赤西 芳樹

トリックスターセキュリティガイドライン

トリックスターセキュリティガイドライン

セキュリティガイドライン

本ガイドラインは株式会社トリックスターにおける「ネットワーク」「人」「モノ」という三つの面から情報セキュリティ強化の政策を推進し、情報通信の「安心・安全」を実現するために制定するものとする。

定義:機密情報

本セキュリティガイドラインで保護するべき機密情報を以下に定義するものとする。

  • 各種情報にログインする為のID、パスワード
  • 個人情報(住所、電話番号、メールアドレス、所属会社、その他個人と紐づく各種情報)
  • 取引先から提供された公にされていない情報
  • 弊社の公にしていない情報

社内業務に関するセキュリティ管理について

パソコンのログインパスワードについて

各自のパソコンは情報漏洩を防ぐため、個別のID、パスワードにてログイン管理を行うものとする。
パスワードは12文字以上の英数字による3語以上の単語を繋げたものとする。

例:rabbitcarcake

なお、パソコンのパスワードは本人本人不在の緊急時に起動させる必要がある場合を想定しネットワーク管理者はローカルファイルサーバーのネットワーク管理者のみがアクセス可能なセキュリティ領域に各パソコンのログイン情報を管理するものとする。

離席中の画面セキュリティについて

離籍中部外者が室内に入室し機密情報が漏洩しないよう、各パソコンの画面にはにスクリーンセーバー及びパスワードロックを設置するものとする。また、スクリーンセーバー及びパスワードロックは原則5分以内に自動的に作動するように設定を行うものとする。

ファイルサーバーの共有ディレクトリーについて

社内利用のファイルサーバーには部署別共有ディレクトリを作成し各自が所属している部署のディレクトリのみログイン可能となるよう設定を行うものとする。

ファイルサーバーへアクセス可能なネットワーク環境について

社内での情報を共有するファイルサーバーへのログインはローカルネットワークからのみ接続可能とし、社外からの接続は制限するものとする。

ファイルサーバーへのログインについて

社内ファイルサーバーへのログインは、従業員個別のID,パスワードにて行うものとする。

データの社外持ち出しについて

パソコン内のデータの流失・紛失を防ぐためデータの社外への持ち出しは原則禁止とする。 業務上やむなく社外へのデータの持ち出しが必要がある場合は随時上長と相談の上許可を得るものとする。

パソコンへの記録媒体接続の禁止

社内のパソコンにUSB、フロッピーディスク、スマートフォンなどの記録媒体の接続は原則禁止とする。業務上やむを得ない場合は随時上長と相談の上判断することとする。

※許可される例

LINUXのインストールディスクを作成する際など

社内のウィルス対策

社内のパソコンには指定のセキュリティソフトをインストールし、有効にしておくものとする。またネットワーク担当者は社内全てのパソコンのセキュリティソフトを一元管理し、セキュリティソフトが有効であることを随時確認できる体制を取ることとする。

ゲートウェイセキュリティー

インターネット接続についてルーター側でゲートウェイセキュリティを設定するものとする。セキュリティ設定についてはネットワーク担当者が毎年2回1月と6月に見直し確認を行うものとする。

パスワードの生成ルールについて

Web上での各種認証に使用するパスワードは文字数12桁以上、半角英数字によるランダムな文字列を使用するものとする。また同一の文字列を異なる認証に使いまわさないものとする。パスワードの生成はluftTOOLS(http://www.luft.co.jp/cgi/randam.php)の使用を推奨するが同等のパスワードを生成するツールであれば問題ないものとする。

パスワードの保存について

各種サイトのログインに使用するパスワードは無用に保存することがないようにパスワード管理ツールを使用するものとする。

新入社員に対する情報管理についての誓約書の締結

新入社員は入社時に機密保持契約書(守秘義務誓約書)を会社と書面で締結するものとする。

就業時間外の個別管理書類について

業務終了時には各机上に紙面資料を残さないものとし、作業中の書類は全て各従業員に割り振られた鍵付きロッカーに収納するものとする。

機密情報の記載された紙面資料の破棄について

機密情報の記載された紙面を破棄する場合には、必ずシュレッダーで可読不可能な状態に裁断の上で破棄するものとする。

事務所内への入室について

弊社事務所内に部外者が入室する際は、入室する者の氏名、会社名、弊社対応者氏名、入退室日時を来訪者管理表に記録するものとする

電子メール利用に関して

  • 会社から発行された電子メールは、私的濫用を防止するため、業務以外で使用してはならない。
  • 送信に当たっては相手先を誤らないよう十分に注意すること。万一、誤って送信したときは、相手先へ削除を依頼すること。
  • 受信したメールを転送する際は十分に相手先に注意し、原文のまま送ると個人情報などが含まれている場合があるので、内容を確認すること。
  • 複数の人へメールを送る際は、全員のメールアドレスが見える方法(宛先CC設定)は必要がない限り行わないこと。
  • 本人および他の社員のメールアドレスを不用意に社外へ公開してはならない。
  • セキュリティ管理者は、会社から発行された電子メールについて必要が生じた場合は利用状況を監視(モニタリング)することがある。

      • 個人情報の利用範囲について

      個人情報取得時に同意を得ている利用範囲を超えた内容で利用をしてはならない

      個人情報を外部取引先と共有する場合には、機密保持契約書が締結されていること、利用目的に沿って外部取引先と情報共有することを個人情報取得時に了承を得ていることを確認すること

      物理的セキュリティ管理について

      コンピュータやネットワーク機器などを、損壊や盗難などから保護し、またそれらから発生する情報資産を保護する為に物理的セキュリティ管理について以下を定める。

      セキュリティ管理者を定める

      弊社におけるセキュリティ管理遂行の為、セキュリティ管理者を決める。セキュリティ管理者は社内のコンピューター、その他情報機器のセキュリティ管理、弊社で取り扱う機密情報、インターネット上での情報配信に関わるセキュリティについて管理を行うこととする。なお、プロジェクトや支店レベルで個別にセキュリティを管理を行う必要がある場合はセキュリティ管理者が必要に応じて限定された事項におけるセキュリティ担当を任命することができることとする。

      バックアップ体制を整える

      重要なデータは、ハードディスクだけに記憶させず、必ず、ファイルサーバーにバックアップを取っておく。更にファイルサーバーのバックアップデータを別場所の外部記憶媒体にバックアップするものとする

      修理

      情報機器などを修理のため社外に持ち出す場合、情報漏えいを防ぐため、信頼のおける修理業者を選択しなければならない。また、情報漏えい防止に関する取り決めを、契約書に明記しておくこととする。

      情報記憶媒体の破棄

      ハードディスクを交換するとき、あるいは情報機器そのものを廃棄する場合には、データをすべてフォーマットしたうえで業者に引き渡すようにしなければならない。また、修理や廃棄の記録は、管理台帳にその旨を記載して管理するものとする

      Webサイトにおけるセキュリティ管理について

      Webサイトの管理において以下の対策を講じるものとする。

      全ページSSL対応

      弊社が運用するWebサイトにおいては全公開ページを対象にSSLによる通信暗号化対応を行うものとする。

      個人情報保護方針の明示

      Webサイト上にフォームを設置する場合は必ず個人情報保護方針を同一ドメイン上に掲載し、またフォーム入力前に確認できる場所からリンクないし直接内容が確認できるよう動線を設計するものとする

      情報を取得する必要のあるWebサイト上では個人情報保護方針を提示

      Webフォーム等個人情報を取得する機能を設置する場合は、必ず個人情報保護方針についての記載を行うものとする。

      管理画面について

      Webサイト上に管理画面を設置する場合は必ずログインID、パスワードによる認証を設置するものとする。また、可能な範囲でIP制限を設定するものとする。管理画面を共有する取引先に固定IP環境がない場合は可能な範囲で管理画面に対しBASIC認証を設定するものとする。

      外部取引先との情報管理について

      外部取引先への機密情報の伝達について

      外部取引先への機密情報の伝達についてはID、パスワード認証の必要な媒体を使用し、認証情報と機密情報の伝達は同一の通信で行わないものとする。


      例:認証付きファイルをメールで添付する場合、認証情報は別のメールにて送る。

      外部取引先との機密保持契約について

      外部取引先に機密情報・個人情報を提供する際は機密保持契約書を締結することとし。また情報取得元に対し情報共有が必要な外部企業との情報共有について了承を得るものとする。外部企業に機密情報・個人情報を提供した際は、提供日時、提供内容について記録が残る方法を取るものとする。

      トラブル発生時の対応について

      速やかにセキュリティ担当者に報告を行う

      コンピュータやネットワーク機器などの盗難、あるいは損壊などのトラブルを発見した場合は、速やかにセキュリティ担当者または管理責任者に連絡するものとする

      対応の検討

      セキュリティ担当者は、トラブルが発生した場合、速やかに対策を検討し実施するものとする

      重大なトラブル発生時について

      トラブル発生によって、事業継続に甚大な損失や支障があると判断した場合、直ちに代表に報告する。代表は、セキュリティ担当者と協議したうえで、速やかに対応を検討し実施する。

      トラブル対応後

      トラブルを解決した後、その原因を検証したうえでセキュリティ管理を再構築し、再発防止に努める。また従業員の行動に問題があった場合は、罰則を与えることも検討する。

      社外への告知について

      社外に影響のあるトラブルが発生した場合は自社Webサイトや関連するメディア上で謝罪及び状況の説明に関する告知を行うものとする

      付  則

      本規定は、2018年(平成30年)1月1日から施行する。

      2018年11月2日更新

この記事の筆者

akanishi

  • アーカイブ

前へ

災害対策ガイドライン

次へ

WeWorkの賃貸料金は本当に高いのか(専用オフィスプランの場合)