← 返回主頁

STORK Japan 株式会社

日本語 繁體中文

情報セキュリティポリシー

最終更新日:2025年1月15日

1. ポリシー目的

STORK Japan 株式会社は、お客様のデータとビジネス情報のセキュリティ保護に努めております。本情報セキュリティポリシーは、B2B調達プラットフォームの情報システムセキュリティ、データの完全性、サービスの継続的な可用性を確保するための包括的なセキュリティ管理フレームワークを確立します。

2. 情報セキュリティ管理体制

2.1 管理原則

  • 機密性(Confidentiality):情報が許可された人員のみにアクセス可能であることを確保
  • 完全性(Integrity):データの正確性と完全性を維持
  • 可用性(Availability):許可されたユーザーが情報とサービスにタイムリーにアクセスできることを保証

2.2 コンプライアンス基準

ISO 27001:2013

情報セキュリティ管理システムの国際標準、PDCAサイクルに基づく継続的改善メカニズムの確立

個人情報保護法

日本の個人情報保護法、GDPRなど、各国の個人情報保護法規を厳格に遵守

PCI DSS

ペイメントカード業界データセキュリティ標準、金融取引データのセキュリティを確保

3. 技術的セキュリティ対策

3.1 ネットワークセキュリティ

  • 多層防御:WAF、DDoS対策、侵入検知システムの導入
  • ネットワーク分離:DMZ領域の分離、内外ネットワーク分離構成
  • VPNアクセス:リモート管理における暗号化VPN接続
  • トラフィック監視:24時間365日のネットワークトラフィック異常監視

3.2 データ暗号化

  • 通信暗号化:全サイトでSSL/TLS 1.3暗号化プロトコルを採用
  • 保存暗号化:機密データにはAES-256暗号化アルゴリズムを採用
  • 鍵管理:ハードウェアセキュリティモジュール(HSM)による暗号鍵管理
  • エンドツーエンド暗号化:重要なビジネス通信にはエンドツーエンド暗号化を採用

3.3 システムセキュリティ

  • オペレーティングシステム強化:定期的なセキュリティアップデート、最小インストール原則
  • アプリケーションセキュリティ:セキュアコーディング標準、定期的なセキュリティテスト
  • データベースセキュリティ:権限階層化、SQLインジェクション対策、監査ログ
  • コンテナセキュリティ:イメージスキャン、実行時セキュリティ監視

4. アクセス制御とアイデンティティ管理

4.1 ユーザー認証

  • 多要素認証:管理アカウントでのMFA強制有効化
  • シングルサインオン:企業顧客のSSOシステム連携対応
  • パスワードポリシー:複雑さ要件、定期変更メカニズム
  • アカウントロック:異常ログインの自動ロック保護

4.2 権限管理

  • 最小権限の原則:ユーザーに必要最小限の権限のみを付与
  • ロールベースアクセス:職能に応じた適切な権限グループの割り当て
  • 権限レビュー:定期的なユーザー権限の見直しと更新
  • 特権アカウント管理:管理者アカウントの特別監視メカニズム

5. データ保護とバックアップ

5.1 データ分類

機密データ

顧客ビジネス情報、財務データ、個人データ

  • 最高レベル暗号化
  • 厳格なアクセス制御
  • 完全な監査証跡

内部データ

運用データ、システム設定、ビジネスプロセス

  • 標準暗号化保護
  • 内部人員アクセス
  • 定期的なアクセスチェック

公開データ

製品カタログ、会社情報、マーケティング資料

  • 基本セキュリティ保護
  • 許可されたユーザーアクセス
  • バージョン管理

5.2 バックアップ戦略

  • 3-2-1バックアップ原則:3つのデータコピー、2つの異なるメディア、1つのオフサイトバックアップ
  • リアルタイムバックアップ:重要なビジネスデータのリアルタイム同期バックアップ
  • 暗号化バックアップ:すべてのバックアップデータは暗号化保護
  • 定期テスト:毎月のデータ復旧テストの実施

6. インシデント対応と監視

6.1 セキュリティ監視

  • SIEMシステム:集中ログ管理と異常検知
  • リアルタイム監視:24時間365日のセキュリティオペレーションセンター
  • 脅威インテリジェンス:外部脅威インテリジェンスソースの統合
  • 行動分析:ユーザー行動異常検知システム

6.2 インシデント処理フロー

1. インシデント識別

自動監視システムまたは人員によるセキュリティインシデントの発見

2. 初期評価

インシデントレベルの判定、対応手順の起動

3. 封じ込め制御

インシデントの拡散阻止、影響を受けていないシステムの保護

4. 根本原因分析

インシデント原因の詳細調査、関連証拠の収集

5. 修復復旧

脅威の除去、システムの正常運用復旧

6. 事後検討

改善機会の分析、セキュリティ対策の更新

7. 人的セキュリティ管理

7.1 従業員教育訓練

  • 入社時研修:新入社員のセキュリティ意識向上研修
  • 定期研修:四半期ごとのセキュリティ知識更新コース
  • ソーシャルエンジニアリング対策:フィッシングメール識別演習
  • セキュリティ文化:全員参加のセキュリティ文化の構築

7.2 第三者管理

  • サプライヤー評価:パートナーのセキュリティ水準の定期評価
  • 契約要件:セキュリティ条項を協力協定に組み込み
  • アクセス管理:外部人員のシステムアクセスの厳格制御
  • 定期検査:外部アクセス権限の定期レビュー

8. 災害復旧計画

8.1 事業継続性

  • 目標復旧時間(RTO):重要システムは4時間以内に復旧
  • 目標復旧ポイント(RPO):データ損失は1時間以内
  • 冗長メカニズム:複数地域の冗長データセンター
  • 自動切替:主要システム障害時の自動切替

8.2 テストと演習

  • 定期テスト:四半期ごとの災害復旧演習の実施
  • シナリオシミュレーション:異なる災害シナリオでの復旧テスト
  • 文書更新:テスト結果に基づく復旧手順の更新
  • 人員研修:オペレーション担当者の復旧フローの習熟確保

9. コンプライアンスと監査

9.1 内部監査

  • 定期監査:半年ごとの内部セキュリティ監査
  • リスク評価:年次情報セキュリティリスク分析
  • 脆弱性スキャン:毎月のシステム脆弱性検出
  • ペネトレーションテスト:年次外部委託ペネトレーションテスト

9.2 外部認証

  • ISO 27001認証:年次継続認証と監督監査
  • SOC 2 Type II:第三者セキュリティ制御評価
  • 法規遵守:関連法規要件の定期レビュー
  • 顧客監査:大口顧客のセキュリティ監査ニーズへの対応

10. 報告と連絡

10.1 セキュリティインシデント報告

情報セキュリティインシデントが発見された場合、以下のタイムラインで報告を行います:

  • 内部報告:インシデント発見後1時間以内に経営陣への報告
  • 監督当局:法規要件に従って関連機関へのタイムリーな報告
  • 顧客通知:顧客データに関わる場合は72時間以内に通知
  • 公開説明:必要に応じて公開声明の発表

10.2 連絡窓口

STORK Japan 株式会社
情報セキュリティ委員会

緊急連絡電話:+81 035-846-9154(24時間)

セキュリティインシデント報告:service@storkjp.com

一般セキュリティ相談:service@storkjp.com

11. ポリシー維持

本情報セキュリティポリシーは情報セキュリティ委員会が維持管理し、年最少1回の見直しを行います。ポリシー改定時は会社ウェブサイトを通じて公告し、重大な変更については関連するステークホルダーに別途通知いたします。