2025年内部監査記録(開発業務部門)
編注: 本文中のSecureNavi URLは2026年の解約により失効。エクスポートは archive/securenavi/ を参照。
| 監査員 | 実施日 | 結果 | 承認者 | 承認日 |
|---|---|---|---|---|
| 鈴木 謙吾 | 2025-11-14 | 加藤 匡邦 | 2025-11-14 |
| No | 対象部門 | 項番 | 監査項目 | 適合・不適合 | コメント・改善の機会 |
|---|---|---|---|---|---|
| 1 | 開発業務部門 | A.5.15 A.5.16 A.5.18 | 貸与PCや業務用端末は必ず利用者本人専用とし、ゲストアカウントや共有アカウントの利用は禁止する(対象:貸与ノートPC) | 適合 | ゲスト無効を確認/不要なアカウントがないことを確認 https://docs.google.com/document/d/1cCKj3la0VrFHn1xOY5_5c12cJgSckn6mGNp7WM9sJiE/edit?tab=t.0 |
| 2 | 開発業務部門 | A.5.15 A.5.23 | SaaS等の情報システムへのアクセスは可能な限り、VPNまたはゼロトラスト対応のアクセス経路を用意し、経路を限定すること。(対象:エアーズ株式会社) | 適合 | https://dash.cloudflare.com/zones |
| 3 | 開発業務部門 | A.5.17 | 貸与PCおよび業務利用端末は、スリープ・休止・再起動後に必ずパスワードまたは同等の認証で再ログインを要求する設定とする。(対象:貸与ノートPC) | 適合 | パスワードを要求がONになっていることを確認 https://docs.google.com/document/d/1cCKj3la0VrFHn1xOY5_5c12cJgSckn6mGNp7WM9sJiE/edit?tab=t.0 |
| 4 | 開発業務部門 | A.5.18 | 「SaaS管理台帳」には、契約責任者・管理者アカウント・副管理者および利用者ごとのアカウント発行・削除の記録を記載する。(対象:AWSメインアカウント) | 適合 | https://itmc.i.moneyforward.com/airs/services |
| 5 | 開発業務部門 | A.5.22 | 契約中のサプライヤーについては、年1回以上レビューを行い、セキュリティ水準を確認する。 レビュー内容には以下を含める: アクセス権の適切性 契約遵守状況 インシデント発生履歴 提供サービスの変更内容 必要に応じて改善を要求し、対応状況を記録に残す。 サプライヤーのうち、SaaS・クラウドサービス提供者に関する選定、契約、監視レビュー、変更・終了時の評価および確認は、「 SaaS管理者台帳 」に記録し、証跡として維持しなければならない。(対象:エアーズ株式会社) | 適合 | https://9c8213134c3f9vr4hl.app.secure-navi.jp/suppliers 規定は確認 https://docs.google.com/document/d/1g4giXQ3dsWtm6xmuNdLWNdy1lXKLQAtqH7y5DBF-gQo/edit?tab=t.0 |
| 6 | 開発業務部門 | A.5.30 A.8.14 | 貸与用ノートPCの代替機の準備(対象:貸与ノートPC) | 適合 | 浜松オフィスに配備を確認 |
| 7 | 開発業務部門 | A.7.5 | 利用者に対し、来客に来客カードを付与し、着用させることを遵守させなければならない。(対象:浜松拠点) | 適合 | 浜松オフィスを確認 |
| 8 | 開発業務部門 | A.7.6 | 盗み見防止を考慮した設計を決定しなければならない。(対象:浜松拠点) | 適合 | 浜松オフィスを確認 |
| 9 | 開発業務部門 | A.7.7 | 利用者に対し、離席時の画面ロックや業務終了時のクリアデスクを徹底させなければならない。(対象:浜松拠点) | 適合 | 浜松オフィスを確認 |
| 10 | 開発業務部門 | A.7.8 | ネットワーク機器やサーバを従業員が容易に触れられない場所へ設置するようにしなければならない。(対象:浜松拠点ルーター) | 適合 | 浜松オフィスを確認 |
| 11 | 開発業務部門 | A.7.9 A.8.1 A.8.24 | 貸与PCやBYOD端末はストレージを暗号化すること。(対象:貸与ノートPC) | 適合 | 証跡を確認 https://drive.google.com/drive/folders/1SWBnnxNgIoCKPhTl7mPwBmfqWOw8fhPc |
| 12 | 開発業務部門 | A.7.11 | 停電やメンテナンスに備え、重要機器にUPSを設置するか代替策を準備しなければならない。(対象:浜松拠点) | 適合 | 浜松オフィスを確認(バッテリーの配備) |
| 13 | 開発業務部門 | A.7.12 | ケーブルが通路を跨がずに配線されるようにしなければならない。(対象:浜松拠点ルーター) | 適合 | 浜松オフィスを確認(配線が剥き出しの箇所はなし) |
| 14 | 開発業務部門 | A.8.1 | 遠隔ロック・遠隔ワイプ機能の有効化(対象:従業員スマートフォン) | 適合 | 遠隔ワイプできることを確認 |
| 15 | 開発業務部門 | A.8.1 A.8.5 | 画面ロック・認証設定を必須とする(対象:従業員スマートフォン) | 適合 | 認証があることを確認 |
| 16 | 開発業務部門 | A.5.8 | 1. 新規システム開発やサービス導入等のプロジェクトにおいては、企画段階から情報セキュリティを考慮する。 2. プロジェクト責任者は、必要に応じてISMS責任者によるレビューを受け、セキュリティ要件を満たすことを確認する。 (対象:エアーズ株式会社) | 適合 | 該当なし |
| 17 | 開発業務部門 | A.5.10 | 1. 当社の情報資産(PC、スマートフォン、クラウドサービス、ネットワーク、紙媒体等)には、それぞれ利用可能範囲を定める。 利用者は、この範囲を超えて私的利用・不正利用を行ってはならない。 2. 利用可能範囲は、関連する規程・マニュアルにおいて具体的に定め、必要に応じて見直す。 (対象:エアーズ株式会社) | 適合 | 記載を確認。 https://docs.google.com/document/d/1N-d4W3brUaFPmq36Ep8NVF68ycPasY9ZkI9N60tasTs/edit?usp=drive_web&ouid=109260109388981135128 |
| 18 | 開発業務部門 | A.5.11 A.6.5 | 退職・契約終了時には、すべての貸与資産を返却し、アカウントを返納する。 アカウントの返却や・私物端末の廃棄は資産台帳に記録し、証跡を残す。 (対象:エアーズ株式会社) | 適合 | 該当なし |
| 19 | 開発業務部門 | A.5.11 A.5.18 | 退職・契約終了・異動時には、原則1週間以内にアカウントを停止・削除し、台帳に記録すること。(対象:AWSメインアカウント) | 適合 | 該当なし |
| 20 | 開発業務部門 | A.5.12 | 当社の情報資産は、機密性の重要度に応じて次の3区分に分類する。 - 機密:漏えいすると取引先・顧客に重大な影響があるもの(個人情報、NDA対象情報等を含む) - 社外秘:漏えいすると当社の事業運営に大きな影響があるもの(社内資料、業務マニュアル等) - 公開:社外公開を前提とした情報(Webサイト、プレスリリース等)(対象:エアーズ株式会社) | 適合 | 分類ラベルが付いていることを確認 |
| 21 | 開発業務部門 | A.5.19 | 1. 新規サプライヤーの選定時には、情報セキュリティリスクを評価し、必要に応じてISMS責任者の承認を得ること。 2. 委託先評価基準は以下のとおりとする a. 情報セキュリティに関する第三者認証(ISO/IEC 27001, プライバシーマーク等)を取得していることを確認する b. 認証を取得していない場合は、IPA「5分でできる情報セキュリティ自社診断」への回答を依頼し、その回答内容を確認すること c. 提供サービスの信頼性(稼働実績、サポート体制 等) d. 個人情報・機密情報の取扱いに関するルール 3. これらの評価基準に基づいた選定が困難な場合は、責任者が総合的に判断し、判断理由を記録すること。(対象:エアーズ株式会社) | 適合 | 該当なし 規定は確認 https://docs.google.com/document/d/1g4giXQ3dsWtm6xmuNdLWNdy1lXKLQAtqH7y5DBF-gQo/edit?tab=t.0 |
| 22 | 開発業務部門 | A.5.20 | 1. 契約書または覚書には、次の事項を必ず含めるものとする: - 情報セキュリティに関する遵守義務 - 機密保持条項(NDA) - インシデント発生時の通知義務 - サービス終了時の情報返却・削除 2. 個人情報・要配慮個人情報を取り扱う場合は、個人情報保護法および関連ガイドラインに基づく条項を含めること。(対象:エアーズ株式会社) | 適合 | 該当なし 規程は確認 https://docs.google.com/document/d/1g4giXQ3dsWtm6xmuNdLWNdy1lXKLQAtqH7y5DBF-gQo/edit?tab=t.0 |
| 23 | 開発業務部門 | A.5.21 | 当社は、主要なサプライヤーがさらに外部の委託先(下請け、クラウド基盤ベンダー等)を利用する場合、その供給網における情報セキュリティリスクを考慮する。 必要に応じて、サプライヤーから利用する下請け先のセキュリティ水準や契約条件を確認し、当社の求める基準を満たすことを確認する。 サプライチェーンリスクが特定された場合は、契約上の制約、追加的な監視、代替策を講じる。 ※ ICTサプライチェーンセキュリティの考え方および具体的な評価フローの構築方法については、IPA「実務者のためのサプライチェーンセキュリティ(手引書/ハンドブック)」を参照すること。(対象:エアーズ株式会社) | 適合 | 該当なし 規程は確認 https://drive.google.com/drive/u/2/folders/1TRXkWX3EbVsB4fgYcbGttPDsZOMZGeMk |
| 24 | 開発業務部門 | A.5.32 | ソフトウェアを利用する場合は、事前に利用規約などを確認し、規約に違反する利用を防止する。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 25 | 開発業務部門 | A.5.33 | 法令や規制により一定期間の保管が求められる文書(経理関係書類、労務関係書類など)は、滅失や改ざんを防ぐため、適切なアクセス権のもとで所定の期間、保管しなければならない。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 26 | 開発業務部門 | A.5.34 | 事業において利用する個人情報は、個人情報保護法に基づいて管理を行う。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 27 | 開発業務部門 | A.5.37 A.8.32 | 重大な影響を及ぼす作業(バックアップ取得・復元、暗号化設定、重要サービス再起動、データ移行等、「機密性」「完全性」「可用性」に影響を与える作業)は、操作・リカバリー手順書を作成し、レビューをうけること。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 28 | 開発業務部門 | A.6.3 | 全従業員に対して、少なくとも年1回、情報セキュリティに関する教育・訓練を計画・実施する責任を負う。(対象:エアーズ株式会社) | 適合 | 2025/10/10実施済み https://drive.google.com/drive/u/2/folders/1b8Ee2hnwVqbv6EbvTivZviOiQIdd4BuG |
| 29 | 開発業務部門 | A.6.4 | 就業規則では、社内規程(情報セキュリティに関する規程を含む)に違反したときの懲戒手続きについて定めておく。(対象:エアーズ株式会社) | 適合 | https://docs.airs.co.jp/ |
| 30 | 開発業務部門 | A.6.5 | 従業員が退職・契約終了となるときは、「退職時の秘密保持に関する誓約書」を締結する、または、雇用契約書・業務委託契約書に退職・契約終了時の秘密保持に関して定めておくこと。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 31 | 開発業務部門 | A.6.5 A.6.8 A.7.14 A.8.10 | BYOD端末を廃棄または譲渡する場合は、必ず端末の初期化を行い、業務利用に伴う情報資産が残存しないようにしなければならない。 利用者は、BYOD利用申請にあたり、上記の初期化実施を含む利用条件に同意するものとする。(対象:従業員スマートフォン) | 適合 | 該当なし 規程 https://docs.google.com/document/d/1N-d4W3brUaFPmq36Ep8NVF68ycPasY9ZkI9N60tasTs/edit?tab=t.0 |
| 32 | 開発業務部門 | A.6.6 | 機密情報のやり取りは、原則として秘密保持契約(NDA)または守秘義務条項を含む契約を締結している組織とのみ行う。 ただし、個人情報その他法令や契約で制約されていない情報については、信頼できる組織に限り、契約締結前であっても情報をやり取りすることができる。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 33 | 開発業務部門 | A.6.7 A.8.1 | 喫茶店、駅、空港、ホテル等の不特定多数が利用可能な公共無線LAN(フリーWi-Fi)は利用を禁止する。 在宅勤務においては、自宅の固定回線等、利用者が管理する暗号化設定済みのネットワークを利用することができる。 委託元が業務利用を前提に提供する社内ネットワークは利用を許可する。 コワーキングスペースや宿泊施設等で提供されるネットワークを利用する場合は、暗号化(WPA2以上)が有効であり、かつ会社が許可したVPNを利用することを条件とする。 (対象:貸与ノートPC) | 適合 | 規程はあり、教育済み https://drive.google.com/drive/u/2/folders/1b8Ee2hnwVqbv6EbvTivZviOiQIdd4BuG |
| 34 | 開発業務部門 | A.6.8 | 紛失・盗難が発生した場合は、速やかに情報セキュリティ責任者に報告し、遠隔ロック・ワイプを実施する。(対象:従業員スマートフォン) | 適合 | 該当なし 規程 https://docs.google.com/document/d/1N-d4W3brUaFPmq36Ep8NVF68ycPasY9ZkI9N60tasTs/edit?tab=t.0 |
| 35 | 開発業務部門 | A.7.6 | 利用者に対し、執務エリア内での写真撮影は、情報の映り込みに配慮させなければならない。(対象:浜松拠点) | 適合 | 浜松オフィスを確認 |
| 36 | 開発業務部門 | A.7.9 A.8.1 | 社外で利用する場合、たとえ一時的であっても、無人状態で放置しない。(対象:貸与ノートPC) | 適合 | 教育済み |
| 37 | 開発業務部門 | A.7.9 A.8.1 A.8.24 | 貸与PCやBYOD端末はストレージを暗号化すること。(対象:従業員スマートフォン) | 適合 | 証跡を確認 https://drive.google.com/drive/folders/1SWBnnxNgIoCKPhTl7mPwBmfqWOw8fhPc |
| 38 | 開発業務部門 | A.7.10 | 利用者に対し、紙を使う業務を行った場合にはシュレッダーを利用させて処分させなければならない。(対象:エアーズ株式会社) | 適合 | 該当なし 浜松オフィスでシュレッダーの配備を確認 |
| 39 | 開発業務部門 | A.7.10 | 社外に持ち出す場合は、事前に責任者の許可を得る。(対象:浜松拠点ルーター) | 適合 | 規程あり https://docs.google.com/document/d/1EoDx6C9RsMi60sBkmyoSl-N1RMPS5Z61wU2eNuaMOGg/edit?tab=t.0 |
| 40 | 開発業務部門 | A.7.10 | 機密情報・社外秘情報が保存された状態で輸送する場合は、盗難や破損を防ぐため、適切な保護(例えば、配達記録が残る手法を用いた輸送方法を選択する、十分な梱包を行うなど)を実施する。(対象:浜松拠点ルーター) | 適合 | 規程あり https://docs.google.com/document/d/1EoDx6C9RsMi60sBkmyoSl-N1RMPS5Z61wU2eNuaMOGg/edit?tab=t.0 |
| 41 | 開発業務部門 | A.7.10 | 機密情報・社外秘情報が保存された状態で輸送する場合は、盗難や破損を防ぐため、適切な保護(例えば、配達記録が残る手法を用いた輸送方法を選択する、十分な梱包を行うなど)を実施する。(対象:委託元貸与PC) | 適合 | 規程あり https://docs.google.com/document/d/1N-d4W3brUaFPmq36Ep8NVF68ycPasY9ZkI9N60tasTs/edit?tab=t.0 |
| 42 | 開発業務部門 | A.7.10 | 機密情報・社外秘情報が保存された状態で輸送する場合は、盗難や破損を防ぐため、適切な保護(例えば、配達記録が残る手法を用いた輸送方法を選択する、十分な梱包を行うなど)を実施する。(対象:貸与ノートPC) | 適合 | 規程あり https://docs.google.com/document/d/1N-d4W3brUaFPmq36Ep8NVF68ycPasY9ZkI9N60tasTs/edit?tab=t.0 |
| 43 | 開発業務部門 | A.7.10 | 機密情報・社外秘情報が保存された状態で輸送する場合は、盗難や破損を防ぐため、適切な保護(例えば、配達記録が残る手法を用いた輸送方法を選択する、十分な梱包を行うなど)を実施する。(対象:従業員スマートフォン) | 適合 | 規程あり https://docs.google.com/document/d/1N-d4W3brUaFPmq36Ep8NVF68ycPasY9ZkI9N60tasTs/edit?tab=t.0 |
| 44 | 開発業務部門 | A.7.13 | サーバ・ネットワーク機器に関してベンダー推奨の周期でメンテナンスを行えるよう、契約・体制を決定しなければならない。(対象:浜松拠点ルーター) | 適合 | 規程あり https://docs.google.com/document/d/1EoDx6C9RsMi60sBkmyoSl-N1RMPS5Z61wU2eNuaMOGg/edit?tab=t.0 |
| 45 | 開発業務部門 | A.7.14 | 廃棄する場合は、社内で内部メモリを物理的に破壊するか、専門の廃棄業者に依頼する。(対象:浜松拠点ルーター) | 適合 | 規程あり https://docs.google.com/document/d/1EoDx6C9RsMi60sBkmyoSl-N1RMPS5Z61wU2eNuaMOGg/edit?tab=t.0 |
| 46 | 開発業務部門 | A.7.14 | 廃棄を専門の廃棄業者に依頼する場合は、廃棄証明書もしくはデータ消去証明書を受領する。(対象:浜松拠点ルーター) | 適合 | 規程あり https://docs.google.com/document/d/1EoDx6C9RsMi60sBkmyoSl-N1RMPS5Z61wU2eNuaMOGg/edit?tab=t.0 |
| 47 | 開発業務部門 | A.7.14 | 廃棄する場合は、社内で内部メモリを物理的に破壊するか、専門の廃棄業者に依頼する。(対象:貸与ノートPC) | 適合 | 規程あり https://docs.google.com/document/d/1EoDx6C9RsMi60sBkmyoSl-N1RMPS5Z61wU2eNuaMOGg/edit?tab=t.0 |
| 48 | 開発業務部門 | A.7.14 | 廃棄を専門の廃棄業者に依頼する場合は、廃棄証明書もしくはデータ消去証明書を受領する。(対象:貸与ノートPC) | 適合 | 規程あり https://docs.google.com/document/d/1EoDx6C9RsMi60sBkmyoSl-N1RMPS5Z61wU2eNuaMOGg/edit?tab=t.0 |
| 49 | 開発業務部門 | A.8.2 | 特権的アクセス権(管理者権限や、管理者ユーザーを含む)の付与は、必要最小限とする。(対象:GitHub) | 適合 | 確認済み |
| 50 | 開発業務部門 | A.8.2 | 特権的アクセス権を有する者にも、一般権限のアカウントを付与し、通常業務は一般権限のアカウントを利用する。(対象:GitHub) | 不適合 | Owner権限で通常業務をしている https://airswork.slack.com/files/UCGU5VA7N/F09PV53KJNN/____________________________2025-10-31_10.58.21.png |
| 51 | 開発業務部門 | A.8.2 | 特権的アクセス権(管理者権限や、管理者ユーザーを含む)の付与は、必要最小限とする。(対象:Google Workspace(全社利用)) | 適合 | 確認済み |
| 52 | 開発業務部門 | A.8.2 | 特権的アクセス権を有する者にも、一般権限のアカウントを付与し、通常業務は一般権限のアカウントを利用する。(対象:Google Workspace(全社利用)) | 不適合 | admin権限での通常業務をしている。 https://airswork.slack.com/files/UCGU5VA7N/F09PT25BJ0N/____________________________2025-10-31_10.48.17.png https://airswork.slack.com/files/UCGU5VA7N/F09PYM1P1DJ/____________________________2025-10-31_10.57.55.png |
| 53 | 開発業務部門 | A.8.2 | 特権的アクセス権(管理者権限や、管理者ユーザーを含む)の付与は、必要最小限とする。(対象:Slack(全社利用)) | 適合 | 最小限であることを確認 https://airswork.slack.com/archives/C09NDAH9BEW/p1761868318613289?thread_ts=1761290500.786739&cid=C09NDAH9BEW |
| 54 | 開発業務部門 | A.8.2 | 特権的アクセス権を有する者にも、一般権限のアカウントを付与し、通常業務は一般権限のアカウントを利用する。(対象:Slack(全社利用)) | 不適合 | プライマリーオーナー権限で通常業務を行っている。 https://airswork.slack.com/archives/C09NDAH9BEW/p1761868318613289?thread_ts=1761290500.786739&cid=C09NDAH9BEW |
| 55 | 開発業務部門 | A.8.2 | 特権的アクセス権(管理者権限や、管理者ユーザーを含む)の付与は、必要最小限とする。(対象:社内Wiki(全社利用)) | 適合 | 最低限であることを確認 https://airswork.slack.com/files/UCGU5VA7N/F09PSGBMY06/____________________________2025-10-31_8.53.42.png |
| 56 | 開発業務部門 | A.8.2 | 特権的アクセス権を有する者にも、一般権限のアカウントを付与し、通常業務は一般権限のアカウントを利用する。(対象:社内Wiki(全社利用)) | 適合 | 設定できない。 解約予定のため、今回は対象外 |
| 57 | 開発業務部門 | A.8.2 | 特権的アクセス権(管理者権限や、管理者ユーザーを含む)の付与は、必要最小限とする。(対象:ChatGPT) | 適合 | 設定できない |
| 58 | 開発業務部門 | A.8.2 | 特権的アクセス権を有する者にも、一般権限のアカウントを付与し、通常業務は一般権限のアカウントを利用する。(対象:ChatGPT) | 適合 | 設定できない |
| 59 | 開発業務部門 | A.8.3 | 利用者アカウントのログイン元は、安全が確認されたネットワーク経路(VPN、ゼロトラストアクセス等)に限定し、不特定の環境からのアクセスを禁止する。(対象:AWSメインアカウント) | 不適合 | VPN経由以外でもアクセスできる |
| 60 | 開発業務部門 | A.8.4 | 1. ソースコード管理は バージョン管理システム(GitHub等)で一元管理する。 2. ソースコードへのアクセスは、最小権限の原則に基づき、業務上必要な人のみにアカウント付与・アクセス権限の限定を行う。 3. リポジトリは原則プライベートとし、公開が必要な場合は承認を得る。 4. 外部委託先へのアクセス付与は契約条項に基づき、利用終了後は速やかに削除する。 5. コードレビューを必須とし、直接の本番ブランチ(例:main/master)へのコミットは禁止する。 (対象:エアーズ株式会社) | 適合 | 該当なし |
| 61 | 開発業務部門 | A.8.4 | 管理者は、業務上必要最小限(Least Privilege)の原則に基づき、利用者にアクセス権を付与する。(対象:GitHub) | 適合 | 設定済み |
| 62 | 開発業務部門 | A.8.5 | 管理者は、SaaS・クラウドサービスにおける認証方式を以下の優先順位に従って設定しなければならない。 Googleアカウント( @airs.co.jp)によるシングルサインオン(SSO)パスキー認証(対応サービスに限る) 多要素認証(MFA) (対象:AWSメインアカウント) | 適合 | 設定済み |
| 63 | 開発業務部門 | A.8.5 | 管理者は、SaaS・クラウドサービスにおける認証方式を以下の優先順位に従って設定しなければならない。 Googleアカウント( @airs.co.jp)によるシングルサインオン(SSO)パスキー認証(対応サービスに限る) 多要素認証(MFA) (対象:委託元提供クラウドサービス) | 適合 | 教育済み |
| 64 | 開発業務部門 | A.8.5 | 管理者は、SaaS・クラウドサービスにおける認証方式を以下の優先順位に従って設定しなければならない。 Googleアカウント( @airs.co.jp)によるシングルサインオン(SSO)パスキー認証(対応サービスに限る) 多要素認証(MFA) (対象:GitHub) | 適合 | 設定済み |
| 65 | 開発業務部門 | A.8.5 | 管理者は、SaaS・クラウドサービスにおける認証方式を以下の優先順位に従って設定しなければならない。 Googleアカウント( @airs.co.jp)によるシングルサインオン(SSO)パスキー認証(対応サービスに限る) 多要素認証(MFA) (対象:Google Workspace(全社利用)) | 適合 | 設定済み |
| 66 | 開発業務部門 | A.8.5 | 管理者は、SaaS・クラウドサービスにおける認証方式を以下の優先順位に従って設定しなければならない。 Googleアカウント( @airs.co.jp)によるシングルサインオン(SSO)パスキー認証(対応サービスに限る) 多要素認証(MFA) (対象:Slack(全社利用)) | 適合 | 設定済み |
| 67 | 開発業務部門 | A.8.5 | 管理者は、SaaS・クラウドサービスにおける認証方式を以下の優先順位に従って設定しなければならない。 Googleアカウント( @airs.co.jp)によるシングルサインオン(SSO)パスキー認証(対応サービスに限る) 多要素認証(MFA) (対象:社内Wiki(全社利用)) | 適合 | 設定済み |
| 68 | 開発業務部門 | A.8.5 | 管理者は、SaaS・クラウドサービスにおける認証方式を以下の優先順位に従って設定しなければならない。 Googleアカウント( @airs.co.jp)によるシングルサインオン(SSO)パスキー認証(対応サービスに限る) 多要素認証(MFA) (対象:ChatGPT) | 適合 | 設定済み |
| 69 | 開発業務部門 | A.8.6 A.8.16 | 1. システムは予測される利用量を考慮し、容量・性能を定期的に監視する。 2. 容量不足・性能劣化の兆候がある場合は、速やかにスケールアップ/スケールアウト等を検討する。 (対象:エアーズ株式会社) | 適合 | 該当なし |
| 70 | 開発業務部門 | A.8.7 A.8.32 | 1. 開発・運用に利用するソフトウェアやライブラリは、正規の配布源から入手し、改ざんや不正なコード混入がないことを確認する。 2. 依存関係や取得したソフトウェアの完全性は固定・検証し、不審な変更が検出された場合は利用を停止する。(対象:社内工数管理システム) | 適合 | 該当なし |
| 71 | 開発業務部門 | A.8.8 | インストールするOSやソフトウェアは、常に最新のバージョンを利用する。何らかの理由で、最新のバージョンを利用できない場合は、現在利用しているバージョンにぜい弱性がないことを確認する。(対象:貸与ノートPC) | 適合 | 個人別資産台帳更新済み https://drive.google.com/drive/folders/1SWBnnxNgIoCKPhTl7mPwBmfqWOw8fhPc |
| 72 | 開発業務部門 | A.8.9 | 機器管理台帳を作成し、社内で利用している機器と、その情報(インストールされているOSやソフトウェア、有効なセキュリティ設定など)を管理する。(対象:貸与ノートPC) | 適合 | https://itmc.i.moneyforward.com/airs/devices/pc |
| 73 | 開発業務部門 | A.8.10 | リモートワイプ機能の有効化(対象:貸与ノートPC) | 適合 | 設定されていることを確認 |
| 74 | 開発業務部門 | A.8.11 | 個人情報の利活用を行う場合は、個人情報保護法に基づき、仮名化もしくは匿名化を行う必要がないかを確認し、必要に応じて実施する。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 75 | 開発業務部門 | A.8.13 | 故障に備え、保存される情報は、定期的に、クラウドサービスへのアップロードもしくは別媒体へのバックアップを行う。(対象:貸与ノートPC) | 適合 | ローカルに重要情報がない |
| 76 | 開発業務部門 | A.8.14 | 1. 本番環境は障害発生時に事業継続できるよう、クラウドサービス等の冗長構成を基本とする。 2. 単一障害点(SPOF)が存在しないよう設計・レビューを行うこと。 ただし、システムの重要度や予算等に応じて、短時間の停止が許容される場合は、必要最小限の構成(例:開発環境のNATゲートウェイを単一構成とするなど)も認める。 3. 冗長化を行わずSPOFを許容する場合は、その理由と影響範囲を文書化し、システムの責任者の承認を得て関係者間で共有すること。 (対象:エアーズ株式会社) | 適合 | 該当なし |
| 77 | 開発業務部門 | A.8.15 | 1. システムはアクセスログ・操作ログを可能な限り取得する。 2. ログにはユーザーID、操作内容、実行日時、接続元情報を含める。 (対象:Google Workspace(全社利用)) | 適合 | ログ取得されていることを確認 https://airswork.slack.com/files/UCGU5VA7N/F09PR3DHQBX/google_2025-10-31_8.45.53.png |
| 78 | 開発業務部門 | A.8.17 | サーバ・システムは信頼できるNTPサーバと同期し、ログの時刻整合性を保つ。(対象:社内工数管理システム) | 適合 | ルーター等はNTP設定あり |
| 79 | 開発業務部門 | A.8.18 | OSやDB等の特権的ユーティリティは、正当な業務に限って利用する。 利用記録を残し、証跡を保存する。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 80 | 開発業務部門 | A.8.20 A.8.22 | ネットワークを通過する情報を鑑み、適切なネットワーク分離を行う(来客用ネットワークと業務用ネットワークの分離、社内利用ネットワークと社外向けサービス用ネットワークの分離など)。(対象:浜松拠点来訪者用ネットワーク) | 適合 | 浜松オフィスを確認 |
| 81 | 開発業務部門 | A.8.21 | 公開するサービスは必要最小限に限定し、不要なポートやサービスは停止する。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 82 | 開発業務部門 | A.8.22 | 管理用ドメイン(例:admin.example.com)は、公開用ドメインとは別に設ける。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 83 | 開発業務部門 | A.8.24 | データベースやストレージに保存する情報は、必要に応じて暗号化を適用する。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 84 | 開発業務部門 | A.8.25 A.8.28 | 企画・設計段階からセキュリティ要件を考慮し、設計レビューで確認する。(対象:社内工数管理システム) | 適合 | 該当なし |
| 85 | 開発業務部門 | A.8.26 | システム要件には認証・暗号化・監査ログなどのセキュリティ要件を含める。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 86 | 開発業務部門 | A.8.27 | システム設計は分離・冗長化・最小権限を基本とし、セキュリティレビューを経る。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 87 | 開発業務部門 | A.8.28 | 開発者は安全なコーディング規約を遵守し、静的解析やコードレビューで確認する。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 88 | 開発業務部門 | A.8.29 | 開発・受入時に脆弱性診断、セキュリティテストを行い、結果を記録する。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 89 | 開発業務部門 | A.8.31 | 開発・テスト環境には、一般の利用者(社外・顧客等)が直接接続できないようにする。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 90 | 開発業務部門 | A.8.32 | 1. ソースコード管理は バージョン管理システム(GitHub等)で一元管理する。 2. ソースコードへのアクセスは、最小権限の原則に基づき、業務上必要な人のみにアカウント付与・アクセス権限の限定を行う。 3. リポジトリは原則プライベートとし、公開が必要な場合は承認を得る。 4. 外部委託先へのアクセス付与は契約条項に基づき、利用終了後は速やかに削除する。 5. コードレビューを必須とし、直接の本番ブランチ(例:main/master)へのコミットは禁止する。(対象:社内工数管理システム) | 適合 | 該当なし |
| 91 | 開発業務部門 | A.8.34 | システム監査やぜい弱性診断を行う場合は、原則、本番環境と構成を同じくした、異なる環境で実施する。やむを得ず本番環境にて行う場合は、システムの運用に影響がないよう十分に注意する。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 92 | 開発業務部門 | A.5.13 | 1. 分類された情報資産には、その区分を識別できるように適切なラベル付けを行う。 ラベル付けの方法は以下を原則とする。 - 機密:文書やファイルのヘッダーまたはフッターに「機密」と明記する - 社外秘:文書やファイルのヘッダーまたはフッターに「社外秘」と明記す - 公開:ラベル付けは不要。ただし公開前に責任者による承認を得ること 2. ラベル付けが困難な情報(例:口頭伝達、システム内データ等)については、分類に応じたアクセス制御、暗号化、利用者教育などの代替措置を講じる。(対象:エアーズ株式会社) | 適合 | 分類ラベルが付いていることを確認 |
| 93 | 開発業務部門 | A.5.14 A.8.24 | 業務で利用する情報は、必ず暗号化通信(HTTPS、VPN、TLS等)を用いて送信すること。(対象:エアーズ株式会社) | 適合 | 規程されている https://docs.google.com/document/d/1N-d4W3brUaFPmq36Ep8NVF68ycPasY9ZkI9N60tasTs/edit?usp=drive_web&ouid=109260109388981135128 |
| 94 | 開発業務部門 | A.6.1 A.6.2 | 1. 採用にあたり、必要に応じて職務適性や経歴確認を行うこと。 2. 雇用契約・業務委託契約には秘密保持条項を含めること。 3. 受託案件で委託元が定めるチェック要件がある場合は、それに従うこと。 4. 採用前に候補者の情報セキュリティおよびコンプライアンス意識を確認し、当社の求める基準に満たない場合は採用を見送ること。 (対象:エアーズ株式会社) | 適合 | 該当なし |
| 95 | 開発業務部門 | A.7.2 | 利用者に対し、執務エリアへの来客を含めた従業者以外の入室は原則禁止し、入室の必要がある場合は、従業者が必ず帯同することを遵守させなければならない。(対象:浜松拠点) | 適合 | 浜松オフィスを確認 |
| 96 | 開発業務部門 | A.8.12 | 外部にファイルを送信したり共有する機能がある場合は、その機能の操作ログの取得、あるいは利用禁止などの措置により、意図しない情報の外部漏えいを防止する。(対象:Google Workspace(全社利用)) | 適合 | 操作ログの記録は確認 添付ファイルの送信データを保存できる方法があるようなので設定できるかを確認する |
| 97 | 開発業務部門 | A.8.19 | 本番環境におけるソフトウェアの変更(リリース、利用しているソフトウェアの変更やバージョンアップなど)は、変更が失敗したときに切り戻し(ロールバック)ができるようにする。(対象:エアーズ株式会社) | 適合 | 該当なし |
| 98 | 開発業務部門 | A.8.23 | 業務に関係のないWebサイトにはアクセスを行わない。(対象:貸与ノートPC) | 適合 | 規定あり |
| 99 | 開発業務部門 | A.7.5 | 地震等への備えとして、社内の電子機器類には転倒防止のための対策を行わなければならない。(対象:浜松拠点) | 適合 | 浜松オフィスを確認 |
| 100 | 開発業務部門 | A.5.23 | クラウドサービス利用にあたっては、特段の定めのない限り、以下のガイドラインに基づいて選定・契約・運用を行わなければならない。 IPA「中小企業のためのクラウドサービス安全利用の手引き」 IPA「クラウドセキュリティの歩き方」 総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(対象:エアーズ株式会社) | 適合 | 該当なし |
