セキュリティポリシー
Security
株式会社Stormではお客さまの情報を保護するために、グループ横断でセキュリティ対策の強化に取り組んでいます。
データ保護
株式会社Stormが取り扱うデータ(個人情報、顧客データ、企業秘密などを含む)は、適用される法令、規制、業界標準のベストプラクティス(ISO27001、NIST Cybersecurity Framework等)に基づいた安全管理措置を講じています。
これには、データの暗号化、アクセス制御、データ損失防止(DLP)対策などが含まれます。また、データのライフサイクル全体(収集、利用、保管、削除)を通じて適切な管理を実施します。
セキュアプログラミング
■セキュリティ要件定義
開発ライフサイクルの初期段階からセキュリティを組み込むため、セキュリティチームは開発チームと連携し、セキュリティ要件の定義、脅威モデリング、セキュリティ設計レビューを実施します。
■セキュアコーディング
アプリケーションの品質とセキュリティを確保するために、OWASP Top 10等の業界標準のベストプラクティスに沿ったセキュアコーディングガイドラインを作成し、開発チームにトレーニングとサポートを提供します。コードレビュー、静的/動的解析ツールを活用し、セキュアコーディングの実践を徹底します。
■オープンソースソフトウェアの管理
使用するオープンソースソフトウェアの脆弱性管理を行い、適切なバージョン管理とアップデートを実施します。
脆弱性診断
■リリース前テスト
すべての主要な機能リリース前に、セキュリティテストを実施します。これには、脆弱性スキャン、ペネトレーションテスト、ファジングテストなどが含まれます。
■セキュリティツールによる自動化
脆弱性スキャン、静的/動的解析ツールなどの自動化ツールを積極的に活用し、効率的かつ継続的に脆弱性を検出します。
■脆弱性管理
検出された脆弱性は、リスク評価に基づき優先順位付けされ、適切なタイムフレームで修正されます。脆弱性管理プロセスは追跡可能であり、定期的に見直しされます。
脅威モニタリングと対応
■モニタリングと分析
不正アクセスやマルウェア感染などのイベントを監視し、アラートを発信することで、セキュリティインシデントが発生した際には迅速に対応しています。主要システムのログを収集し、イベントやアラートを統合的に管理・監視することで、セキュリティ脅威を迅速に封じ込める体制を整えています。
■インシデント対応
セキュリティインシデント対応計画を策定し、インシデント発生時には迅速な対応、影響の最小化、再発防止策の実施を行います。CSIRT (Computer Security Incident Response Team) を設置し、インシデント対応訓練を定期的に実施します。
■フィッシング対策
セキュリティチームは、お客様をフィッシング攻撃から守ることを重要視しています。フィッシングサイトの迅速なテイクダウンを可能にするため、プロセスの自動化に取り組むとともに、外部機関との協力体制を強化しています。
データ保管と暗号化
■データ暗号化
当社は、保存データと送信データの両方に対して業界標準の暗号化技術を採用し、不正アクセスからデータを守ります。
■データ保管場所の特定
すべての重要な情報資産は、その重要度に応じて厳格に管理された安全な場所(物理的およびクラウドベースの環境)に保管されます。
インシデント対応
■インシデントレスポンス計画
セキュリティインシデント発生時の影響を最小限に抑えるために、迅速かつ効果的なインシデントレスポンス計画を策定し、定期的に訓練を行っています。
■インシデントの記録と報告
すべてのセキュリティインシデントについては記録を取り、必要に応じて適切な社内外の関係者に報告します。
アクセス管理
■アクセス制御の強化
従業員およびシステムのアクセス権限は最小権限の原則に基づいて管理され、定期的に見直しが行われます。
■多要素認証の導入
重要なシステムへのアクセスには多要素認証を採用し、不正アクセスの防止を図ります。
情報セキュリティ基本方針
■情報セキュリティ管理体制の構築
当社は、全社的な情報セキュリティ対策を促進するために情報セキュリティ・システムリスク委員会を設置しています。各部門に情報管理責任者を配置し、迅速かつ適切な意思決定と情報セキュリティ対策の実施を可能にする体制を整えています。
■情報セキュリティ管理責任者の配置
当社では、情報資産の保護及び管理、セキュリティ対策の推進を担う情報セキュリティ管理責任者を任命しています。
■適切な情報資産管理の実施
当社が取り扱う情報資産は、その機密性、完全性、可用性に応じて、適切に管理されます。
■サイバーセキュリティ対策の実施
当社はサイバーセキュリティの体制を整え、攻撃防止策や攻撃への備えを策定することで、情報資産を各種の脅威から守り、セキュリティの向上に努めています。
■情報セキュリティリテラシーの向上
当社は全従業員に対して、継続的な情報セキュリティ教育を実施し、そのリテラシーを向上させています。
■業務委託先の管理
業務委託先にも、当社と同等またはそれ以上の情報セキュリティ水準を維持する努力を求めています。
■法令の遵守
当社は関連する法令や規制、お客様、取引先、従業員との契約を遵守しつつ、情報資産を適切に管理します。
■継続的改善
これらの取り組みを定期的に評価・見直し、情報セキュリティの継続的な改善を図っています。
■ポリシーの適用範囲
このポリシーは、株式会社Stormのすべての従業員、請負業者、コンサルタント、およびその他の関係者に適用されます。
問い合わせ
セキュリティポリシーに関する質問や懸念事項がある場合は info@storm.jp まで連絡してください。
このセキュリティポリシーは定期的に見直され、必要に応じて更新されます。
策定: 2018/07/19
最終更新: 2025/01/10