない。 データのエクスポートが可能であるか(形式・範囲を含む) | Google Workspace(全社利用) | 鈴木 謙吾 | 2026-10-31 |
| 機器管理台帳を作成し、社内で利用している機器と、その情報(インストールされているOSやソフトウェア、有効なセキュリティ設定など)を管理する。 | 浜松拠点ルーター | 加藤 匡邦 | 2026-10-31 |
| 定期的(目安として6ヶ月に1回)に機器管理台帳を見直し、台帳の内容と実態にズレがないかを確認する。 | 浜松拠点ルーター | 加藤 匡邦 | 2026-10-31 |
| CloudTrailを常時有効にし、全リージョン・全イベントのログを信頼されたS3バケットへ出力・長期保管することで、不正アクセスの証跡を確実に取得・追跡可能にする | AWSメインアカウント | 鈴木 謙吾 | 2026-10-31 |
リスク対応計画の実施後のリスクレベル
Section titled “リスク対応計画の実施後のリスクレベル”リスク対応計画の実施後のリスクレベルは、以下のとおりです。
| # | リスク | 資産 | 現在のレベル | 対応後のレベル |
|---|---|---|---|---|
| #540 | ログが存在せず、万が一の際の原因追求が難しい | Google Workspace(全社利用) | 6 | 5 |
| #547 | ログが存在せず、万が一の際の原因追求が難しい | Slack(全社利用) | 6 | 5 |
| #9 | 従業者の不適切な行動による情報漏えいや改ざん、システム停止 | エアーズ株式会社 | 5 | 5 |
| #11 | 退職した元従業者による情報漏えい | エアーズ株式会社 | 5 | 3 |
| #314 | ログ設定不備により追跡ができない | AWSメインアカウント | 5 | 4 |
| #533 | ログが存在せず、万が一の際の原因追求が難しい | GitHub | 5 | 3 |
| #527 | システム開発における一般的な原則が実施できていない | 社内工数管理システム | 4 | 4 |
| #531 | 誤った操作によるシステムの停止 | 社内工数管理システム | 4 | 4 |
| 改定日 | 版 | 改定内容 | 承認 |
|---|---|---|---|
| 2025-10-22 | (2025.10.17.01) | SecureNavi上で承認(報告者: 鈴木謙吾、報告日: 2025-10-17) | 加藤匡邦 |
| 2026-06-10 | 1.0 | GitHubリポジトリ(airs/isms)へ移行。文書番号FRM-011を付与。リスク#IDはSecureNavi由来のまま保全 | 加藤匡邦 |