Security Policy

セキュリティポリシー

株式会社ZetaXは、都内大手銀行のセキュリティコンサルティングを手がけてきた専門家集団として、情報セキュリティを事業運営の根幹に置いています。本ポリシーは、社内の全メンバーが遵守すべき基本方針を定めたものです。

制定日

2024年9月1日

最終改定

2024年9月1日

適用対象

全社員・業務委託者・インターン

責任者

代表取締役 / セキュリティ統括

銀行

都内大手銀行2社との
実績に基づく水準

PQC

次世代暗号(耐量子暗号)
への対応体制

0

外部委託ゼロ
情報の社外流出経路なし

CTF

全国大会入賞者が
セキュリティ設計を担当

第1条

基本方針

株式会社ZetaX(以下「当社」)は、情報セキュリティをすべての事業活動の基盤と位置づけ、お客様・取引先・社員に関わる情報資産を適切に保護することを経営上の最重要課題の一つとして取り組みます。

当社のセキュリティ責任者は、都内大手銀行2社のセキュリティコンサルティングおよび次世代暗号(耐量子暗号・PQC)の導入支援を行ってきた実務家であり、サイバーセキュリティ全国大会入賞の経歴を持ちます。この専門知識を自社のセキュリティ体制にも直接反映しています。

当社の全業務は完全内製です。外部への業務委託は一切行いません。これはセキュリティ観点からも最も重要な方針であり、お客様の機密情報が当社エンジニア以外の手に渡ることはありません。

本ポリシーは、技術的安全管理措置・組織的安全管理措置・人的安全管理措置・物理的安全管理措置の4つの観点から体系的に定められており、全社員が遵守する義務を負います。

第2条

情報資産の分類と管理

当社が取り扱う情報資産は、機密性・完全性・可用性の観点から以下のとおり分類し、それぞれに応じた取り扱い基準を定めます。

分類定義取り扱い基準
極秘(Confidential)お客様の個人情報・契約内容・システム設計情報暗号化必須・アクセス者を担当者のみに限定・持ち出し禁止
社外秘(Internal)社内資料・提案書・開発仕様書社内のみ共有可。外部共有は責任者承認が必要
公開(Public)ウェブサイト掲載情報・プレスリリース制限なし

すべての情報資産には管理責任者を定め、定期的な棚卸しを実施します。不要になった情報資産は、復元不可能な方法で確実に廃棄します。

第3条

技術的安全管理措置

3-1. 通信・データの暗号化

  • すべての外部通信はTLS 1.2以上による暗号化を必須とする
  • 機密性の高いデータの保存にはAES-256以上の暗号化を適用する
  • 次世代暗号(Post-Quantum Cryptography / PQC)への移行計画を策定し、段階的に導入を進める
  • メール送受信における機密情報は、エンドツーエンド暗号化または代替の安全な通信手段を使用する

3-2. アクセス制御・認証

  • すべてのシステムアクセスは多要素認証(MFA)を原則とする
  • 情報へのアクセス権限は最小権限の原則(Principle of Least Privilege)に従い付与する
  • 退職・プロジェクト終了時には即日アクセス権限を失効させる
  • パスワードはパスワードマネージャーを使用し、再利用禁止・定期変更を義務付ける

3-3. 脆弱性管理

  • 開発するすべてのシステムに対し、リリース前に脆弱性診断を実施する
  • OWASP Top 10をはじめとする既知の脆弱性カテゴリを設計段階からチェックする
  • 使用するOSS・ライブラリの脆弱性情報を継続的にモニタリングし、重要なパッチは発表後72時間以内に適用する
  • ペネトレーションテストを定期的に実施し、実環境に近い条件での安全確認を行う

3-4. ログ・監視

  • 本番環境への重要操作はすべてログに記録し、改ざんを防止する仕組みを設ける
  • 異常アクセス・不審な操作パターンを検知する監視体制を整備する
  • ログは最低180日間保持し、インシデント調査に備える

3-5. Security by Design(設計段階からのセキュリティ)

当社では、セキュリティを後付けで追加するのではなく、設計の最初の段階から組み込みます。システムアーキテクチャのレビュー時に脅威モデリングを実施し、攻撃者の視点でリスクを洗い出した上で設計を進めます。

第4条

組織的安全管理措置

4-1. セキュリティ体制

代表取締役がセキュリティ統括責任者を兼任し、情報セキュリティに関する最終意思決定を行います。各プロジェクトにはセキュリティ担当を定め、開発工程全体を通じたセキュリティチェックを実施します。

4-2. セキュリティ審査プロセス

  • 新規システムの設計・開発開始前に、セキュリティ要件の定義を必須とする
  • リリース前にセキュリティチェックリストによる確認を義務付ける
  • お客様に納品するシステムに対しては、第三者視点でのレビューを実施する

4-3. 委託先管理

当社は完全内製を原則とし、外部への業務委託を行いません。万が一、外部サービス(クラウドサービス等)を利用する場合は、当該サービスのセキュリティポリシー・認証取得状況を事前に審査し、適切な水準を満たすことを確認した上で利用します。

4-4. 契約・守秘義務

お客様との契約には、守秘義務条項を必ず含め、情報の取り扱い範囲・責任・違反時の対応を明確にします。社員・インターン・外部協力者(利用する場合)はすべて守秘義務契約を締結します。

第5条

人的安全管理措置

5-1. セキュリティ教育・訓練

  • 全社員に対して、情報セキュリティ研修を入社時および年1回以上実施する
  • フィッシング攻撃・ソーシャルエンジニアリングへの対応訓練を定期的に行う
  • セキュリティ担当者は、最新の脅威動向・技術をキャッチアップするための専門研修を受ける

5-2. インシデント報告義務

セキュリティインシデントの疑いや異常を発見した場合、すべての社員は直ちに責任者に報告する義務を負います。報告を遅延させることは、いかなる理由があっても認めません。

5-3. 違反時の対応

本ポリシーに違反した場合は、違反の内容・影響に応じて適切な措置を講じます。意図的な情報漏洩や重大な違反に対しては、法的措置を含む厳格な対応を取ります。

第6条

物理的安全管理措置

  • 機密情報を取り扱う作業は、第三者が画面を閲覧できない環境で行う
  • 作業端末の画面には、席を離れる際に必ずロックをかける(離席ロックの徹底)
  • 機密情報を含む書類は、施錠可能な場所に保管し、不要になった場合はシュレッダー処理する
  • 業務端末(PC・スマートフォン等)の紛失・盗難に備え、遠隔ワイプの設定を義務付ける
  • 公共の場(カフェ・電車内等)での機密情報の閲覧・入力を禁止する
第7条

インシデント対応

セキュリティインシデントが発生した場合、または発生の疑いがある場合は、以下のプロセスに従い迅速かつ適切に対応します。

フェーズ実施事項目標時間
検知・報告インシデントの発見者は直ちに責任者へ報告。影響範囲の初期評価を行う発見後30分以内
初動封じ込め被害拡大を防ぐための緊急措置(システム遮断・アクセス無効化等)を実施報告後2時間以内
顧客通知お客様の情報に影響がある場合、速やかに通知し状況を説明する確認後24時間以内
原因究明フォレンジック調査により根本原因を特定するインシデント収束後72時間以内
再発防止再発防止策を策定・実施し、ポリシーに反映する原因究明後2週間以内

個人情報保護法に基づく報告義務が生じる場合は、法令に定める期限内に個人情報保護委員会および本人への通知を行います。

第8条

次世代暗号(PQC)への対応

量子コンピュータの実用化によって、現在広く使われているRSAやECDSAなどの公開鍵暗号が将来的に解読されるリスクが指摘されています。当社は、都内大手銀行に対するPQC導入支援の実績を持つ専門家を有しており、自社の暗号化体制についても次世代暗号への移行計画を策定しています。

NIST(米国国立標準技術研究所)が標準化したPQCアルゴリズム(CRYSTALS-Kyber、CRYSTALS-Dilithium等)への段階的移行を推進しており、お客様が開発を依頼されるシステムについても、長期的な暗号安全性の観点からのアドバイスが可能です。

第9条

継続的改善

本ポリシーは、技術環境の変化・新たな脅威・法令の改正等を踏まえ、定期的に見直しを行います。年1回以上の定期レビューを実施し、必要に応じて随時改定します。

セキュリティ水準の継続的な向上のため、外部の脅威情報(JPCERT/CCの注意喚起・IPAのセキュリティ情報等)を定期的に参照し、新たなリスクへの対応を迅速に行います。

第10条

お問い合わせ

本ポリシーに関するご質問・セキュリティに関するご報告・脆弱性情報の開示等は、以下の連絡先にご連絡ください。責任者が直接対応いたします。

株式会社ZetaX セキュリティ統括責任者
所在地:東京都渋谷区神南1丁目11−4 FPGリンクス神南 5階
Email:ysato@zetax.jp