コンテンツにスキップ
AIRS ISMS

SaaS等管理者規程

POL-006 review v1.0 作成: 鈴木謙吾

本規程は、当社の情報セキュリティマネジメントシステムの一環として制定したものであり、社外に開示する場合は「社外秘」として取り扱う。

当社の承諾なく複製・転載・再配布することを禁止する。

1. 目的

Section titled “1. 目的”

本規程は、当社が利用する SaaS・クラウドサービスおよびその他の情報資産(以下情報システム)に対するアカウント・アクセス権限・暗号化の管理方法を定め、情報資産の不正利用や漏えいを防止することを目的とする。

2. 適用範囲

Section titled “2. 適用範囲”

本規程は、当社における以下の管理者業務に適用する。

  • SaaS・クラウドサービス(GoogleWorkspace、Slackなど)の管理
  • アカウント発行・削除、権限付与・棚卸、ログ管理
  • 暗号化設定および鍵管理

3. 教育・周知

Section titled “3. 教育・周知”
  1. 管理者は、年1回以上の教育を受け、本規程に基づく統制を理解し実施すること。
  2. 違反が発覚した場合は、再発防止教育を義務付ける。

4. 管理者の責務(A.5.16)

Section titled “4. 管理者の責務(A.5.16)”
  1. 各情報システムごとに管理者を定める。
    管理者はその情報システムにおける識別情報(アカウントID等)およびアクセス権限管理について責任を負う。
  2. 管理者はSaaS・クラウドサービスごとに「SaaS管理システム」へ登録し、常に最新の情報に更新しなければならない。
  3. 管理者は、自らの責務を遂行するにあたり、本規程の後続章(アカウント管理、認証方式の管理、権限管理、暗号化管理、ログ管理等)に従わなければならない。
  4. 管理者が交代する場合は、後任者へ全てのアカウント・権限・認証情報管理の責任を引き継ぐこと。

5. 導入時の確認事項(A.5.23)

Section titled “5. 導入時の確認事項(A.5.23)”
  1. 管理者/導入時の責任者は、新規にSaaS・クラウドサービスを導入する際、以下の項目を確認しなければならない。
    1. サービス終了時にデータ返却・削除が可能であるか
    2. データのエクスポートが可能であるか(形式・範囲を含む)
    3. データ保存場所および取り扱い国が明確化されているか
    4. 利用者ログや監査証跡を取得・保持できるか
    5. 暗号化(保存時・通信時)が提供されているか
  2. 確認結果に制約やリスクがある場合、管理者はISMS責任者に報告し、利用の可否または制限条件について承認を得なければならない。

6. 特権的アクセス権(A.8.2)

Section titled “6. 特権的アクセス権(A.8.2)”
  1. 特権的アクセス権(管理者権限や、管理者ユーザーを含む)の付与は、必要最小限とする。
  2. 特権的アクセス権を有する者にも、一般権限のアカウントを付与し、通常業務は一般権限のアカウントを利用する。
  3. 管理者権限アカウントの利用は、システム設定変更・障害対応など、正当な管理業務に限定する。
  4. 特権的アクセス権の付与・変更・削除は「SaaS管理台帳」に記録する。

7. アカウント管理(A.5.15, A.5.18)

Section titled “7. アカウント管理(A.5.15, A.5.18)”
  1. 「SaaS管理システム」には、契約責任者・管理者アカウント・副管理者および利用者ごとのアカウント発行・削除の記録を記載する。
  2. 利用者アカウントは必ず個人専用で発行し、共用アカウントの作成は禁止する。
  3. 退職・契約終了・異動時には、原則1週間以内に当該アカウントを停止・削除し、台帳に記録する。

8. アクセス権管理(A.5.15, A.5.16, A.8.3)

Section titled “8. アクセス権管理(A.5.15, A.5.16, A.8.3)”
  1. 管理者は、業務上必要最小限(Least Privilege)の原則に基づき、利用者にアクセス権を付与する。
  2. アクセス権は利用者の職務・役割に応じて付与し、不要な情報や機能にはアクセスできないよう制御する。
  3. アクセス権の設定(例:SaaSロール権限、フォルダ共有設定、クラウドサービスの公開設定[例:S3 Publicアクセス権限]など)は、年1回以上レビューし、不要な権限や過剰な公開を削除する。
  4. アクセス権限の設定変更は「SaaS管理台帳」に記録し、ISMS責任者が確認する。
  5. 不正または誤設定による情報公開を防ぐため、外部公開が伴う設定(例:外部共有リンク、Public権限付与)は、必要性を審査し承認を得た場合に限り許可する。

9. 認証方式の管理(A.5.17, A.8.5)

Section titled “9. 認証方式の管理(A.5.17, A.8.5)”
  1. 管理者は、SaaS・クラウドサービスにおける認証方式を以下の優先順位に従って設定しなければならない。
    1. Googleアカウント(@airs.co.jp)によるシングルサインオン(SSO)
    2. パスキー認証(対応サービスに限る)
    3. 多要素認証(MFA)
  2. 認証方式に SSO・パスキー・MFA のいずれも対応していない SaaS については、契約・導入時にセキュリティリスクを考慮し、ISMS責任者の承認を得た場合にのみ利用を許可する。

10. 暗号化管理(A.8.24)

Section titled “10. 暗号化管理(A.8.24)”
  1. SaaS・クラウドサービスに保存される情報は、可能な限り提供されている暗号化機能を有効化すること。
  2. 鍵管理は、管理者権限を持つ者を限定し、安全に保管すること。
  3. 鍵の利用履歴を記録し、定期的に更新・廃棄を行うこと。
  4. 認証トークン・APIキー等の機密情報も同様に管理すること。

11. ログ管理(A.5.23, A.8.15, A.8.16)

Section titled “11. ログ管理(A.5.23, A.8.15, A.8.16)”
  1. アクセスログは閲覧可能な状態となっているようにすること。
  2. ログは改ざんされないよう保管し、保存期間は原則3年以上とすること。
  3. 管理者は定期的にログをレビューし、不審なアクセスがないか確認すること。

12. リモートアクセス(A.5.15, A.5.23)

Section titled “12. リモートアクセス(A.5.15, A.5.23)”
  1. SaaS等の情報システムへのアクセスは可能な限り、VPNまたはゼロトラスト対応のアクセス経路を用意し、経路を限定すること。
  2. 公共Wi-Fiを経由した管理者アクセスは禁止する。
  3. 利用者は、安全性が確認されたネットワーク経路を利用しなければならない。

13. レビューと監査(A.5.23, A.8.16)

Section titled “13. レビューと監査(A.5.23, A.8.16)”
  1. 管理者およびISMS責任者は、本規程に基づく統制状況について、少なくとも年1回以上「SaaS管理台帳」と「実環境の設定」を突合し、整合性を確認すること。
  2. レビュー結果は「SaaS管理台帳」に記録し、必要に応じて是正措置を実施すること。
  3. レビューの記録は監査証跡として保存し、内部監査や外部監査に備えること。
  4. 臨時レビューは、重大インシデント発生時やサービス仕様変更時など、必要に応じて追加で実施すること。

改訂履歴

Section titled “改訂履歴”
改定日改定内容承認
2025-08-22-初版制定-
2025-08-29-文書構成を変更。「SaaS管理台帳テンプレート」へのリンクを追加-
2025-09-05-「管理者の責務」と「導入時の確認事項」の欄を追加
「権限管理」の規程文言の修正
Annex A 対応番号の修正		-
2025-09-12-ファイル名を「SaaS等管理者規程」に変更し誰向けの規程かを明確化。「特権的アクセス権」の規程を追加。章だてと中身を書き直し、レビュー・監査周りを別の章に移動。-
2025-10-23-管理者の責務「SaaS管理台帳」の作成・維持を「SaaS管理システム」への登録と更新へ変更。
導入時の確認事項から「SaaS管理台帳」への記載を削除。		-
2026-06-101.0GitHubリポジトリ(airs/isms)へ移行(status: review を維持)。改訂履歴章(旧4章)を文書末尾へ移動し後続章番号を繰り上げ。「SaaS管理台帳」への参照(4箇所)をFRM-006_SaaS管理台帳への相対リンクへ置換-