Security Policy
株式会社ZetaXは、都内大手銀行のセキュリティコンサルティングを手がけてきた専門家集団として、情報セキュリティを事業運営の根幹に置いています。本ポリシーは、社内の全メンバーが遵守すべき基本方針を定めたものです。
都内大手銀行2社との
実績に基づく水準
次世代暗号(耐量子暗号)
への対応体制
外部委託ゼロ
情報の社外流出経路なし
全国大会入賞者が
セキュリティ設計を担当
株式会社ZetaX(以下「当社」)は、情報セキュリティをすべての事業活動の基盤と位置づけ、お客様・取引先・社員に関わる情報資産を適切に保護することを経営上の最重要課題の一つとして取り組みます。
当社のセキュリティ責任者は、都内大手銀行2社のセキュリティコンサルティングおよび次世代暗号(耐量子暗号・PQC)の導入支援を行ってきた実務家であり、サイバーセキュリティ全国大会入賞の経歴を持ちます。この専門知識を自社のセキュリティ体制にも直接反映しています。
当社の全業務は完全内製です。外部への業務委託は一切行いません。これはセキュリティ観点からも最も重要な方針であり、お客様の機密情報が当社エンジニア以外の手に渡ることはありません。
本ポリシーは、技術的安全管理措置・組織的安全管理措置・人的安全管理措置・物理的安全管理措置の4つの観点から体系的に定められており、全社員が遵守する義務を負います。
当社が取り扱う情報資産は、機密性・完全性・可用性の観点から以下のとおり分類し、それぞれに応じた取り扱い基準を定めます。
| 分類 | 定義 | 取り扱い基準 |
|---|---|---|
| 極秘(Confidential) | お客様の個人情報・契約内容・システム設計情報 | 暗号化必須・アクセス者を担当者のみに限定・持ち出し禁止 |
| 社外秘(Internal) | 社内資料・提案書・開発仕様書 | 社内のみ共有可。外部共有は責任者承認が必要 |
| 公開(Public) | ウェブサイト掲載情報・プレスリリース | 制限なし |
すべての情報資産には管理責任者を定め、定期的な棚卸しを実施します。不要になった情報資産は、復元不可能な方法で確実に廃棄します。
3-1. 通信・データの暗号化
3-2. アクセス制御・認証
3-3. 脆弱性管理
3-4. ログ・監視
3-5. Security by Design(設計段階からのセキュリティ)
当社では、セキュリティを後付けで追加するのではなく、設計の最初の段階から組み込みます。システムアーキテクチャのレビュー時に脅威モデリングを実施し、攻撃者の視点でリスクを洗い出した上で設計を進めます。
4-1. セキュリティ体制
代表取締役がセキュリティ統括責任者を兼任し、情報セキュリティに関する最終意思決定を行います。各プロジェクトにはセキュリティ担当を定め、開発工程全体を通じたセキュリティチェックを実施します。
4-2. セキュリティ審査プロセス
4-3. 委託先管理
当社は完全内製を原則とし、外部への業務委託を行いません。万が一、外部サービス(クラウドサービス等)を利用する場合は、当該サービスのセキュリティポリシー・認証取得状況を事前に審査し、適切な水準を満たすことを確認した上で利用します。
4-4. 契約・守秘義務
お客様との契約には、守秘義務条項を必ず含め、情報の取り扱い範囲・責任・違反時の対応を明確にします。社員・インターン・外部協力者(利用する場合)はすべて守秘義務契約を締結します。
5-1. セキュリティ教育・訓練
5-2. インシデント報告義務
セキュリティインシデントの疑いや異常を発見した場合、すべての社員は直ちに責任者に報告する義務を負います。報告を遅延させることは、いかなる理由があっても認めません。
5-3. 違反時の対応
本ポリシーに違反した場合は、違反の内容・影響に応じて適切な措置を講じます。意図的な情報漏洩や重大な違反に対しては、法的措置を含む厳格な対応を取ります。
セキュリティインシデントが発生した場合、または発生の疑いがある場合は、以下のプロセスに従い迅速かつ適切に対応します。
| フェーズ | 実施事項 | 目標時間 |
|---|---|---|
| 検知・報告 | インシデントの発見者は直ちに責任者へ報告。影響範囲の初期評価を行う | 発見後30分以内 |
| 初動封じ込め | 被害拡大を防ぐための緊急措置(システム遮断・アクセス無効化等)を実施 | 報告後2時間以内 |
| 顧客通知 | お客様の情報に影響がある場合、速やかに通知し状況を説明する | 確認後24時間以内 |
| 原因究明 | フォレンジック調査により根本原因を特定する | インシデント収束後72時間以内 |
| 再発防止 | 再発防止策を策定・実施し、ポリシーに反映する | 原因究明後2週間以内 |
個人情報保護法に基づく報告義務が生じる場合は、法令に定める期限内に個人情報保護委員会および本人への通知を行います。
量子コンピュータの実用化によって、現在広く使われているRSAやECDSAなどの公開鍵暗号が将来的に解読されるリスクが指摘されています。当社は、都内大手銀行に対するPQC導入支援の実績を持つ専門家を有しており、自社の暗号化体制についても次世代暗号への移行計画を策定しています。
NIST(米国国立標準技術研究所)が標準化したPQCアルゴリズム(CRYSTALS-Kyber、CRYSTALS-Dilithium等)への段階的移行を推進しており、お客様が開発を依頼されるシステムについても、長期的な暗号安全性の観点からのアドバイスが可能です。
本ポリシーは、技術環境の変化・新たな脅威・法令の改正等を踏まえ、定期的に見直しを行います。年1回以上の定期レビューを実施し、必要に応じて随時改定します。
セキュリティ水準の継続的な向上のため、外部の脅威情報(JPCERT/CCの注意喚起・IPAのセキュリティ情報等)を定期的に参照し、新たなリスクへの対応を迅速に行います。
本ポリシーに関するご質問・セキュリティに関するご報告・脆弱性情報の開示等は、以下の連絡先にご連絡ください。責任者が直接対応いたします。
株式会社ZetaX セキュリティ統括責任者
所在地:東京都渋谷区神南1丁目11−4 FPGリンクス神南 5階
Email:ysato@zetax.jp