株式会社Ringfish
情報セキュリティポリシー
2020/04/22 制定
1
組織的対策
<制定日>
2020/04/22
<適用範囲>
全社・全従業員
1.情報セキュリティのための組織
情報セキュリティ対策を推進するための組織として、情報セキュリティ責任者を設置する。
情報セキュリティ責任者
情報セキュリティに関する責任者。情報セキュリティ対策などの決定権限を有するとともに、全責任を負う。
2.情報セキュリティ取組みの監査・点検/点検
情報セキュリティ責任者は、情報セキュリティ関連規程の実施状況について、9月に点検を行う。情報セキュリティ責任者は、点検結果に基づき、以下の点を考慮し、必要に応じて改善計画を立案する。
情報セキュリティ関連規程が有効に実施されていない場合は、その原因の特定と改善
情報セキュリティ関連規程に定められたルールが、新たな脅威に対する対策として有効でない場合は、情報セキュリティ関連規程の改訂
情報セキュリティ関連規程に定められたルールが、関連法令や取引先の情報セキュリティに対する要求を満たしていない場合は、情報セキュリティ関連規程の改訂
3.情報セキュリティに関する情報共有
情報セキュリティ責任者は、新たな脅威及び脆弱性に関する警戒情報及び個人情報の保護に関する情報を専門機関等から適時に入手し、施策に反映する。
<専門機関>
・独立行政法人情報処理推進機構(略称:IPA)
https://www.ipa.go.jp/security/
https://www.ipa.go.jp/security/kokokara/
・JVN(Japan Vulnerability Notes)
・一般社団法人 JPCERT コーディネーションセンター(略称:JPCERT/CC)
・個人情報保護委員会
2
情報資産管理
<制定日>
2020/04/22
<適用範囲>
全社・全従業員
1.情報資産の管理
1.1情報資産の特定と機密性の評価
当社事業に必要で価値がある情報及び個人情報(以下「情報資産」という)を特定し、「情報資産管理台帳」に記載する。情報資産の機密性は、以下の基準に従って評価する。
<機密性2:極秘>
法律で安全管理が義務付けられている
守秘義務の対象として指定されている
限定提供データ(一定の条件を満たす特定の外部者に提供すること を目的とする情報)として指定されている
営業秘密(秘密として管理されているもの)として指定されている
漏えいすると取引先や顧客に大きな影響がある
<機密性1:社外秘>
漏えいすると事業に大きな影響がある
<機密性0:公開>
漏えいしても事業にほとんど影響はない
1.2情報資産の分類の表示
情報資産の機密性は以下の方法で表示する。
電子データ:保存先サーバーのフォルダー名に表示
書類:保管先キャビネット、ファイル、バインダーに表示
1.3情報資産の管理責任者
情報資産の取り扱い関する情報セキュリティの運用管理責任者は、情報セキュリティ責任者とする。
2.情報資産の社外持ち出し
情報資産を社外に持ち出す場合には、以下を実施する。
ノートパソコン、スマートフォン、タブレットに保存して持ち出す場合は、セキュリティロックを設定する。
USBメモリ、HDD等の電子媒体に保存して持ち出す場合は、不要データは全て完全消去専用ツールで消去し、持ち出すデータを暗号化する。
屋外でネットワークへ接続して極秘又は社外秘の情報資産を送受信する場合は、暗号化する。
携行中は常に監視可能な距離を保つ。
3.媒体の処分
3.1媒体の廃棄
社外秘又は極秘の情報資産を廃棄する場合は以下の処分を行う。
書類・フィルム
細断/溶解/焼却
USBメモリ・HDD・CD・DVD
破壊/細断/完全消去
OSによる削除・クイックフォーマットは不可
3.2媒体の再利用
極秘又は社外秘の情報資産を保存した媒体を再利用する場合は、以下の処分を行う。
書類
裏紙再利用禁止
USBメモリ・HDD・CD-RWディスク・DVD-RWディスク
完全消去後再利用
OSによる削除・クイックフォーマットは不可
CD-R・DVD-R
再利用不可
4.クラウドサービスを利用したバックアップ
クラウドサービスを利用し、外部のサーバーにバックアップを保存する場合は、以下のサービス要件を確認し、導入する。
<サービス要件>
サービス提供者のサービス利用約款、情報セキュリティ方針が、当社の情報セキュリティ関連規程に適合している。
当社事業所がある地域で発生する震災、水害等の影響を受けない地域の施設であること。
3
アクセス制御及び認証
<制定日>
2020/04/22
<適用範囲>
全社・全従業員
1.アクセス制御方針
社外秘又は極秘の情報資産を扱う情報システム又はサービスに対するアクセス制御は以下の方針に基づいて運用する。
利用者の業務・職務に応じた必要最低限のアクセス権を付与する。
2.利用者の認証
社外秘又は極秘の情報資産を扱う社内情報システムは、以下の方針に基づいて利用者の認証を行う。
利用者の認証に用いるアカウントは、利用者1名につき1つを発行する。
複数の利用者が共有するアカウントの発行を禁止する。
3.利用者アカウントの登録
利用者の認証に用いるアカウントは、代表取締役又は情報セキュリティ責任者の承認に基づき登録する。
4.利用者アカウントの管理
利用者の認証に用いるアカウントが不要になった場合、情報セキュリティ責任者は、当該アカウントの削除又は無効化を、当該アカウントが不要になる日の翌日までに実施する。
5.パスワードの設定
利用者の認証に用いるパスワードは、以下に注意して設定する。。
十分な強度のあるパスワードを用いる。
他者に知られないようにする。
6.従業員以外の者に対する利用者アカウントの発行
当社の従業員以外の者にアカウントを発行する場合は、代表取締役又は情報セキュリティ責任者の承認を得たうえで、秘密保持契約を締結する。
7.機器の識別による認証
社外秘又は極秘の情報資産を扱う情報システムに、ネットワーク接続によりアクセスする際の認証方式として、2要素による認証を用いる。
8.端末のタイムアウト機能
社外秘又は極秘の情報資産を扱う情報システムの端末もしくは情報機器を、アカウントを付与していない者が接触可能な場所に設置する場合は、接続時間制限やタイムアウト等機能を利用する。
4
IT機器利用
<制定日>
2020/04/22
<適用範囲>
全社・全従業員
1.ソフトウェアの利用
1.1ソフトウェアのアップデート
従業員は、業務で使用するソフトウェアを最新の状態で利用する。
1.2ウイルス対策ソフトウェアの利用
1.2.1ウイルス検知
従業員は、以下の方法でウイルス検知を行う。
ネットワーク経由で入手するファイルは、自動検知機能を有効にしてウイルス検知を実施する。
電子媒体を用いてファイルの受け渡しを行う場合は、媒体内のファイルにウイルス検知を実施する。
1.2.2ウイルス対策ソフト定義ファイルの更新
従業員は、パソコン・スマートフォン・タブレットに導入したウイルス対策ソフトウェアの定義ファイルを随時更新する。持ち出し用ノートパソコンは利用時に定義ファイルの更新を確認する。
1.3ウイルス対策の啓発
情報セキュリティ責任者は、適宜ウイルスに関する情報を収集し、重大な被害を与えるウイルスに対しては、対応策及び対応に必要な修正プログラムを社内に公開及び通知する。
2.IT機器の利用
業務に利用するパソコン・タブレット・スマートフォンには、ログインパスワードを設定する。利用するときには以下を実行する。
ログインパスワードを他者の目に触れる所に書き記さない。
屋外で利用する場合は、他者が画面を盗み見可能な環境で利用しない。
退社時又は使用しないときには電源を切り、ノートパソコン・タブレット・スマートフォン・USBメモリ、HDD、CD等の電子媒体は施錠保管する。
3.クリアスクリーン
従業員は、離席時に以下のいずれかによりパソコンの画面をロックし、クリアスクリーンを徹底する。
スクリーンセーバー起動時間を5分以内に設定し、パスワードを設定する。
スリープ起動時間を5分以内に設定し、解除時のパスワード保護を設定する。
離席時にコンピュータをロックする。
スマートフォン・タブレットを外出先で利用する場合は、他者が盗み見できる環境で利用しない。
4.インターネットの利用
インターネットを利用する際には以下を遵守する。
4.1ウェブ閲覧
情報セキュリティ責任者は、ウイルス等の悪意のあるソフトウェアに感染するおそれがあると認められる有害ウェブサイトはウェブフィルタリングソフトを使用して、従業員の閲覧を制限する。業務でウェブ閲覧を行う場合は以下に注意する。
公序良俗に反するサイトへのアクセスを禁止する。
不審なサイトへのアクセス及び社用メールアドレス登録を禁止する。
業務上、個人情報(メールアドレス、氏名、所属等)を入力する場合は、通信の暗号化、接続先の実在性等を十分に確認したうえで行う。
4.2オンラインサービス
インターネットで提供されているサービスを業務で利用する場合は、情報セキュリティ責任者の許可を得る。利用する際には以下に注意する。
<インターネットバンキング・電子決済>
インターネットバンキングを利用する際には、自分で設定したブックマークや銀行が提供する専用アプリケーションソフトを用いる。
電子決済を利用する際には、SSL/TLSによる通信暗号化を採用しているサイトを利用する。
電子メールに記載されているリンクや、他のウェブサイト等に設置されているリンクは、偽サイトへの誘導である可能性があるためアクセスしない。
<オンラインストレージ>
社外秘又は極秘の情報資産を保存する場合は、情報セキュリティ責任者の許可を得る。
メールアドレスの登録が必要な場合は社用メールアドレスを登録する。
セキュリティポリシーを公表していないサービスの利用は禁止する。
不審なベンダーが提供しているサービスの利用を禁止する。
4.3 SNSの個人利用
当社の業務に関わる情報の書き込みは行わない。
取引先従業者とSNS上で私的に交流する場合、双方の立場をわきまえ、社会人として良識の範囲で交流する。
SNS用のアプリケーションが提供するセキュリティ設定を行い、アカウントの乗っ取りやなりすましに注意する。
使用するパソコン、スマートフォン、タブレット上のデータ、写真、位置情報が、予期せず公開される可能性のあることに注意する。
4.4電子メールの利用
従業員は、業務で電子メールを利用する際には以下を実施する。
<誤送信防止>
電子メールソフトの即時送信機能を停止する。
<メールアドレス漏えい防止>
同報メール(外部の多数相手に同時に送信するとき)を送信する場合は、宛先(TO)に自分自身のアドレスを入力し、BCCで複数相手のアドレスを指定する。
<傍受による漏えい防止>
社外秘又は極秘の情報資産を送信する場合は、メール本文ではなく添付ファイルに記載し、ファイルを暗号化して送信する。
<添付ファイル暗号化の方法>
パスワード保護の設定又はパスワード付きのZIPファイルにする。/パスワードは先方とあらかじめ決めておくか電話で知らせるなど、パスワードが傍受されないよう配慮する。
<禁止事項>
業務に支障をきたすおそれがある使用。
4.5ウイルス感染の防止
標的型攻撃メール等によるウイルス感染を防止するため、以下の内容に複数合致する場合は十分に注意し、添付ファイルを開く、又はリンクを参照するなどしない。受信した場合は、情報セキュリティ責任者に報告し、情報セキュリティ責任者は社内に注意を促す。
<メールの内容>
①知らない人からのメールだが、メール本文のURL や添付ファイルを開かざるを得ない内容
新聞社や出版社からの取材申込や講演依頼
就職活動に関する問い合わせや履歴書送付
製品やサービスに関する問い合わせ、クレーム
アンケート調査
②心当たりのないメールだが、興味をそそられる内容
議事録、演説原稿などの内部文書送付
VIP 訪問に関する情報
③これまで届いたことがない公的機関からのお知らせ
情報セキュリティに関する注意喚起
インフルエンザ等の感染症流行情報
災害情報
④組織全体への案内
人事情報
新年度の事業方針
資料の再送、差替え
⑤心当たりのない、決裁や配送通知 (英文の場合が多い)
航空券の予約確認
荷物の配達通知
⑥IDやパスワードなどの入力を要求するメール
メールボックスの容量オーバーの警告
銀行からの登録情報確認
<差出人のメールアドレス>
①フリーメールアドレスから送信されている
②差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる
<メールの本文>
①日本語の言い回しが不自然である
②日本語では使用されない漢字(繁体字、簡体字)が使われている
③実在する名称を一部に含むURL が記載されている
④表示されているURL(アンカーテキスト)と実際のリンク先のURLが異なる(HTML メールの場合)
⑤署名の内容が誤っている
組織名や電話番号が実在しない
電話番号がFAX 番号として記載されている
<添付ファイル>
①ファイルが添付されている
②実行形式ファイル(exe/scr/cplなど)が添付されている
③ショートカットファイル(lnkなど)が添付されている
④アイコンが偽装されている
実行形式ファイルなのに文書ファイルやフォルダーのアイコンとなっている
⑤ファイル拡張子が偽装されている
二重拡張子となっている
ファイル拡張子の前に大量の空白文字が挿入されている
ファイル名にRLO4が使用されている
5
IT基盤運用管理
<制定日>
2020/04/22
<適用範囲>
全社・全従業員
1.管理体制
情報セキュリティ責任者は、IT基盤の運用に当たり情報セキュリティ対策を考慮し製品又はサービスを選択する。
2.IT基盤の情報セキュリティ対策
IT基盤の運用の際には以下の技術的情報セキュリティ対策を考慮すること。
2.1サーバー機器の情報セキュリティ要件
IT基盤で利用するサーバー機器に求める情報セキュリティ要件は、情報セキュリティ責任者が決定する。新規にサーバー機器を導入する場合は、情報セキュリティ要件を満たす製品を選択し、情報セキュリティ責任者の許可を得て導入する。。
2.2サーバー機器に導入するソフトウェア
IT基盤で利用するサーバー機器に導入するソフトウェアは、情報セキュリティ責任者が選定する。新規にソフトウェアを導入する場合は、情報セキュリティ責任者の許可を得て導入する。
2.3ネットワーク機器の情報セキュリティ要件
IT基盤で利用するネットワーク機器に求める情報セキュリティ要件は、情報セキュリティ責任者が決定する。新規にネットワーク機器を導入する場合は、情報セキュリティ要件を満たす製品を選択し、情報セキュリティ責任者の許可を得て導入する。
3.IT基盤の運用
情報セキュリティ責任者は、IT基盤の運用を行う際には以下を実施すること。
情報セキュリティ責任者は、機器の管理画面にログインするためのパスワードは初期状態のまま使わず、推測不可能なパスワードを設定して運用する。
情報セキュリティ責任者は、通信ログについて以下の確認を定期的に行う。
管理外のインターネット接続がないか
許可なく接続された機器や無線LAN機器はないか
不審な通信が行われていないか
情報セキュリティ責任者は、必要に応じて業務に不要なウェブサイト閲覧をウェブフィルタリングソフトを使用して制限する。
遠隔診断ポートの利用は、保守サポートなど必要な場合のみに限定し、認証機能やコールバック機能等を備えるなど、適切なセキュリティ対策を施す。
4.クラウドサービスの導入
IT基盤の一部としてクラウドサービス等の外部サービスを導入する場合は、情報セキュリティ責任者がサービスプロバイダの情報セキュリティ対策をあらかじめ評価したうえで選定する。新規クラウドサービス等の外部サービスを導入する場合は、情報セキュリティ責任者の許可を得て導入する。
5.脅威や攻撃に関する情報の収集
情報セキュリティ責任者は、最新の脅威や攻撃に関する情報収集を行い、必要に応じて社内で共有する。
6.廃棄・返却・譲渡
情報セキュリティ責任者は、IT基盤で利用した機器を返却、廃棄、譲渡を行う場合は、内部記憶媒体の破壊又は専用ツールによりデータを完全に消去し、情報セキュリティ責任者の承認を得たうえ返却、廃棄、譲渡を行う。内部記憶媒体の破壊又はデータの完全消去を、外部に委託する場合は、破壊又はデータの完全消去を実行したことの証明書を取得する。
7.クラウドサービス情報セキュリティ対策評価基準
サービスプロバイダが公表する情報セキュリティ又は個人情報保護への取組方針が、処理しようとする情報資産の重要度に照らして適切であること。
サービス仕様に含まれる情報セキュリティ対策が、処理しようとする情報資産の重要度に照らして適切であること。
情報セキュリティに関する適合性評価制度の認証・認定を取得していること。
<適合性評価制度の種類>
ISMS適合性評価制度(ISMS認証/ISMSクラウドセキュリティ認証)
クラウド情報セキュリティ監査制度
プライバシーマーク制度
PCI DSS(クレジットカード業界セキュリティ基準)
ASP・SaaSの安全・信頼性に係る情報開示認定制度
インターネット接続安全安心マーク
6
委託管理
<制定日>
2020/04/22
<適用範囲>
情報資産を取り扱う業務の委託
1.委託先評価基準
情報セキュリティ部門責任者は「情報資産管理台帳」の重要度が1以上である情報資産の取り扱う業務を、外部の組織に委託する場合は、委託先の情報セキュリティ管理について、委託先評価基準に基づいて評価する。
<委託先評価基準>
情報セキュリティマネジメントシステム(ISMS)適合性評価制度の認証を取得している。
個人情報保護マネジメントシステム(PMS)に適合し、プライバシーマーク付与を受けている。
SECURITY ACTION 一つ星/二つ星に取り組んでいる。
情報セキュリティ監査を定期的に実施している。
情報セキュリティに関する方針を公開している。
2.委託先の選定
評価結果に基づき委託先を選定し、情報セキュリティ責任者の承認を得る。
3.委託契約の締結
委託契約書には、下記に関する事項を明記する。
当社の社外秘又は極秘の情報資産及び個人情報の守秘義務
再委託についての事項
事故時の責任分担についての事項
委託業務終了時の当社が提供した社外秘又は極秘の情報資産及び個人情報の返却又は廃棄、消去についての事項
情報セキュリティ対策の実施状況に関する監査の方法とその権限
契約内容が遵守されない場合の措置
事故発生時の報告方法
4.委託先の評価
委託開始後には、「委託先情報セキュリティ対策状況確認リスト」により、委託先における情報セキュリティ対策の実施状況について定期的に評価する機会を設ける。委託先における情報セキュリティ対策の実施に関して不備又は変更が認められた場合は、双方協議のうえ、対処を検討し、書面で合意する。
<委託先評価の方法>
委託先事業所に訪問して現場を観察する。
委託先の管理責任者にインタビューする。
委託先に「委託先情報セキュリティ対策状況確認リスト」を送付し、実施状況について回答してもらう。
5.再委託
当社が委託する業務を、委託先が他の組織又は個人に再委託する場合には、事前に書面による報告を委託先に求める。報告には必要に応じて以下の提供を含め、当社の「1.委託先評価基準」「3.委託契約の締結」「4.委託先の評価」と同等の管理を再委託先に求めていることを確認し、情報セキュリティ責任者の承認を得たうえで再委託を認める。
委託先と再委託先との契約書案の写し(情報セキュリティに関連する部分のみ)
再委託先の選定基準
再委託先が情報セキュリティに関する適合性評価制度の認証・認定を取得している場合にはその証書の写し