当社は、IT事業を中核としてお客様のニーズに応えてきました。今後も、お客様にご満足いただける製品・サービスを提供するために、高度情報化社会における情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、情報セキュリティ基本方針を定め、当社の情報セキュリティに対する取り組みの指針といたします。
1.社内体制および情報セキュリティポリシーの整備
当社は、セキュリティの維持及び改善のために必要な管理体制を整備し、必要な情報セキュリティ対策を社内の正式な規則として定めます。
2.リーダーシップにおける責任および継続的改善
当社の経営者は、本方針の遵守により、当社及びお客様の情報資産が適切に管理されるよう主導します。
3.法令、契約上の要求事項の遵守
当社の従業員は、事業活動で利用する情報資産に関連する法令、規制、規範及びお客様との契約上のセキュリティ要求事項を遵守します。
4.従業員の取組み
当社の従業員は、情報セキュリティの維持及び改善のために必要とされ知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。
5.違反及び事故への対応
当社は、情報セキュリティに関わる法令、規制、規範及びお客様との契約に関わる違反及び情報セキュリティ事故への対応のための体制を整備し、違反及び事故の影響を低減します。
2018年6月23日改定
有限会社アナログエンジン
代表取締役社長 神野晋一
組織的対策
1.情報セキュリティのための組織
情報セキュリティ対策活動を推進するための組織として、情報セキュリティ委員会を設置する。情報セキュリティ委員会は以下の構成とし、情報セキュリティ対策状況の把握、情報セキュリティ対策に関する指針の策定・見直し、情報セキュリティ対策に関する情報の共有を実施する。
情報セキュリティ責任者 | 代表取締役 神野晋一 |
システム管理者/教育責任者 | 代表取締役 神野晋一 |
教育責任者 | 人事部長 |
情報資産管理
1.情報資産の管理
1.1情報資産の特定と重要度の評価
当社事業に必要で価値がある情報及び個人情報(以下「情報資産」という)を特定し、「情報資産管理台帳」に記載する。情報資産の機密性における重要度は、以下の基準に従って評価する。
機密性2:極秘 | l法律で安全管理措置が義務付けられている l守秘義務の対象として指定されている l漏えいすると取引先や顧客に大きな影響がある |
機密性1:社外秘 | l漏えいすると事業に大きな影響がある |
機密性0:公開 | 漏えいしても事業に影響はない |
1.2情報資産の分類と表示
情報資産の重要度は以下の方法で表示する。
l電子データ:保存先サーバーのフォルダー名に重要度を明示
l書類:保管先キャビネット、ファイル、バインダーに重要度を明示
表示が困難な場合は、「情報資産管理台帳」に機密性評価値を明記する。
1.3情報資産の管理責任者
情報資産の管理責任者は、当該情報資産を保有する部門長とする。
1.4情報資産の利用者
情報資産の利用を許可する範囲は、「情報資産管理台帳」の利用者範囲欄に部署名又は担当者名を記載する。
2.情報資産の社外持ち出し
情報資産を社外に持ち出す場合には、以下を実施する。
l社外秘の場合は所属部門長の許可を得る。
l極秘の場合は代表取締役の許可を得る。
lノートパソコンのハードディスクに保存して持ち出す場合は、ハードディスク/データ・フォルダーを暗号化する。
lスマートフォン、タブレットに保存して持ち出す場合は、セキュリティロックを設定する。
lUSBメモリ、HDD等の電子媒体に保存して持ち出す場合は、不要データは全て完全消去専用ツールで消去し、持ち出すデータを暗号化する。
lUSBメモリ等の小型電子媒体は、大きなタグを付ける/ストラップで体やカバンに固定する/落としてもすぐに分かるように鈴を付ける。
l屋外でネットワークへ接続して社外秘又は極秘の情報資産を送受信する場合は、暗号化通信で行う。
l携行中は常に監視可能な距離を保つ。
3.媒体の処分
3.1媒体の廃棄
社外秘又は極秘の情報資産を廃棄する場合は以下の処分を行う。
書類・フィルム | 細断/溶解/焼却 |
USBメモリ・HDD・CD・DVD | 破壊/細断/完全消去 ※OSの削除・フォーマットは不可 |
3.2媒体の再利用
社外秘又は極秘の情報資産を保存した媒体を再利用する場合は、以下の処分を行う。
書類 | 裏紙再利用禁止 |
USBメモリ・HDD・CD-RWディスク・DVD-RWディスク | 完全消去後再利用 ※OSの削除機能による削除・フォーマットは不可 |
CD-R・DVD-R | 再利用不可 |
4.バックアップ
4.1バックアップ取得対象
システム管理者は、以下の機器で処理するデータのバックアップを定期的に取得する。
機器名 | 対象 | 方法 | 保管先 |
ファイルサーバー | ユーザーファイル | Windows Server バックアップ | NASサーバー |
給与計算システム | アプリケーションデータ | ファイルコピー | USBメモリ(暗号化機能付) |
会計システム | アプリケーションデータ | アプリケーションバックアップ機能 | クラウドバックアップサービス |
○○管理システム | アプリケーションデータ | 同期ツール | 外付けHDD |
Webサーバー | ホームページ | 同期ツール | NASサーバー |
4.2バックアップ媒体の取扱い
バックアップに利用した機器及び媒体の取り扱いは以下に従う。
<保管>
l小型媒体:施錠付きキャビネットに保管
lNASサーバー:施錠付きサーバーラックに収納
<廃棄・再利用>
l「3.媒体の処分」に従う
4.3クラウドサービスを利用したバックアップ
クラウドサービスを利用し、外部のサーバーにバックアップを保存する場合は、以下のサービス要件を確認し、情報セキュリティ責任者の許可を得て導入する。
<サービス要件>
lサービス提供者のサービス利用約款、情報セキュリティ方針が、当社の情報セキュリティポリシーに適合している。
l当社事業所がある地域で発生する震災、水害等の影響を受けない地域の施設であること。
IT機器の利用について
1.ソフトウェアの利用
1.1標準ソフトウェア
業務に利用するパソコンには、当社の標準ソフトウェアを導入する。当社の標準ソフトウェア以外のソフトウェアを導入する場合は、システム管理者の許可を得たうえで導入する。標準ソフトウェアは「6.1標準ソフトウェア」を参照のこと。
1.2ソフトウェアの利用制限
システム管理者は、利用者の業務に不要な機能をあらかじめ取除いて提供する。従業員は、業務に不要なシステムユーティリティやインストールされているソフトウェアを利用しない。
<利用を禁止するソフトウェア>
- インターネット上で、不特定多数のコンピュータ間でファイルをやりとりできるソフトウェア(ファイル共有ソフト)。
- 不審なベンダーが提供するソフトウェア。
- 正規ライセンスを取得していないソフトウェア。
1.3ソフトウェアのアップデート
従業員は、業務で使用するソフトウェアを最新の状態で利用する。最新の状態で利用する方法は「6.2ソフトウェアのアップデート方法」を参照のこと。
1.4ウイルス対策ソフトウェアの利用
1.4.1ウイルス検知
従業員は、以下の方法でウイルス検知を行う。
- ネットワーク経由で入手するファイルは、自動検知機能を有効にしてウイルス検知を実施する。
- 電子媒体を用いてファイルの受け渡しを行う場合は、媒体内のファイルにウイルス検知を実施する。
1.4.2ウイルス対策ソフト定義ファイルの更新
従業員は、パソコン・スマートフォン・タブレットに導入したウイルス対策ソフトウェアの定義ファイルを随時更新する。持ち出し用ノートパソコンは利用時に定義ファイルの更新を確認する。定義ファイルの更新方法は「6.3ウイルス対策ソフトウェアの定義ファイルの更新方法」を参照のこと。
1.4.3社外機器のLAN接続
当社が管理するパソコン及びサーバー以外の機器を社内LANに接続することを禁止する。業務上必要な場合は、システム管理者の許可を得たうえで、当該機器にインストールされているウイルス対策ソフトの定義ファイルを最新版に更新し、当該機器のフルスキャンを実行し、ウイルスが検知されないことを確認してから接続する。
1.5ウイルス対策の啓発
システム管理者は、適宜ウイルスに関する情報を収集し、重大な被害を与えるウイルスに対しては、対応策及び対応に必要な修正プログラムを社内に公開及び通知する。従業員は、感染防止策が通知された場合は、速やかに実施完了すること。
2.IT機器の利用
従業員は、業務に利用するパソコン・タブレット・スマートフォンには、ログインパスワードを設定する。利用するときには以下を実行する。
- ログインパスワードを他者の目に触れる所に書き記さない。
- 屋外で利用する場合は、他者が画面を盗み見可能な環境で利用しない。
- 退社時又は使用しないときには電源を切り、ノートパソコン・タブレット・スマートフォン・USBメモリ、HDD、CD等の電子媒体は施錠保管する。
3.クリアデスク・クリアスクリーン
3.1クリアデスク
従業員は、社外秘又は極秘の書類及び電子データを保存したノートパソコン、USBメモリ、HDD、CD等の持ち運び可能な機器や媒体の扱いについて、以下のようにクリアデスクを徹底する。
- 利用時以外には机上に放置しない。
- 離席時に書類を伏せる、引き出しに入れる等する。
- 退社時又は使用しないときには机の引き出しに保管し、施錠する。
3.2クリアスクリーン
従業員は、離席時に以下のいずれかによりパソコンの画面をロックし、クリアスクリーンを徹底する。
- スクリーンセーバー起動時間を5分以内に設定し、パスワードを設定する。
- スリープ起動時間を5分以内に設定し、解除時のパスワード保護を設定する。
- 離席時に[Windows]+[L]キーを押してコンピュータをロックする。
- ログオフ状態ではシステム操作画面は非表示に設定する。退社時又は使用しないときにはパソコンの電源を切る。
- スマートフォン・タブレットを外出先で利用する場合は、他者が盗み見できる環境で利用しない。
4.インターネットの利用
従業員は、インターネットを利用する際には以下を遵守する。
4.1ウェブ閲覧
システム管理者は、ウイルス等の悪意のあるソフトウェアに感染するおそれがあると認められる有害ウェブサイトは社内周知/ウェブフィルタリングソフトを使用して、従業員の閲覧を制限する。従業員は、業務でウェブ閲覧を行う場合は以下に注意する。
- 公序良俗に反するサイトへのアクセスを禁止する。
- 不審なサイトへのアクセス及び社用メールアドレス登録を禁止する。
- パスワードをブラウザに保存しない。業務で特定のウェブサービスを利用する場合で、パスワードをブラウザに保存する必要があるときはシステム管理者の許可を得る。
- 業務上、個人情報(メールアドレス、氏名、所属等)を入力する場合は、通信の暗号化、接続先の実在性等を十分に確認したうえで行う。
- 信頼できるサイトから署名付きのモバイルコードをダウンロードする場合を除き、モバイルコード(クライアントパソコン側で動作するプログラム)を実行しない。
4.2オンラインサービス
従業員は、インターネットで提供されているサービスを業務で利用する場合は、システム管理者の許可を得る。利用する際には以下に注意する。
<インターネットバンキング・電子決済>
- インターネットバンキングを利用する際には、自分で設定したブックマークや銀行が提供する専用アプリケーションソフトを用いる。
- 電子決済を利用する際には、SSL/TLSによる通信暗号化を採用しているサイトを利用する。
- 電子メールに記載されているリンクや、他のウェブサイト等に設置されているリンクは、偽サイトへの誘導である可能性があるためアクセスしない。
<オンラインストレージ>
- 社外秘又は極秘の情報資産を保存する場合は、システム管理者の許可を得る。
- メールアドレスの登録が必要な場合は社用メールアドレスを登録する。
- セキュリティポリシーを公表していないサービスの利用は禁止する。
- 不審なベンダーが提供しているサービスの利用を禁止する。
4.3SNSの利用
- 当社の業務に関わる情報の書き込みは行わない。
- 取引先従業者とSNS上で私的に交流する場合、双方の立場をわきまえ、社会人として良識の範囲で交流する。
- SNS用のアプリケーションが提供するセキュリティ設定を行い、アカウントの乗っ取りやなりすましに注意する。
- 使用するパソコン、スマートフォン、タブレット上のデータ、写真、位置情報が、予期せず公開される可能性のあることに注意する。
4.4電子メールの利用
従業員は、業務で電子メールを利用する際には以下を実施する。
<誤送信防止>
- 電子メールソフトの即時送信機能を停止する。
<メールアドレス漏えい防止>
- 同報メール(外部の多数相手に同時に送信するとき)を送信する場合は、宛先(TO)に自分自身のアドレスを入力し、BCCで複数相手のアドレスを指定する。
※CC又は宛先(TO)に複数アドレスを指定すると、送信相手に複数全員のアドレスが通知され、個人情報の漏えいになります。
<傍受による漏えい防止>
- 社外秘又は極秘の情報資産を送信する場合は、メール本文ではなく添付ファイルに記載し、ファイルを暗号化して送信する。
<添付ファイル暗号化の方法>
パスワード保護の設定又はパスワード付きのZIPファイルにする。/パスワードは先方とあらかじめ決めておくか電話で知らせるなど、パスワードが傍受されないよう配慮する。
<クラウド型メールの利用>
- 業務でクラウド型メールを利用する場合は、システム管理者の許可を得る。
- システム管理者から許可されたパソコン以外で、メールサーバーからのメールの取り出し及びエクスポートを禁止する。
<禁止事項>
- 業務に支障をきたすおそれがある使用。
- 私用電子メールサーバーへの接続。
- 私用メールアドレスへの転送。
- 受信メールのHTML表示(テキスト形式に変換して表示)。
- HTML形式メールの中に含まれる不正なコードを実行しないよう以下を設定する。
- プレビューウィンドウを無効化する。
- モバイルコード実行を無効に設定する。
4.5ウイルス感染の防止
標的型攻撃メール等によるウイルス感染を防止するため、以下の内容に複数合致する場合は十分に注意し、3添付ファイルを開く、又はリンクを参照するなどしない。受信した場合は、システム管理者に報告し、システム管理者は社内に注意を促す。