情報セキュリティ方針
株式会社スマートゲート(以下、当社)は、当社の情報資産、並びにお客様からお預かりした情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。
1. 経営者の責任
当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。
2. クラウドサービス提供者としての責務
当社は、クラウドサービスを提供する事業者として、お預かりした情報を適切に保護するために、クラウドサービス固有のリスクを考慮したリスクアセスメントを実施し、利用者が安全にサービスを活用できる仕組みをつくります。
3. 社内体制の整備
当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。
4. 従業員の取組み
当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。
5. 法令及び契約上の要求事項の遵守
当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。
6. 違反及び事故への対応
当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。
7. セキュリティ要件の定義と文書化
開発プロセスの初期段階で、クラウドサービスに関連するセキュリティ要件を明確に定義し、文書化します。これには、データの機密性、可用性、完全性などの要件が含まれます。
8. 脆弱性評価の実施
開発の初期段階から脆弱性評価を実施し、セキュリティリスクを特定します。これには、脆弱性スキャン、ペネトレーションテスト、コードレビューなどの手法が用いられます。
9. セキュアなコーディング慣行の採用
安全なコーディング慣行を採用し、セキュリティのベストプラクティスを遵守します。具体的には、SQLインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)などの攻撃を防ぐための対策を実装します。
10. セキュリティトレーニングの実施
開発チーム全体に対して、セキュリティトレーニングを実施し、セキュリティ意識を向上させます。トレーニング内容には、セキュリティの基本原則、最新の脅威に対する対策、適切なセキュリティツールの使用方法などが含まれます。
11. セキュリティテストの自動化
セキュリティテストを自動化し、継続的なセキュリティ監視を実施します。これには、CI/CDパイプラインにセキュリティテストを統合し、コードの変更があるたびに自動的にセキュリティテストが実行される仕組みを構築します。
12. セキュリティの監査と評価
定期的なセキュリティ監査を実施し、ISO/IEC 27017やその他の適用可能な規格に準拠しているかを確認します。また、監査結果を分析し、改善点を特定して適切な対策を実施します。
13. ピアクラウドサービスの特定
当社が利用するクラウドサービスにおいて、主要なピアクラウドサービスを特定します。これには、データの保存や処理、ネットワークの通信、アプリケーションのホスティングなどの機能を提供するサービスが含まれます。
14. 供給者の評価
特定したピアクラウドサービスの供給者を評価し、信頼性やセキュリティ対策などの観点から適格性を検証します。これには、サプライヤーの信頼性評価、セキュリティポリシーの確認、過去のセキュリティインシデントの調査などが含まれます。
15. 契約の締結
適格なピアクラウドサービスの供給者との間で、適切な契約を締結します。契約には、サービスレベルアグリーメント(SLA)や情報セキュリティに関する規定などが含まれ、当社の情報セキュリティ要件を満たすことが確認されます。
16. 監査と評価の実施
契約締結後に新たなセキュリティリスクが特定された場合には、適切な対策を共同で検討し実施します。
制定日:2023年10月01日
改訂 :2024年3月28日
株式会社スマートゲート
代表取締役 花谷 行雄