情報セキュリティマニュアル
組織的管理策
Section titled “組織的管理策”情報セキュリティのための方針群
Section titled “情報セキュリティのための方針群”- 情報セキュリティに関する規程を作成し、トップマネジメントの承認を得る。 (対象:エアーズ株式会社)
- 情報セキュリティに関する規程は、年1回、もしくは事業内容などに大きな変化があったときに見直しを行う。 (対象:エアーズ株式会社)
情報セキュリティの役割及び責任
Section titled “情報セキュリティの役割及び責任”- 情報セキュリティの推進のために、「トップマネジメント」「ISMS責任者」「ISMS担当者」「内部監査責任者」「内部監査員」を選任する。 (対象:エアーズ株式会社)
- 一つの誤りや不正が重大な影響を与える業務については、可能な限り職務を分離し、複数人体制で実施する。
- 以下の業務は、必ず実行者と承認者を分離する:
- システムの設定変更・本番リリース
- 顧客向けの一斉メール送信
- マスターデータ更新
- 金銭・会計処理
- 職務分離が困難な場合は、代替としてログ監査・ダブルチェックなどの統制を実施する。
(対象:エアーズ株式会社)
管理層の責任
Section titled “管理層の責任”-
情報セキュリティ方針と目標を決定・承認し、方向性を示す
- ISMSの運用を主導し、必要な資源を確保する
- ISMSの重要性を関係者に伝達する
- ISMSの有効性を継続的に改善させる
- 情報セキュリティリスクの管理に責任を負う(リスク所有者)
(対象:エアーズ株式会社)
関係当局との連絡
Section titled “関係当局との連絡”- 情報セキュリティインシデントが発生した場合、必要に応じて関係当局へ速やかに通報する。
- 通報は、情報セキュリティ責任者または経営者の承認を得て実施する。
- 特に以下のケースにおいては、所管官庁や専門機関へ連絡を行う。
- 個人情報の漏えい等があった場合:個人情報保護委員会 https://www.ppc.go.jp/personalinfo/legal/leakAction
- 特定個人情報(マイナンバー)の漏えい等があった場合:個人情報保護委員会 https://www.ppc.go.jp/legal/rouei
- 情報セキュリティに関する相談や支援が必要な場合:情報処理推進機構(IPA) https://www.ipa.go.jp/security/anshin/index.html
(対象:エアーズ株式会社)
専門組織との連絡
Section titled “専門組織との連絡”- 当社は、情報セキュリティに関する最新情報を入手し、必要に応じて社内へ展開するため、関連する専門組織との連携を行う。
- 主な参照先は以下のとおりとする。
- 情報処理推進機構(IPA) https://www.ipa.go.jp/security
- 個人情報保護委員会(PPC) http://www.ppc.go.jp
- ISMS責任者は、これらの情報源を定期的に確認し、脅威情報や関連法令・ガイドラインの更新を把握して、必要に応じて全従業員に周知する。
(対象:エアーズ株式会社)
脅威インテリジェンス
Section titled “脅威インテリジェンス”- 当社は、情報セキュリティに関する最新情報を入手し、必要に応じて社内へ展開するため、関連する専門組織との連携を行う。
- 主な参照先は以下のとおりとする。
- 情報処理推進機構(IPA) https://www.ipa.go.jp/security
- 個人情報保護委員会(PPC) http://www.ppc.go.jp
- ISMS責任者は、これらの情報源を定期的に確認し、脅威情報や関連法令・ガイドラインの更新を把握して、必要に応じて全従業員に周知する。
(対象:エアーズ株式会社)
プロジェクトマネジメントにおける情報セキュリティ
Section titled “プロジェクトマネジメントにおける情報セキュリティ”- 新規システム開発やサービス導入等のプロジェクトにおいては、企画段階から情報セキュリティを考慮する。
- プロジェクト責任者は、必要に応じてISMS責任者によるレビューを受け、セキュリティ要件を満たすことを確認する。
(対象:エアーズ株式会社)
情報及びその他の関連資産の目録
Section titled “情報及びその他の関連資産の目録”- 情報資産を洗い出し、ISMS文書リポジトリ(GitHub: airs/isms)で整理する。 (対象:エアーズ株式会社)
- 各情報資産の責任者は、その情報資産の利用範囲や保管場所、保管期限を遵守することに責任を持つ。 (対象:エアーズ株式会社)
情報及びその他の関連資産の許容される利用
Section titled “情報及びその他の関連資産の許容される利用”- 当社の情報資産(PC、スマートフォン、クラウドサービス、ネットワーク、紙媒体等)には、それぞれ利用可能範囲を定める。 利用者は、この範囲を超えて私的利用・不正利用を行ってはならない。
- 利用可能範囲は、関連する規程・マニュアルにおいて具体的に定め、必要に応じて見直す。
(対象:エアーズ株式会社)
-
退職・契約終了時には、すべての貸与資産を返却し、アカウントを返納する。 アカウントの返却や・私物端末の廃棄は資産台帳に記録し、証跡を残す。
(対象:エアーズ株式会社)
-
退職・契約終了・異動時には、原則1週間以内にアカウントを停止・削除し、台帳に記録すること。 (対象:AWSメインアカウント)
-
当社の情報資産は、機密性の重要度に応じて次の3区分に分類する。
- 機密:漏えいすると取引先・顧客に重大な影響があるもの(個人情報、NDA対象情報等を含む)
- 社外秘:漏えいすると当社の事業運営に大きな影響があるもの(社内資料、業務マニュアル等)
- 公開:社外公開を前提とした情報(Webサイト、プレスリリース等)
(対象:エアーズ株式会社)
情報のラベル付け
Section titled “情報のラベル付け”- 分類された情報資産には、その区分を識別できるように適切なラベル付けを行う。
ラベル付けの方法は以下を原則とする。
- 機密:文書やファイルのヘッダーまたはフッターに「機密」と明記する
- 社外秘:文書やファイルのヘッダーまたはフッターに「社外秘」と明記す
- 公開:ラベル付けは不要。ただし公開前に責任者による承認を得ること
- ラベル付けが困難な情報(例:口頭伝達、システム内データ等)については、分類に応じたアクセス制御、暗号化、利用者教育などの代替措置を講じる。
(対象:エアーズ株式会社)
- 業務で利用する情報は、必ず暗号化通信(HTTPS、VPN、TLS等)を用いて送信すること。 (対象:エアーズ株式会社)
- 業務で受信した電子メールを、個人のメールアドレス(例:Gmail、Yahooメール等)に転送してはならない。 (対象:エアーズ株式会社)
- SNSやチャットサービスには、業務情報や従業員のプライバシーに関する情報(写真への映り込みを含む)を許可なく投稿してはならない。 (対象:エアーズ株式会社)
- 一般的でない手段(SNSのDM機能など)で業務情報をやり取りする場合は、必ず相手方の事前承認を得ること。 (対象:エアーズ株式会社)
アクセス制御
Section titled “アクセス制御”- 管理者は、業務上必要最小限(Least Privilege)の原則に基づき、SaaS等情報システム利用者に権限を付与する。 (対象:エアーズ株式会社)
- 貸与PCや業務用端末は必ず利用者本人専用とし、ゲストアカウントや共有アカウントの利用は禁止する (対象:貸与ノートPC)
- SaaS等の情報システムへのアクセスは可能な限り、VPNまたはゼロトラスト対応のアクセス経路を用意し、経路を限定すること。 (対象:エアーズ株式会社)
識別情報の管理
Section titled “識別情報の管理”- 各情報システムごとに管理者を定める。 管理者はその情報システムにおける識別情報(アカウントID等)およびアクセス権限管理について責任を負う。 (対象:エアーズ株式会社)
- 貸与PCや業務用端末は必ず利用者本人専用とし、ゲストアカウントや共有アカウントの利用は禁止する (対象:貸与ノートPC)
-
サービス仕様上、パスワードが必要な場合は次を遵守すること。
- 12文字以上で英字・数字・記号を組み合わせる
- 他サービスとの使い回しは禁止
- 複雑なパスワードが設定できない場合は、その理由を「個人別資産台帳(
../ledgers/のFRM-003〜FRM-005)」に記録すること
(対象:エアーズ株式会社)
-
パスワードを使う場合において、ISMS責任者が承認したパスワードマネージャーを使用し、同ツールで生成した強固なパスワードを保存・使用すること。 (対象:エアーズ株式会社)
-
パスワードは他サービスとの使い回しは禁止 (対象:エアーズ株式会社)
-
貸与PCおよび業務利用端末は、スリープ・休止・再起動後に必ずパスワードまたは同等の認証で再ログインを要求する設定とする。 (対象:貸与ノートPC)
- 退職・契約終了・異動時には、原則1週間以内に当該アカウントを停止・削除し、台帳に記録する。 (対象:エアーズ株式会社)
- 貸与PCや業務用端末は必ず利用者本人専用とし、ゲストアカウントや共有アカウントの利用は禁止する (対象:貸与ノートPC)
- 「FRM-006_SaaS管理台帳」には、契約責任者・管理者アカウント・副管理者および利用者ごとのアカウント発行・削除の記録を記載する。 (対象:AWSメインアカウント)
- 退職・契約終了・異動時には、原則1週間以内にアカウントを停止・削除し、台帳に記録すること。 (対象:AWSメインアカウント)
供給者関係における情報セキュリティ
Section titled “供給者関係における情報セキュリティ”- 新規サプライヤーの選定時には、情報セキュリティリスクを評価し、必要に応じてISMS責任者の承認を得ること。
- 委託先評価基準は以下のとおりとする
- a. 情報セキュリティに関する第三者認証(ISO/IEC 27001, プライバシーマーク等)を取得していることを確認する
- b. 認証を取得していない場合は、IPA「5分でできる情報セキュリティ自社診断」への回答を依頼し、その回答内容を確認すること
- c. 提供サービスの信頼性(稼働実績、サポート体制 等)
- d. 個人情報・機密情報の取扱いに関するルール
- これらの評価基準に基づいた選定が困難な場合は、責任者が総合的に判断し、判断理由を記録すること。
(対象:エアーズ株式会社)
供給者との合意における情報セキュリティの取扱い
Section titled “供給者との合意における情報セキュリティの取扱い”- 契約書または覚書には、次の事項を必ず含めるものとする:
- 情報セキュリティに関する遵守義務
- 機密保持条項(NDA)
- インシデント発生時の通知義務
- サービス終了時の情報返却・削除
- 個人情報・要配慮個人情報を取り扱う場合は、個人情報保護法および関連ガイドラインに基づく条項を含めること。
(対象:エアーズ株式会社)
情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理
Section titled “情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理”-
当社は、主要なサプライヤーがさらに外部の委託先(下請け、クラウド基盤ベンダー等)を利用する場合、その供給網における情報セキュリティリスクを考慮する。 必要に応じて、サプライヤーから利用する下請け先のセキュリティ水準や契約条件を確認し、当社の求める基準を満たすことを確認する。 サプライチェーンリスクが特定された場合は、契約上の制約、追加的な監視、代替策を講じる。
※ ICTサプライチェーンセキュリティの考え方および具体的な評価フローの構築方法については、IPA「実務者のためのサプライチェーンセキュリティ(手引書/ハンドブック)」を参照すること。 (対象:エアーズ株式会社)
供給者のサービス提供の監視、レビュー及び変更管理
Section titled “供給者のサービス提供の監視、レビュー及び変更管理”-
契約中のサプライヤーについては、年1回以上レビューを行い、セキュリティ水準を確認する。 レビュー内容には以下を含める:
- アクセス権の適切性
- 契約遵守状況
- インシデント発生履歴
- 提供サービスの変更内容
必要に応じて改善を要求し、対応状況を記録に残す。 サプライヤーのうち、SaaS・クラウドサービス提供者に関する選定、契約、監視レビュー、変更・終了時の評価および確認は、「FRM-006_SaaS管理台帳」に記録し、証跡として維持しなければならない。 (対象:エアーズ株式会社)
クラウドサービスの利用における情報セキュリティ
Section titled “クラウドサービスの利用における情報セキュリティ”-
クラウドサービス利用にあたっては、特段の定めのない限り、以下のガイドラインに基づいて選定・契約・運用を行わなければならない。
- IPA「中小企業のためのクラウドサービス安全利用の手引き」
- IPA「クラウドセキュリティの歩き方」
- 総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」
(対象:エアーズ株式会社)
-
管理者/導入時の責任者は、新規にSaaS・クラウドサービスを導入する際、以下の項目を確認し、「FRM-006_SaaS管理台帳」に結果を記録しなければならない。
- データのエクスポートが可能であるか(形式・範囲を含む)
(対象:Slack(全社利用), 社内Wiki(全社利用))
-
SaaS等の情報システムへのアクセスは可能な限り、VPNまたはゼロトラスト対応のアクセス経路を用意し、経路を限定すること。 (対象:エアーズ株式会社)
情報セキュリティインシデント管理の計画策定及び準備
Section titled “情報セキュリティインシデント管理の計画策定及び準備”- ISMS責任者はインシデント対応を統括し、初動対応(端末隔離、アカウント停止、証跡確保など)を指示する。 (対象:エアーズ株式会社)
情報セキュリティ事象の評価及び決定
Section titled “情報セキュリティ事象の評価及び決定”-
ISMS責任者は、報告された情報を確認し、それが情報セキュリティインシデントに該当するかどうかを評価・決定する。 必要に応じて経営者および委託元へエスカレーションする。
(対象:エアーズ株式会社)
情報セキュリティインシデントへの対応
Section titled “情報セキュリティインシデントへの対応”- ISMS責任者はインシデント対応を統括し、初動対応(端末隔離、アカウント停止、証跡確保など)を指示する。 必要に応じて「MNL-002_セキュリティインシデント対応マニュアル(セキュリティチーム用)」に従い、調査・復旧・再発防止策を実施する。 関係当局への報告は「MNL-003_関係当局との連絡マニュアル」に従って実施する。 (対象:エアーズ株式会社)
情報セキュリティインシデントからの学習
Section titled “情報セキュリティインシデントからの学習”-
全てのインシデントは共有ドライブ「社外秘_情報セキュリティインシデント」のインシデント台帳に記録し、原因・対応内容・再発防止策を明確にする。 インシデント発生後には必ずレビューを実施し、得られた教訓を関係者に共有する。 レビュー結果に基づき、必要に応じて規程や運用手順を改訂し、継続的改善を行う。
(対象:エアーズ株式会社)
- インシデント対応にあたり、証拠となるログ・スクリーンショット・通信記録・端末イメージ等を適切に収集・保全する。 証拠は改ざん防止措置を施したうえで保存し、必要に応じて法的手続や監査に提供できる状態を維持する。 証拠の収集・保存に関する手順は「MNL-002_セキュリティインシデント対応マニュアル(セキュリティチーム用)」に従う。 (対象:エアーズ株式会社)
事業の中断・阻害時の情報セキュリティ
Section titled “事業の中断・阻害時の情報セキュリティ”- 管理責任者(経営者)は、組織全体を通じて事業継続のための活動を統括し、事業継続に必要な情報セキュリティの要求事項を取り扱う管理された手続きおよび関連マニュアルを策定・維持する。 (対象:エアーズ株式会社)
事業継続のためのICTの備え
Section titled “事業継続のためのICTの備え”- 貸与用ノートPCの代替機の準備 (対象:貸与ノートPC)
法令、規制及び契約上の要求事項
Section titled “法令、規制及び契約上の要求事項”- 関連する法令・規制・契約上の要求事項は「法規制リスト」(未整備。FRM-013の是正タスクとして整備予定)として管理し、年1回以上見直す。 (対象:エアーズ株式会社)
- 外国に機器やソフトウェアを輸出、持ち出しする場合は、当該国の暗号化法令を事前に確認し、遵守する。 (対象:エアーズ株式会社)
- ソフトウェアを利用する場合は、事前に利用規約などを確認し、規約に違反する利用を防止する。 (対象:エアーズ株式会社)
- 法令や規制により一定期間の保管が求められる文書(経理関係書類、労務関係書類など)は、滅失や改ざんを防ぐため、適切なアクセス権のもとで所定の期間、保管しなければならない。 (対象:エアーズ株式会社)
プライバシー及び個人識別可能情報(PII)の保護
Section titled “プライバシー及び個人識別可能情報(PII)の保護”- 事業において利用する個人情報は、個人情報保護法に基づいて管理を行う。 (対象:エアーズ株式会社)
情報セキュリティの独立したレビュー
Section titled “情報セキュリティの独立したレビュー”- 内部監査は原則として年1回以上実施し、内部監査の計画・実施を主導すること (対象:エアーズ株式会社)
情報セキュリティのための方針群、規則及び標準の順守
Section titled “情報セキュリティのための方針群、規則及び標準の順守”- 内部監査は原則として年1回以上実施し、内部監査の計画・実施を主導すること (対象:エアーズ株式会社)
- 手順書の所在とCI/CD・監視のURL等は、ソースコードのトップドキュメントに一覧化して明示すること(例:/README.md あるいは /docs/OPERATIONS.md に「リンク一覧」節を設ける)。 (対象:エアーズ株式会社)
- 手順書は手順変更時などに常に改訂し、最新状態を維持すること。 (対象:エアーズ株式会社)
- 重大な影響を及ぼす作業(バックアップ取得・復元、暗号化設定、重要サービス再起動、データ移行等、「機密性」「完全性」「可用性」に影響を与える作業)は、操作・リカバリー手順書を作成し、レビューをうけること。 (対象:エアーズ株式会社)
- 採用にあたり、必要に応じて職務適性や経歴確認を行うこと。
- 雇用契約・業務委託契約には秘密保持条項を含めること。
- 受託案件で委託元が定めるチェック要件がある場合は、それに従うこと。
- 採用前に候補者の情報セキュリティおよびコンプライアンス意識を確認し、当社の求める基準に満たない場合は採用を見送ること。
(対象:エアーズ株式会社)
- 採用が決まった従業者とは、秘密保持に関する誓約書(秘密保持に関する内容が記載された「雇用契約書」でもよい)を締結する。 (対象:エアーズ株式会社)
- 採用にあたり、必要に応じて職務適性や経歴確認を行うこと。
- 雇用契約・業務委託契約には秘密保持条項を含めること。
- 受託案件で委託元が定めるチェック要件がある場合は、それに従うこと。
- 採用前に候補者の情報セキュリティおよびコンプライアンス意識を確認し、当社の求める基準に満たない場合は採用を見送ること。
(対象:エアーズ株式会社)
情報セキュリティの意識向上、教育及び訓練
Section titled “情報セキュリティの意識向上、教育及び訓練”- 全従業員に対して、少なくとも年1回、情報セキュリティに関する教育・訓練を計画・実施する責任を負う。 (対象:エアーズ株式会社)
- 就業規則では、社内規程(情報セキュリティに関する規程を含む)に違反したときの懲戒手続きについて定めておく。 (対象:エアーズ株式会社)
雇用の終了又は変更後の責任
Section titled “雇用の終了又は変更後の責任”-
従業員が退職・契約終了となるときは、「退職時の秘密保持に関する誓約書」を締結する、または、雇用契約書・業務委託契約書に退職・契約終了時の秘密保持に関して定めておくこと。 (対象:エアーズ株式会社)
-
退職・契約終了時には、すべての貸与資産を返却し、アカウントを返納する。 アカウントの返却や・私物端末の廃棄は資産台帳に記録し、証跡を残す。
(対象:エアーズ株式会社)
-
BYOD端末を廃棄または譲渡する場合は、必ず端末の初期化を行い、業務利用に伴う情報資産が残存しないようにしなければならない。 利用者は、BYOD利用申請にあたり、上記の初期化実施を含む利用条件に同意するものとする。 (対象:従業員スマートフォン)
-
退職・契約終了・異動時には、原則1週間以内に当該アカウントを停止・削除し、台帳に記録する。 (対象:エアーズ株式会社)
秘密保持契約又は守秘義務契約
Section titled “秘密保持契約又は守秘義務契約”- 機密情報のやり取りは、原則として秘密保持契約(NDA)または守秘義務条項を含む契約を締結している組織とのみ行う。 ただし、個人情報その他法令や契約で制約されていない情報については、信頼できる組織に限り、契約締結前であっても情報をやり取りすることができる。 (対象:エアーズ株式会社)
リモートワーク
Section titled “リモートワーク”-
喫茶店、駅、空港、ホテル等の不特定多数が利用可能な公共無線LAN(フリーWi-Fi)は利用を禁止する。 在宅勤務においては、自宅の固定回線等、利用者が管理する暗号化設定済みのネットワークを利用することができる。 委託元が業務利用を前提に提供する社内ネットワークは利用を許可する。 コワーキングスペースや宿泊施設等で提供されるネットワークを利用する場合は、暗号化(WPA2以上)が有効であり、かつ会社が許可したVPNを利用することを条件とする。
(対象:貸与ノートPC, 従業員スマートフォン)
情報セキュリティ事象の報告
Section titled “情報セキュリティ事象の報告”- 従業員は、情報セキュリティインシデント、またはその疑い、ならびに将来的にインシデントにつながる可能性のある弱点を発見した場合、速やかにISMS担当者(または上長)へ報告しなければならない。 (対象:エアーズ株式会社)
- 情報セキュリティの弱点(将来的にインシデントにつながる可能性のある事象)を発見した場合は、速やかにISMS担当者に報告する。 (対象:エアーズ株式会社)
- 紛失・盗難が発生した場合は、速やかに情報セキュリティ責任者に報告し、遠隔ロック・ワイプを実施する。 (対象:従業員スマートフォン)
- BYOD端末を廃棄または譲渡する場合は、必ず端末の初期化を行い、業務利用に伴う情報資産が残存しないようにしなければならない。 利用者は、BYOD利用申請にあたり、上記の初期化実施を含む利用条件に同意するものとする。 (対象:従業員スマートフォン)
物理的管理策
Section titled “物理的管理策”物理的セキュリティ境界
Section titled “物理的セキュリティ境界”-
以下に従ってゾーンを区切り、フロア図を作成しなければならない。
- 来客エリア:受付や会議室など、来客が入室可能なエリア
- 執務エリア:執務室や営業所など、従業員のみが入室可能なエリア
- サーバエリア:サーバ機器の保管場所など、従業員の中でも許可された者のみがアクセス可能なエリア
(対象:浜松拠点)
- 利用者に対し、無人状態になる場合は、時間帯に限らず、必ず出入口の施錠を行うこと遵守させなければならない。 (対象:浜松拠点)
- 出入口に施錠設備及び入退室管理システムを導入し、入退ログを取得できる仕組みを導入しなければならない。 (対象:浜松拠点)
- 利用者に対し、執務エリアへの来客を含めた従業者以外の入室は原則禁止し、入室の必要がある場合は、従業者が必ず帯同することを遵守させなければならない。 (対象:浜松拠点)
- サーバエリアへの入退についてログが残るような設備を導入しなければならない。 (対象:浜松拠点)
オフィス、部屋及び施設のセキュリティ
Section titled “オフィス、部屋及び施設のセキュリティ”- 利用者に対し、機器設置場所を不用意に第三者へ口外しないよう徹底させなければならない。 (対象:浜松拠点)
物理的セキュリティの監視
Section titled “物理的セキュリティの監視”- 出入り口やサーバールームなど施設の状況により、必要な箇所に監視カメラを設置しなければならない。 (対象:浜松拠点)
- 出入口に施錠設備及び入退室管理システムを導入し、入退ログを取得できる仕組みを導入しなければならない。 (対象:浜松拠点)
物理的及び環境的脅威からの保護
Section titled “物理的及び環境的脅威からの保護”- 火災・浸水・盗難リスクを考慮した設備配置および地震対策を決定しなければならない。 (対象:浜松拠点)
- 地震等への備えとして、社内の電子機器類には転倒防止のための対策を行わなければならない。 (対象:浜松拠点)
- 利用者に対し、来客に来客カードを付与し、着用させることを遵守させなければならない。 (対象:浜松拠点)
セキュリティを保つべき領域での作業
Section titled “セキュリティを保つべき領域での作業”- 盗み見防止を考慮した設計を決定しなければならない。 (対象:浜松拠点)
- 利用者に対し、執務エリア内での写真撮影は、情報の映り込みに配慮させなければならない。 (対象:浜松拠点)
- ホワイトボード等の情報が残る媒体の利用後、利用者に対して、速やかに内容を消去させる、またはしなければならない。 (対象:浜松拠点)
クリアデスク・クリアスクリーン
Section titled “クリアデスク・クリアスクリーン”- 利用者に対し、離席時の画面ロックや業務終了時のクリアデスクを徹底させなければならない。 (対象:浜松拠点)
機器の設置及び保護
Section titled “機器の設置及び保護”- ネットワーク機器やサーバを従業員が容易に触れられない場所へ設置するようにしなければならない。 (対象:浜松拠点ルーター)
- 火災・浸水・盗難リスクを考慮した設備配置および地震対策を決定しなければならない。 (対象:浜松拠点)
構外にある資産のセキュリティ
Section titled “構外にある資産のセキュリティ”- 社外で利用する場合、たとえ一時的であっても、無人状態で放置しない。 (対象:貸与ノートPC)
- 貸与PCやBYOD端末はストレージを暗号化すること。 (対象:貸与ノートPC, 従業員スマートフォン)
- 社外に持ち出す場合は、事前に責任者の許可を得る。 (対象:浜松拠点ルーター)
- 機密情報・社外秘情報が保存された状態で輸送する場合は、盗難や破損を防ぐため、適切な保護(例えば、配達記録が残る手法を用いた輸送方法を選択する、十分な梱包を行うなど)を実施する。 (対象:浜松拠点ルーター, 委託元貸与PC, 貸与ノートPC, 従業員スマートフォン)
- 利用者に対し、紙を使う業務を行った場合にはシュレッダーを利用させて処分させなければならない。 (対象:エアーズ株式会社)
サポートユーティリティ
Section titled “サポートユーティリティ”- 停電やメンテナンスに備え、重要機器にUPSを設置するか代替策を準備しなければならない。 (対象:浜松拠点)
ケーブル配線のセキュリティ
Section titled “ケーブル配線のセキュリティ”- ケーブルが通路を跨がずに配線されるようにしなければならない。 (対象:浜松拠点ルーター)
- サーバ・ネットワーク機器に関してベンダー推奨の周期でメンテナンスを行えるよう、契約・体制を決定しなければならない。 (対象:浜松拠点ルーター)
装置のセキュリティを保った処分又は再利用
Section titled “装置のセキュリティを保った処分又は再利用”- 廃棄する場合は、社内で内部メモリを物理的に破壊するか、専門の廃棄業者に依頼する。 (対象:浜松拠点ルーター, 貸与ノートPC)
- 廃棄を専門の廃棄業者に依頼する場合は、廃棄証明書もしくはデータ消去証明書を受領する。 (対象:浜松拠点ルーター, 貸与ノートPC)
- BYOD端末を廃棄または譲渡する場合は、必ず端末の初期化を行い、業務利用に伴う情報資産が残存しないようにしなければならない。 利用者は、BYOD利用申請にあたり、上記の初期化実施を含む利用条件に同意するものとする。 (対象:従業員スマートフォン)
技術的管理策
Section titled “技術的管理策”利用者エンドポイント機器
Section titled “利用者エンドポイント機器”-
社外で利用する場合、たとえ一時的であっても、無人状態で放置しない。 (対象:貸与ノートPC)
-
喫茶店、駅、空港、ホテル等の不特定多数が利用可能な公共無線LAN(フリーWi-Fi)は利用を禁止する。 在宅勤務においては、自宅の固定回線等、利用者が管理する暗号化設定済みのネットワークを利用することができる。 委託元が業務利用を前提に提供する社内ネットワークは利用を許可する。 コワーキングスペースや宿泊施設等で提供されるネットワークを利用する場合は、暗号化(WPA2以上)が有効であり、かつ会社が許可したVPNを利用することを条件とする。
(対象:貸与ノートPC, 従業員スマートフォン)
-
貸与PCやBYOD端末はストレージを暗号化すること。 (対象:貸与ノートPC, 従業員スマートフォン)
-
遠隔ロック・遠隔ワイプ機能の有効化 (対象:従業員スマートフォン)
-
画面ロック・認証設定を必須とする (対象:従業員スマートフォン)
特権的アクセス権
Section titled “特権的アクセス権”- 特権的アクセス権(管理者権限や、管理者ユーザーを含む)の付与は、必要最小限とする。 (対象:GitHub, Google Workspace(全社利用), Slack(全社利用), 社内Wiki(全社利用), ChatGPT)
- 特権的アクセス権を有する者にも、一般権限のアカウントを付与し、通常業務は一般権限のアカウントを利用する。 (対象:GitHub, Google Workspace(全社利用), Slack(全社利用), 社内Wiki(全社利用), ChatGPT)
情報へのアクセス制限
Section titled “情報へのアクセス制限”- 管理者は、業務上必要最小限(Least Privilege)の原則に基づき、SaaS等情報システム利用者に権限を付与する。 (対象:エアーズ株式会社)
- 利用者アカウントのログイン元は、安全が確認されたネットワーク経路(VPN、ゼロトラストアクセス等)に限定し、不特定の環境からのアクセスを禁止する。 (対象:AWSメインアカウント)
ソースコードへのアクセス
Section titled “ソースコードへのアクセス”- ソースコード管理は バージョン管理システム(GitHub等)で一元管理する。
- ソースコードへのアクセスは、最小権限の原則に基づき、業務上必要な人のみにアカウント付与・アクセス権限の限定を行う。
- リポジトリは原則プライベートとし、公開が必要な場合は承認を得る。
- 外部委託先へのアクセス付与は契約条項に基づき、利用終了後は速やかに削除する。
- コードレビューを必須とし、直接の本番ブランチ(例:main/master)へのコミットは禁止する。
(対象:エアーズ株式会社)
- 管理者は、業務上必要最小限(Least Privilege)の原則に基づき、利用者にアクセス権を付与する。 (対象:GitHub)
セキュリティを保った認証
Section titled “セキュリティを保った認証”-
管理者は、SaaS・クラウドサービスにおける認証方式を以下の優先順位に従って設定しなければならない。
- Googleアカウント(
@airs.co.jp)によるシングルサインオン(SSO) - パスキー認証(対応サービスに限る)
- 多要素認証(MFA)
(対象:AWSメインアカウント, 委託元提供クラウドサービス, GitHub, Google Workspace(全社利用), Slack(全社利用), 社内Wiki(全社利用), ChatGPT)
- Googleアカウント(
-
画面ロック・認証設定を必須とする (対象:従業員スマートフォン)
容量・能力の管理
Section titled “容量・能力の管理”- システムは予測される利用量を考慮し、容量・性能を定期的に監視する。
- 容量不足・性能劣化の兆候がある場合は、速やかにスケールアップ/スケールアウト等を検討する。
(対象:エアーズ株式会社)
マルウェアに対する保護
Section titled “マルウェアに対する保護”- 開発・運用に利用するソフトウェアやライブラリは、正規の配布源から入手し、改ざんや不正なコード混入がないことを確認する。
- 依存関係や取得したソフトウェアの完全性は固定・検証し、不審な変更が検出された場合は利用を停止する。
(対象:社内工数管理システム, エアーズ株式会社)
技術的ぜい弱性の管理
Section titled “技術的ぜい弱性の管理”- インストールするOSやソフトウェアは、常に最新のバージョンを利用する。何らかの理由で、最新のバージョンを利用できない場合は、現在利用しているバージョンにぜい弱性がないことを確認する。 (対象:貸与ノートPC, 従業員スマートフォン)
- 内部監査は原則として年1回以上実施し、内部監査の計画・実施を主導すること (対象:エアーズ株式会社)
- Admina(SaaS管理ツール)の機器管理情報を整備し、社内で利用している機器と、その情報(インストールされているOSやソフトウェア、有効なセキュリティ設定など)を管理する。 (対象:委託元貸与PC, 貸与ノートPC, 従業員スマートフォン)
- 定期的(目安として6ヶ月に1回)にAdmina(SaaS管理ツール)の機器管理情報を見直し、その内容と実態にズレがないかを確認する。 (対象:委託元貸与PC, 貸与ノートPC, 従業員スマートフォン)
- システム構成はInfrastructure as Code(IaC)等でコード化し、変更はレビュー・承認を経て反映する。 (対象:エアーズ株式会社)
- 機密情報に該当する情報は、FRM-010_情報資産リストにおいて保管期間を明記し、保管期間を終えた資産は、速やかに削除を行う。 (対象:エアーズ株式会社)
- リモートワイプ機能の有効化 (対象:貸与ノートPC)
- BYOD端末を廃棄または譲渡する場合は、必ず端末の初期化を行い、業務利用に伴う情報資産が残存しないようにしなければならない。 利用者は、BYOD利用申請にあたり、上記の初期化実施を含む利用条件に同意するものとする。 (対象:従業員スマートフォン)
データマスキング
Section titled “データマスキング”- 個人情報の利活用を行う場合は、個人情報保護法に基づき、仮名化もしくは匿名化を行う必要がないかを確認し、必要に応じて実施する。 (対象:エアーズ株式会社)
- テスト環境で個人情報を利用する場合は、必ず匿名化・マスキングを行う。
- 実データを用いる必要がある場合は、開発責任者の承認を得る。
(対象:社内工数管理システム, エアーズ株式会社)
データ漏えい防止
Section titled “データ漏えい防止”- 外部にファイルを送信したり共有する機能がある場合は、その機能の操作ログの取得、あるいは利用禁止などの措置により、意図しない情報の外部漏えいを防止する。 (対象:Google Workspace(全社利用), Slack(全社利用), ChatGPT)
情報のバックアップ
Section titled “情報のバックアップ”- 故障に備え、保存される情報は、定期的に、クラウドサービスへのアップロードもしくは別媒体へのバックアップを行う。 (対象:貸与ノートPC)
- 重要データは定期的にバックアップを取得し、リストア手順を定期的に検証する。
- バックアップデータは暗号化して保存し、アクセス制御を行う。
(対象:社内工数管理システム, エアーズ株式会社)
情報処理施設・設備の冗長性
Section titled “情報処理施設・設備の冗長性”- 本番環境は障害発生時に事業継続できるよう、クラウドサービス等の冗長構成を基本とする。
- 単一障害点(SPOF)が存在しないよう設計・レビューを行うこと。 ただし、システムの重要度や予算等に応じて、短時間の停止が許容される場合は、必要最小限の構成(例:開発環境のNATゲートウェイを単一構成とするなど)も認める。
- 冗長化を行わずSPOFを許容する場合は、その理由と影響範囲を文書化し、システムの責任者の承認を得て関係者間で共有すること。
(対象:エアーズ株式会社)
- 貸与用ノートPCの代替機の準備 (対象:貸与ノートPC)
- システムはアクセスログ・操作ログを可能な限り取得する。
- ログにはユーザーID、操作内容、実行日時、接続元情報を含める。
(対象:社内工数管理システム, GitHub, Google Workspace(全社利用), Slack(全社利用), エアーズ株式会社)
- 取得したログデータには、アクセス制御を実施し、ログが消去・改ざんされないようにする。 (対象:GitHub, Google Workspace(全社利用), Slack(全社利用))
- システムは予測される利用量を考慮し、容量・性能を定期的に監視する。
- 容量不足・性能劣化の兆候がある場合は、速やかにスケールアップ/スケールアウト等を検討する。
(対象:エアーズ株式会社)
クロックの同期
Section titled “クロックの同期”- サーバ・システムは信頼できるNTPサーバと同期し、ログの時刻整合性を保つ。 (対象:社内工数管理システム, エアーズ株式会社)
特権的なユーティリティプログラムの使用
Section titled “特権的なユーティリティプログラムの使用”- OSやDB等の特権的ユーティリティは、正当な業務に限って利用する。 利用記録を残し、証跡を保存する。 (対象:エアーズ株式会社)
運用システムへのソフトウェアの導入
Section titled “運用システムへのソフトウェアの導入”-
以下のソフトウェアは、原則インストールおよび利用してはならない。
- 不特定多数の機器間でファイル共有ができるソフトウェア(いわゆるP2Pを利用したファイル共有ソフトウェア)
- 作成元が不明、もしくは不審なベンダーが提供するソフトウェア
- 非正規のライセンス情報を利用したソフトウェア
(対象:貸与ノートPC, 従業員スマートフォン)
-
本番環境へのソフトウェア導入は、テスト環境での動作確認後に実施する。 (対象:エアーズ株式会社)
-
本番環境におけるソフトウェアの変更(リリース、利用しているソフトウェアの変更やバージョンアップなど)は、変更が失敗したときに切り戻し(ロールバック)ができるようにする。 (対象:社内工数管理システム, エアーズ株式会社)
ネットワークのセキュリティ
Section titled “ネットワークのセキュリティ”- ログイン認証を設定し、許可されていない者が接続できないようにする。 (対象:浜松拠点来訪者用ネットワーク)
- 通信経路の暗号化を行う。 (対象:浜松拠点内部用ネットワーク, 浜松拠点来訪者用ネットワーク)
- ネットワークを通過する情報を鑑み、適切なネットワーク分離を行う(来客用ネットワークと業務用ネットワークの分離、社内利用ネットワークと社外向けサービス用ネットワークの分離など)。 (対象:浜松拠点内部用ネットワーク, 浜松拠点来訪者用ネットワーク)
- システム外部からの通信やシステム間通信は、WAFやファイアウォール、セキュリティグループ等により不要な通信を遮断する。 (対象:エアーズ株式会社)
- 管理用ネットワークは、利用者ネットワークや外部公開ネットワークと分離する。 (対象:エアーズ株式会社)
ネットワークサービスのセキュリティ
Section titled “ネットワークサービスのセキュリティ”- 公開するサービスは必要最小限に限定し、不要なポートやサービスは停止する。 (対象:エアーズ株式会社)
- 提供するネットワークサービスは、既知の脆弱性に対して適切に保護・更新する。 (対象:エアーズ株式会社)
ネットワークの分離
Section titled “ネットワークの分離”- ネットワークを通過する情報を鑑み、適切なネットワーク分離を行う(来客用ネットワークと業務用ネットワークの分離、社内利用ネットワークと社外向けサービス用ネットワークの分離など)。 (対象:浜松拠点内部用ネットワーク, 浜松拠点来訪者用ネットワーク)
- 開発・テスト環境と本番環境は分離し、相互の接続を禁止する。 (対象:エアーズ株式会社)
- 管理用ドメイン(例:admin.example.com)は、公開用ドメインとは別に設ける。 (対象:エアーズ株式会社)
ウェブフィルタリング
Section titled “ウェブフィルタリング”- 業務に関係のないWebサイトにはアクセスを行わない。 (対象:貸与ノートPC)
- システム内部(サーバ・コンテナ等)から外部ネットワークへの通信は、NATやプロキシを経由させ、必要最小限の接続先ドメインに限定する。 (対象:エアーズ株式会社)
- 貸与PCやBYOD端末はストレージを暗号化すること。 (対象:貸与ノートPC, 従業員スマートフォン)
- 業務で利用する情報は、必ず暗号化通信(HTTPS、VPN、TLS等)を用いて送信すること。 (対象:エアーズ株式会社)
- 開発するシステムへのネットワーク通信は TLS 等の暗号化を必須とし、平文通信は許可しない。 (対象:エアーズ株式会社)
- データベースやストレージに保存する情報は、必要に応じて暗号化を適用する。 (対象:エアーズ株式会社)
セキュリティに配慮した開発のライフサイクル
Section titled “セキュリティに配慮した開発のライフサイクル”- 企画・設計段階からセキュリティ要件を考慮し、設計レビューで確認する。 (対象:社内工数管理システム, エアーズ株式会社)
アプリケーションセキュリティの要求事項
Section titled “アプリケーションセキュリティの要求事項”- システム要件には認証・暗号化・監査ログなどのセキュリティ要件を含める。 (対象:エアーズ株式会社)
- 機微情報の取り扱いは必ず要件化する。 (対象:エアーズ株式会社)
セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
Section titled “セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則”- システム設計は分離・冗長化・最小権限を基本とし、セキュリティレビューを経る。 (対象:エアーズ株式会社)
セキュリティに配慮したコーディング
Section titled “セキュリティに配慮したコーディング”- 企画・設計段階からセキュリティ要件を考慮し、設計レビューで確認する。 (対象:社内工数管理システム, エアーズ株式会社)
- 開発者は安全なコーディング規約を遵守し、静的解析やコードレビューで確認する。 (対象:エアーズ株式会社)
- 入力値検証・エラーハンドリング・暗号化APIの適切利用を徹底する。 (対象:エアーズ株式会社)
開発及び受入れにおけるセキュリティテスト
Section titled “開発及び受入れにおけるセキュリティテスト”- 開発・受入時に脆弱性診断、セキュリティテストを行い、結果を記録する。 (対象:エアーズ株式会社)
外部委託による開発
Section titled “外部委託による開発”- 委託先への委託開発は POL-014_サプライヤー管理規程 の規定に従う。 (対象:エアーズ株式会社)
開発環境、テスト環境及び本番環境の分離
Section titled “開発環境、テスト環境及び本番環境の分離”- 開発・テスト環境には、一般の利用者(社外・顧客等)が直接接続できないようにする。 (対象:エアーズ株式会社)
- 開発・テスト・本番環境は物理的または論理的に分離する。 (対象:エアーズ株式会社)
- 各環境にて利用する秘密認証情報(パスワード、秘密鍵など)は、環境ごとに異なった文字列を利用する。 (対象:社内工数管理システム, エアーズ株式会社)
- 重大な影響を及ぼす作業(バックアップ取得・復元、暗号化設定、重要サービス再起動、データ移行等、「機密性」「完全性」「可用性」に影響を与える作業)は、操作・リカバリー手順書を作成し、レビューをうけること。 (対象:エアーズ株式会社)
- 開発・運用に利用するソフトウェアやライブラリは、正規の配布源から入手し、改ざんや不正なコード混入がないことを確認する。
- 依存関係や取得したソフトウェアの完全性は固定・検証し、不審な変更が検出された場合は利用を停止する。
(対象:社内工数管理システム, エアーズ株式会社)
- ソースコード管理は バージョン管理システム(GitHub等)で一元管理する。
- ソースコードへのアクセスは、最小権限の原則に基づき、業務上必要な人のみにアカウント付与・アクセス権限の限定を行う。
- リポジトリは原則プライベートとし、公開が必要な場合は承認を得る。
- 外部委託先へのアクセス付与は契約条項に基づき、利用終了後は速やかに削除する。
- コードレビューを必須とし、直接の本番ブランチ(例:main/master)へのコミットは禁止する。
(対象:社内工数管理システム, エアーズ株式会社)
テスト用情報
Section titled “テスト用情報”- テスト環境で個人情報を利用する場合は、必ず匿名化・マスキングを行う。
- 実データを用いる必要がある場合は、開発責任者の承認を得る。
(対象:社内工数管理システム, エアーズ株式会社)
監査におけるテスト中の情報システムの保護
Section titled “監査におけるテスト中の情報システムの保護”- システム監査やぜい弱性診断を行う場合は、原則、本番環境と構成を同じくした、異なる環境で実施する。やむを得ず本番環境にて行う場合は、システムの運用に影響がないよう十分に注意する。 (対象:エアーズ株式会社)
| 改定日 | 版 | 改定内容 | 承認 |
|---|---|---|---|
| 2025-10-22 | (2025.10.17.01) | SecureNavi上で承認(報告者: 鈴木謙吾、報告日: 2025-10-17) | 加藤匡邦 |
| 2026-06-10 | 1.0 | GitHubリポジトリ(airs/isms)へ移行。文書番号MNL-008を付与。SecureNavi機能・旧文書名・台帳への参照を移行先(本リポジトリの文書、共有ドライブのインシデント台帳、Admina)へ置換 | 加藤匡邦 |