| 1 | ISMS委員会 | 4.1 | 内部の課題と外部の課題を特定している。 | 適合 | 記載を確認(左側)
https://9c8213134c3f9vr4hl.app.secure-navi.jp/org |
| 2 | ISMS委員会 | 4.2 | 利害関係者とそのニーズを特定している。 | 適合 | 記載を確認(右側)
https://9c8213134c3f9vr4hl.app.secure-navi.jp/org |
| 3 | ISMS委員会 | 4.3 | ISMSの適用範囲を明確にしている。 | 適合 | 記載を確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/documented_infos/1 |
| 4 | ISMS委員会 | 5.2 | 情報セキュリティ方針を策定し、利害関係者が入手可能な状態にしている。 | 適合 | 記載を確認
https://www.airs.co.jp/security/ |
| 5 | ISMS委員会 | 5.3 | ISMSの役割に対して、適切な人を割り当てている。 | 適合 | 記載を確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/roles |
| 6 | ISMS委員会 | 6.2 | 情報セキュリティ目的(目標)を確立し、達成するための計画を立てている。 | 適合 | 目標が策定され、すでに完了していることを確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/objectives |
| 7 | ISMS委員会 | 6.3 | ISMSの年間計画を作成している。また、計画に変更があった場合は、関係者への周知などを行い、ISMSへの悪影響がないことを確認した上で変更を行っている。 | 適合 | 年間計画として各種タスクが設定されているのを確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/tasks?displayType=%E5%B9%B4%E9%96%93%E8%A8%88%E7%94%BB%EF%BC%882025ISMS%E6%96%B0%E8%A6%8F%E5%8F%96%E5%BE%97%EF%BC%89&doneVisible=true |
| 8 | ISMS委員会 | 7.2 | ISMSの役割に対して必要な力量を定め、力量を確認するための処置(教育など)を実施している。 | 適合 | 実施していることを確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/competences
理解度テストの結果などはこちらで確認
https://drive.google.com/drive/folders/1b8Ee2hnwVqbv6EbvTivZviOiQIdd4BuG |
| 9 | ISMS委員会 | 7.4 | 内部コミュニケーション(ISMSの役割の社内周知や、情報セキュリティ目標の周知など)や、外部コミュニケーション(セキュリティに関する情報収集や、自社の情報セキュリティ方針の公開など)を実施している。 | 適合 | 役割の規定:
https://9c8213134c3f9vr4hl.app.secure-navi.jp/roles
セキュリティ目標:
読み合わせを行った。議事録あり
https://docs.google.com/document/d/1c7l7effL7P8Cr05lBBEqtoF0aqn8wlH952lEMtbwvyc/edit?tab=t.0
セキュリティに関する情報収集:
* Slackにて通知などを行っている:
* https://airswork.slack.com/archives/CCGHV7HCH/p1758243948995509
* https://airswork.slack.com/archives/CCGHV7HCH/p1761094077217809
* セキュリティ技術の講習ログ https://docs.google.com/spreadsheets/d/1UtbvlFtqw2YwkKp7JJ1sbZP95zYTIxSdb1u8BatsKmQ/edit
情報セキュリティ方針公開されている |
| 10 | ISMS委員会 | 7.5 | ISMSのために必要な文書を作成し、承認を得ている。 | 適合 | https://9c8213134c3f9vr4hl.app.secure-navi.jp/documented_infos
項目があり、すべて承認されている |
| 11 | ISMS委員会 | 8.1 | ISMSの年間計画に従って運用を行っている。 | 適合 | 各種タスクがあることを確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/tasks?displayType=%E5%B9%B4%E9%96%93%E8%A8%88%E7%94%BB%EF%BC%882025ISMS%E6%96%B0%E8%A6%8F%E5%8F%96%E5%BE%97%EF%BC%89&doneVisible=true |
| 12 | ISMS委員会 | 9.1 | 監視・測定項目を特定し、定期的に監視・測定を実施している。 | 適合 | 10月の実施を確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/monitorings
3名の実施記録を確認
https://drive.google.com/drive/folders/1b8Ee2hnwVqbv6EbvTivZviOiQIdd4BuG |
| 13 | ISMS委員会 | 9.2 | 内部監査を実施している。 | 適合 | 実施中
https://9c8213134c3f9vr4hl.app.secure-navi.jp/internal_audits/1/conduct |
| 14 | ISMS委員会 | 9.3 | マネジメントレビューを実施し、そのインプットとアウトプットを記録している。 | 適合 | 11/14までに実施予定
https://9c8213134c3f9vr4hl.app.secure-navi.jp/management_reviews/1 |
| 15 | ISMS委員会 | 10.2 | 不適合があった場合は、是正処置を実施あるいは計画している。 | 適合 | 不適合項目についてはこれから是正処置を計画する
https://9c8213134c3f9vr4hl.app.secure-navi.jp/internal_audits/1/report
https://docs.google.com/document/d/1lW96KCc-VVJaJeMqO8y77hVG2niZIC36Fr92_0i836E/edit?tab=t.0#heading=h.sbjn05n6qciv
https://docs.google.com/document/d/1lW96KCc-VVJaJeMqO8y77hVG2niZIC36Fr92_0i836E/edit?tab=t.0 |
| 16 | ISMS委員会 | A.5.26 | ISMS責任者はインシデント対応を統括し、初動対応(端末隔離、アカウント停止、証跡確保など)を指示する。
必要に応じて「 MNL-002-セキュリティインシデント対応マニュアル(セキュリティチーム用) 」に従い、調査・復旧・再発防止策を実施する。
関係当局への報告は「 MNL-003-関係当局との連絡マニュアル 」に従って実施する。(対象:エアーズ株式会社) | 適合 | A.5.24 と同じものを含む。
「 MNL-002-セキュリティインシデント対応マニュアル(セキュリティチーム用) 」は、調査・復旧・再発防止策の具体的な手順は無い。
https://docs.google.com/document/d/1R229UL2c670RNtFlFwA-NEdcB2onF3vajUz60UHFmuo/edit?tab=t.0
インシデント内容によって大きく異なり、詳細は技術的な部分も多くなるが、どこまで書くべきか。
関係当局への報告手順は、記述の通り「MNL-003-関係当局との連絡マニュアル 」に適切にまとめられているように見える
https://docs.google.com/document/d/14QpwW3jZOAVHm9FNnmGZwz7W_Yq4BKBWyrfebB3asGU/edit?tab=t.0#heading=h.awoe4edtag4f
インシデントの実例はまだ無し
↓
調査内容や再発防止策はテンプレートとして盛り込まれているのでOKとする
https://docs.google.com/document/d/1VIGhpGwtEtB2EDdWdD_ZzVqy1inJ2GqBBxYVcotHlXA/edit?tab=t.0#heading=h.37mm4mp6eltg |
| 17 | ISMS委員会 | 6.1 | リスクアセスメントのプロセス(手順)を文書化している。 | 適合 | 記載を確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/documented_infos/7 |
| 18 | ISMS委員会 | 7.3 | ISMSの適用範囲に含まれる人々は、情報セキュリティ方針や、セキュリティ向上のために自らが実施すべきこと、それを実施しなかったことによる悪影響を認識している。 | 適合 | 上記7.2が達成までされていることを確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/competences
https://drive.google.com/drive/folders/1b8Ee2hnwVqbv6EbvTivZviOiQIdd4BuG |
| 19 | ISMS委員会 | 8.2 | リスクアセスメントを、定期的あるいは重大な変化が生じた場合に実施している。 | 不適合 | 初回実施を確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/asset_risks
リスクアセスメント自体の定期的な実施の予定は立っておらず、
https://9c8213134c3f9vr4hl.app.secure-navi.jp/tasks?displayType=%E5%B9%B4%E9%96%93%E8%A8%88%E7%94%BB%EF%BC%882025ISMS%E6%96%B0%E8%A6%8F%E5%8F%96%E5%BE%97%EF%BC%89&doneVisible=true
具体的な頻度、時期を含めた規定もない。(年1回以上、◯月に実施、などの記述) |
| 20 | ISMS委員会 | 8.3 | リスクアセスメントの結果をもとに、リスク対応を実施している。 | 適合 | 項目が計画中なことを確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/asset_risk_controls |
| 21 | ISMS委員会 | A.5.1 | 情報セキュリティに関する規程を作成し、トップマネジメントの承認を得る。(対象:エアーズ株式会社) | 適合 | 文書が存在し、 kato@airs.co.jp によって承認済み
https://docs.google.com/document/d/1g4srxNsKkY0OFLUGmQG8Vol92yrNBl6zvRiFAGjddCY/edit?tab=t.0#heading=h.3bmniisa9127 |
| 22 | ISMS委員会 | A.5.4 | - 情報セキュリティ方針と目標を決定・承認し、方向性を示す
- ISMSの運用を主導し、必要な資源を確保する
- ISMSの重要性を関係者に伝達する
- ISMSの有効性を継続的に改善させる
- 情報セキュリティリスクの管理に責任を負う(リスク所有者)
(対象:エアーズ株式会社) | 適合 | https://docs.google.com/document/d/1iYw6hJVyVMg7qAb9DLj8Cr-MHhbvdRHzyLsirXdGk3Y/edit?tab=t.0
ドキュメントがあり、承認 |
| 23 | ISMS委員会 | A.5.5 | 1. 情報セキュリティインシデントが発生した場合、必要に応じて関係当局へ速やかに通報する。
2. 通報は、情報セキュリティ責任者または経営者の承認を得て実施する。
3. 特に以下のケースにおいては、所管官庁や専門機関へ連絡を行う。
個人情報の漏えい等があった場合:個人情報保護委員会
https://www.ppc.go.jp/personalinfo/legal/leakAction
特定個人情報(マイナンバー)の漏えい等があった場合:個人情報保護委員会
https://www.ppc.go.jp/legal/rouei
情報セキュリティに関する相談や支援が必要な場合:情報処理推進機構(IPA)
https://www.ipa.go.jp/security/anshin/index.html(対象:エアーズ株式会社) | 適合 | 通報する側、対応するセキュリティチームの側の両方としてマニュアルが存在するのを確認
https://docs.google.com/document/d/1R229UL2c670RNtFlFwA-NEdcB2onF3vajUz60UHFmuo/edit?tab=t.0
https://docs.google.com/document/d/14QpwW3jZOAVHm9FNnmGZwz7W_Yq4BKBWyrfebB3asGU/edit?tab=t.0#heading=h.awoe4edtag4f
具体的な通報の実例はまだない。 |
| 24 | ISMS委員会 | A.5.6
A.5.7 | 1. 当社は、情報セキュリティに関する最新情報を入手し、必要に応じて社内へ展開するため、関連する専門組織との連携を行う。
2. 主な参照先は以下のとおりとする。
情報処理推進機構(IPA)
https://www.ipa.go.jp/security
個人情報保護委員会(PPC)
http://www.ppc.go.jp
3. ISMS責任者は、これらの情報源を定期的に確認し、脅威情報や関連法令・ガイドラインの更新を把握して、必要に応じて全従業員に周知する。
(対象:エアーズ株式会社) | 適合 | 1, 2 は規定があり
https://docs.google.com/document/d/1g4srxNsKkY0OFLUGmQG8Vol92yrNBl6zvRiFAGjddCY/edit?tab=t.0
Slackで周知
https://airswork.slack.com/archives/CCGHV7HCH/p1758243948995509
https://airswork.slack.com/archives/CCGHV7HCH/p1761094077217809 |
| 25 | ISMS委員会 | A.5.9 | 情報資産を洗い出し、SecureNaviを利用して整理する。(対象:エアーズ株式会社) | 適合 | SecureNaviでの閲覧
https://9c8213134c3f9vr4hl.app.secure-navi.jp/documented_infos/4
個々の貸与ノートPCの記録はこちらで
https://drive.google.com/drive/folders/1SWBnnxNgIoCKPhTl7mPwBmfqWOw8fhPc |
| 26 | ISMS委員会 | A.5.24 | ISMS責任者はインシデント対応を統括し、初動対応(端末隔離、アカウント停止、証跡確保など)を指示する。(対象:エアーズ株式会社) | 適合 | ISMS責任者がインシデント対応を総括することが規定されている:
https://docs.google.com/document/d/1KzrhBQ91iQv_MsUo3CPIaKDls5mD4IpqzvpRM15GnyA/edit?tab=t.0#heading=h.oy4c8686txlo
対応マニュアルもあり:
https://docs.google.com/document/d/1R229UL2c670RNtFlFwA-NEdcB2onF3vajUz60UHFmuo/edit?tab=t.0
「初動対応(端末隔離、アカウント停止、証跡確保など)を指示する。」これらの具体的な手順書などが見当たらない。(端末隔離はどう行うのか、アカウント停止はどうやるのか、など)
さらに具体化の余地あり
↓
対応内容は事例ごとに大きく異なるので個々に |
| 27 | ISMS委員会 | A.5.25 | ISMS責任者は、報告された情報を確認し、それが情報セキュリティインシデントに該当するかどうかを評価・決定する。
必要に応じて経営者および委託元へエスカレーションする。
(対象:エアーズ株式会社) | 適合 | こちらのマニュアルの一次対応に従って、情報セキュリティインシデントに該当するか評価
https://docs.google.com/document/d/1R229UL2c670RNtFlFwA-NEdcB2onF3vajUz60UHFmuo/edit?tab=t.0#heading=h.1pjjhslldpgx
経営者、委託元へのエスカレーションはこちらの「レポートの作成」が対応
https://docs.google.com/document/d/1R229UL2c670RNtFlFwA-NEdcB2onF3vajUz60UHFmuo/edit?tab=t.0#heading=h.qixr0atrcue
インシデントの実例はまだ無し。 |
| 28 | ISMS委員会 | A.5.27 | 全てのインシデントは「 社外秘_🔐インシデント台帳 」に記録し、原因・対応内容・再発防止策を明確にする。
インシデント発生後には必ずレビューを実施し、得られた教訓を関係者に共有する。
レビュー結果に基づき、必要に応じて規程や運用手順を改訂し、継続的改善を行う。
(対象:エアーズ株式会社) | 不適合 | ◯「全てのインシデントは「 社外秘_🔐インシデント台帳 」に記録し、原因・対応内容・再発防止策を明確にする。」
台帳は用意されている。
https://docs.google.com/spreadsheets/d/1U5IMNtqv6Fk4uS8LhFksl0tgtrtkgRixQwrDtN0KnSw/edit?gid=0#gid=0
インシデント対応マニュアルとして、インシデント台帳の更新が盛り込まれている。
https://docs.google.com/document/d/1R229UL2c670RNtFlFwA-NEdcB2onF3vajUz60UHFmuo/edit?tab=t.0#heading=h.qm9kez7pdu0l
✗「インシデント発生後には必ずレビューを実施し、得られた教訓を関係者に共有する。」
このステップがマニュアルに含まれていない。
✗「レビュー結果に基づき、必要に応じて規程や運用手順を改訂し、継続的改善を行う。」
レビューのステップがないのでこれも含まれていない。
インシデントの実例はまだ無し |
| 29 | ISMS委員会 | A.5.28 | インシデント対応にあたり、証拠となるログ・スクリーンショット・通信記録・端末イメージ等を適切に収集・保全する。
証拠は改ざん防止措置を施したうえで保存し、必要に応じて法的手続や監査に提供できる状態を維持する。
証拠の収集・保存に関する手順は「 MNL-002-セキュリティインシデント対応マニュアル(セキュリティチーム用) 」に従う。(対象:エアーズ株式会社) | 適合 | マニュアルはこちらを確認
https://docs.google.com/document/d/1R229UL2c670RNtFlFwA-NEdcB2onF3vajUz60UHFmuo/edit?tab=t.0
該当する記述はあるが、より具体的な手順がほしい。あるいはより具体的に判断、行動ができるような講習や実習など。
↓
従うべきものとして関係当局との連絡マニュアルにリンクがあり、それに従っていればOKと扱う |
| 30 | ISMS委員会 | A.5.29 | 管理責任者(経営者)は、組織全体を通じて事業継続のための活動を統括し、 事業継続に必要な情報セキュリティの要求事項を取り扱う管理された手続きおよび関連マニュアルを策定・維持する。(対象:エアーズ株式会社) | 適合 | 策定されたものは「MNL-004_安否確認・業務継続マニュアル(従業員向け)」としてまとまっている
https://docs.google.com/document/d/16KQVyXYwxCiRKac_a5M9YFUTPmJbxFwy1VYhTRFYCdw/edit?tab=t.0
経営者としての責務はこちら
https://docs.google.com/document/d/1YgtqMWsqpViUQWGty5flF9GLgeFScu3yQXaIx1_2oIg/edit?tab=t.0#heading=h.80v5x3gtjtkn
「手続きおよび関連マニュアルを策定・維持する」に相当するのは「その他、重要業務の遂行を継続するために必要な措置」に含まれる? |
| 31 | ISMS委員会 | A.5.31 | 関連する法令・規制・契約上の要求事項は「法規制リスト」として管理し、年1回以上見直す。(対象:エアーズ株式会社) | 適合 | https://9c8213134c3f9vr4hl.app.secure-navi.jp/requirements
年1回以上見直す規定もあり
https://docs.google.com/document/d/1g4srxNsKkY0OFLUGmQG8Vol92yrNBl6zvRiFAGjddCY/edit?tab=t.0#heading=h.bf9d848nf08i |
| 32 | ISMS委員会 | A.5.35
A.5.36
A.8.8 | 内部監査は原則として年1回以上実施し、内部監査の計画・実施を主導すること(対象:エアーズ株式会社) | 適合 | 実施中
https://9c8213134c3f9vr4hl.app.secure-navi.jp/internal_audits/1/conduct
来年以降は以下の規定があるので実施される
https://docs.google.com/document/d/1iYw6hJVyVMg7qAb9DLj8Cr-MHhbvdRHzyLsirXdGk3Y/edit?tab=t.0 |
| 33 | ISMS委員会 | 6.1 | リスク対応のプロセス(手順)を文書化している。 | 適合 | 上と同じ6.1だが必要?
項目が挙げられていることを確認
https://9c8213134c3f9vr4hl.app.secure-navi.jp/asset_risk_controls |
| 34 | ISMS委員会 | A.5.2 | 情報セキュリティの推進のために、「トップマネジメント」「ISMS責任者」「ISMS担当者」「内部監査責任者」「内部監査員」を選任する。(対象:エアーズ株式会社) | 適合 | それぞれ担当者が指定されていることを確認。
https://9c8213134c3f9vr4hl.app.secure-navi.jp/roles
https://docs.google.com/document/d/1iYw6hJVyVMg7qAb9DLj8Cr-MHhbvdRHzyLsirXdGk3Y/edit?tab=t.0#heading=h.dn0wm46avh67 |
| 35 | ISMS委員会 | A.5.3 | 1. 一つの誤りや不正が重大な影響を与える業務については、可能な限り職務を分離し、複数人体制で実施する。
2. 以下の業務は、必ず実行者と承認者を分離する:
- システムの設定変更・本番リリース
- 顧客向けの一斉メール送信
- マスターデータ更新
- 金銭・会計処理
3. 職務分離が困難な場合は、代替としてログ監査・ダブルチェックなどの統制を実施する。
(対象:エアーズ株式会社) | 適合 | 規定が存在することを確認
https://docs.google.com/document/d/1g4srxNsKkY0OFLUGmQG8Vol92yrNBl6zvRiFAGjddCY/edit?tab=t.0#heading=h.3bmniisa9127
実施した実績はなし |