キリフダ株式会社

SECURITY POLICY

情報セキュリティ方針・規程

キリフダ株式会社の情報セキュリティ方針・規程です。

資料を請求する
無料で相談する

本規定は、当社が提供するサービスにおける情報セキュリティの確保を目的とし、情報資産の機密性、完全性、可用性を維持するために必要な事項を定める。

第1章 総則

第1.1条(目的)

本規定は、当社が提供するサービスにおける情報セキュリティの確保を目的とし、情報資産の機密性、完全性、可用性を維持するために必要な事項を定める。

第1.2条(適用範囲)

本規定は、当社の全役員および従業員、業務委託先に適用する。

第1.3条(定義)

  • 情報セキュリティ最高責任者:代表取締役
  • 情報セキュリティ責任者:CTO
  • 情報資産:当社が保有・管理するすべての情報およびそれを処理するシステム
  • 内部監査チーム:取締役を中心として構成される監査チーム

第1.4条(方針のレビューと周知)

  1. 本規定は年1回以上見直しを行い、必要に応じて改定する
  2. 本規定は全従業員に周知し、新入メンバーには参画時に教育実施する
  3. 規定の改定時は速やかに全従業員に周知する

第2章 組織・体制

第2.1条(役割と責任)

1. 情報セキュリティ最高責任者(代表取締役)

  • 情報セキュリティ方針の最終承認
  • セキュリティインシデント発生時の対外対応責任
  • 内部監査チームの監査責任者

2. 情報セキュリティ責任者(CTO)

  • 本規定の策定・改定
  • 日常的なセキュリティ運用の管理
  • アクセス権限の管理・承認
  • セキュリティ教育の実施
  • インシデント対応の初動対応
  • 脆弱性管理・ソースコードレビュー
  • 内部監査計画の策定(独立性担保のため、実行は内部監査チームとする)

第3章 脅威情報管理

第3.1条(攻撃手法情報の収集)

1. 情報収集対象

  • CVE、IPA、各種クラウドベンダーのセキュリティ情報
  • Dependabot等の自動収集ツール

2. 収集頻度

  • 四半期ごとの定期情報収集
  • 自動ツールのアラート対応

3. 対応方針

  • 原則、IaaSを利用しないこと
  • システムインフラはPaaSあるいはSaaSを用いて構築を行い、ミドルウェア以下の管理をクラウドプロバイダー責任範囲とすること

第4章 データ管理

第4.1条(データ分類と取扱い)

1. 機密情報の分類

  • 公開:マーケティング資料等
  • 社外秘:設計書、顧客情報等
  • 機密:認証情報、暗号化キー等

2. 取扱い方法

  • 機密情報は必ずクラウドプロバイダーのシークレットマネージャーで管理
  • 各種クレデンシャルは情報セキュリティ責任者がアクセス権限管理を実施

第4.2条(データのエクスポート・ポータビリティ)

  1. 自社提供SaaSにおけるユーザー領域データは顧客依頼に基づき出力を想定する(利用顧客リスト等)
  2. システム領域データは原則として出力不可の対応とする(インシデント対応において顧客から契約上の責務として要求されるケースは例外とする)

第5章 アクセス制御

第5.1条(アクセス制御の基本方針)

  1. 最小権限の原則(PoLP: Principle of Least Privilege)に基づき情報セキュリティ責任者が管理すること
  2. 個人アカウントの利用を原則とし、共有アカウントを使用しないこと
  3. アクセス権限は情報セキュリティ責任者の管理・承認により付与・変更・削除をおこなうこと

第5.2条(アカウント管理)

1. 新規アカウント発行

  • PoLPに準じて業務上必要な範囲を事前にアセスメントしアクセス権を付与すること
  • 情報セキュリティ責任者による事前承認を必須とする

2. アカウントの定期レビュー

  • 年に1回以上、アクセス権限の棚卸を実施すること
  • 不要となったアカウントは速やかに削除すること

3. 退職・異動時の処理

  • メンバー増減の都度、当日中にすべてのアクセス権限を適切に削除・修正すること

第5.3条(認証管理)

1. 秘密認証情報の管理

  • 社内の認証基盤は信頼のおける外部プロバイダーサービスを利用すること
    • 対象プロバイダーはGoogleおよびGitHubとする
    • 組織レベルで多要素認証の設定を必須とする

2. サービス利用者向け認証

  • toBサービス:Googleアカウント情報による申請・認証
  • toCサービス:LINEプラットフォームによる認証

3. パスワード管理

  • 原則、パスワードをサービスDBに保存しないこと
  • 外部API等のクレデンシャル管理が必要な場合は、クラウドプロバイダーのシークレットマネージャーあるいはそれに準じる手段を利用すること

第6章 委託先管理

第6.1条(外部関係者との合意)

  1. 外部関係者との情報共有時は必ずNDAを締結すること
  2. クラウドプロバイダー等のPaaS・SaaSについては契約時にセキュリティポリシーを確認すること
  3. 各サービスの規定改定通知に応じて不定期での変更点チェックを実施すること

第7章 インシデント管理

第7.1条(インシデント対応体制)

1. エスカレーション経路

発見者 → 情報セキュリティ責任者(CTO) → 代表取締役(CEO)

2. 対応手順

影響範囲評価 → 初動対応 → 顧客報告 → 復旧作業 → 事後分析

第7.2条(サービス利用者への報告)

1. 顧客に影響する可能性がある場合は原則24時間以内に第一報を実施

2. 報告方法

  • toC利用者:LINEメッセージによる通知
  • toB利用者:メールおよび電話による個別連絡

第7.3条(インシデントからの学習と改善)

1. 再発防止策

  • 再発防止策の策定・システム改修
  • 規定・手順の見直し・改善
  • 類似インシデント防止のためのシステム改修

2. 対応訓練

  • 年1回以上のインシデント対応訓練を実施すること
  • シナリオベース模擬訓練(データ漏洩、システム停止等)
  • 対応手順の確認・改善点の抽出
  • 社内連絡体制・顧客報告手順の実地確認

第8章 事業継続性

第8.1条(情報セキュリティ継続計画)

  1. 原則、ゾーン冗長以上でのデータ冗長性担保を行うこと
  2. 提供サービスはDDoS攻撃対策を含む基盤でホスティングすること(WAFは顧客の要求に応じて必要なら実装すること)

第9章 監査・レビュー

第9.1条(内部監査)

1. 内部監査チーム構成

  • 監査責任者:代表取締役(CEO)
  • 監査実行:取締役を中心として都度組成

2. 監査内容・頻度

  • 年次でセキュリティ規定遵守状況をチェック
  • アクセス権限管理、インシデント対応記録等の確認
  • チェックリストベースでの監査実施

第9.2条(サービス管理状況のレビュー)

  1. 情報セキュリティ責任者による年1回以上の管理状況確認
  2. 本規定の遵守状況・改善必要項目の特定・対策実施

第9.3条(ソースコードレビュー)

情報セキュリティ責任者によるコードレビューを本番リリース前に必須実施

第10章 運用管理

第10.1条(操作手順書)

  1. 原則プロセス自体を自動化すること
  2. 手動操作が必要な部分は手順ドキュメントを用意し、関係者が参照可能とするすること

第10.2条(特権管理)

  1. 特権を利用した操作は例外時のみ特別に実施し、平常時は厳に慎むこと
  2. 運用者への特権付与は行わず、管理者のみが実施すること
  3. 特権IDは情報セキュリティ責任者のみが保持し、決して運用者に付与しないこと

第10.3条(変更管理)

1. システム運用変更

  • 情報セキュリティに影響する変更は情報セキュリティ責任者が管理すること

2. システム・ネットワーク変更

  • 変更作業の計画・テスト結果レビュー
  • セキュリティ機能の確認
  • 想定外影響の確認
  • 情報セキュリティ責任者によるレビュー実施

第10.4条(サービス変更通知)

  • 本稿初版の施行以降、toC利用者への変更通知を計画すること
  • toB契約者に対して重要な変更・メンテナンスは個別に通知すること

第11章 教育・訓練

第11.1条(セキュリティ教育)

  1. 全従業員に年1回以上の情報セキュリティ教育を実施すること
  2. 新入メンバーには参画時に本規定の教育を実施すること
  3. 本規定を教育資料とし、年1回の見直し・更新を実施すること

第11.2条(セキュリティ事象の報告)

セキュリティ事象は発見者が直ちに情報セキュリティ責任者に報告する体制とすること

第12章 物理的・技術的管理策

第12.1条(物理的管理)

  1. クラウドサービスを利用し、アカウント権限管理により制御すること
  2. オンプレ資産は原則保有しないこと(物理的入退管理等を不要とするため)
  3. 執務室は原則リモートワークを標準とする
  4. オフィス利用は取締役・役員のみを原則とし、かつ代表取締役が施錠管理を行うこと

第12.2条(環境分離)

  • 開発・検証・本番環境は論理的に分離し、相互のデータアクセスを制限すること

第12.3条(マルチテナント分離)

  • 最低限、アプリケーション内ミドルウェアレベルでのテナントID別データ出し分けを実装し、他テナントデータへのアクセスを技術的に防止すること
  • 重要な分離に関しては行レベル分離などの技術を活用してより厳密な権限分離をおこなうこと

第12.4条(特権アクセス制限)

  1. 特に重要な情報(顧客データ・暗号化キー・認証情報)へのアクセスは情報セキュリティ責任者が管理すること

第12.5条(認証強化)

1. 管理アクセス時の多要素認証

  • ID/PW認証 + 生体認証 または オーセンティケーターアプリでのワンタイムパスワード認証を必須とする

2. 連続ログオン失敗対応

  • GoogleおよびGitHubの組織セキュリティルールにより制御

3. セッション管理

  • 各プロバイダーが発行するアクセストークン期限に準拠

第12.6条(不正ログイン対策)

  1. DDoS対策・レート制限を実装
  2. 多要素認証対応(GoogleおよびLINEプラットフォーム機能活用)

第12.7条(マルウェア対策)

運用端末(Mac OS)にOS標準のマルウェア対策機能を有効化し、定期的なセキュリティアップデートを適用

第13章 脆弱性管理

第13.1条(技術的脆弱性管理)

1. 対応期間

  • Critical:24時間以内
  • High:1週間以内
  • Medium:1ヶ月以内
  • Low:3ヶ月以内

2. 脆弱性報告

  • 顧客に影響する重大な脆弱性発見時は原則24時間以内に報告

第13.2条(脆弱性診断)

1. アプリケーション診断

  • 年1回以上:情報セキュリティ責任者によりOWASP ZAP等の信頼のおける外部ツールを利用して実施すること
  • 顧客向け個別開発:第三者専門機関による診断併用

2. リリース時診断

  • システムロジック変更・新規API追加時は情報セキュリティ責任者によるコードレビュー・脆弱性チェックを必須とする

3. 是正措置

  • Critical脆弱性は即座対応、リリース前環境での検証・修正必須

第14章 ログ管理

第14.1条(ログ取得)

  1. 利用システムで対応している場合、必ず監査ログを取得する設定を有効にすること

第14.2条(ログ確認)

  1. システム要員の操作ログを不定期で確認すること
  2. 重要操作は情報セキュリティ責任者以外のアクセスを制限すること

第14.3条(時刻管理)

  1. 原則サーバー時刻を利用する処理を避けること(例:日時情報はDB側タイムスタンプに準拠し整合性を担保する等)

第15章 リモートワーク・BYOD規程

第15.1条(BYOD利用条件)

許可デバイス

  • 原則、macOSとする

セキュリティ要件

1. OS・ソフトウェア更新
  • 自動更新を有効化すること
  • セキュリティパッチを遅滞なく適用すること
2. パスワード・認証
  • デバイスロックの設定を必須とする(PIN、パスワード、生体認証)
  • パスワード管理ツールの利用必須とする

第15.2条(リモートワーク環境)

ネットワークセキュリティ

  • 公衆Wi-Fi使用時は、原則VPNを使用すること
  • リモートワーク時、自宅Wi-Fiは原則WPA3暗号化を利用すること

物理的セキュリティ

  • 原則、リモートワーク時は自宅で作業すること
  • やむを得ず自宅または自社オフィス以外を作業場所とする場合、第三者による覗き見防止手段を講じること
  • 機密情報の印刷を禁じる

第16章 付則

第16.1条(施行日)

本規程は、2025年8月30日より施行する。

第16.2条(改訂)

本規程の改訂は、情報セキュリティ責任者の提案により、代表取締役の承認を得て行う。

第16.3条(罰則)

本規程に違反した場合は、就業規則に基づき適切な措置を講ずる。

以上

制定日: 2025年8月30日

最終改訂: 2025年8月30日

承認者: 代表取締役 赤川英之