MENU

SECURITY INCIDENT
セキュリティインシデント報告・対応規程

株式会社Ultimate Life(以下、「当社」といいます。)は、以下のとおりセキュリティインシデント報告・対応規程を定め、セキュリティインシデント報告・対応の仕組みを構築し、全従業員にセキュリティインシデント報告・対応の重要性の認識と取組みを徹底させることにより、セキュリティインシデント報告・対応を推進致します。

【1】趣旨

本規程は、セキュリティインシデントが発生した場合及びセキュリティインシデントの発生と疑われる場合、適切な連絡経路を通じて極力速やかに報告し、定められた手順に従って迅速に対応し、情報システム環境の復旧が速やかになされることと、発生した事態から問題点や改善点などに対する学習を行い、継続的な再発防止が行われることを目的とする。当社におけるセキュリティインシデントとは次のような事態を指す。

  1. セキュリティに対する侵害
    例 不正アクセスによる情報漏えい、従業員による情報漏えい、ウイルス・マルウエア感染、DoS攻撃、記録媒体等の紛失等
  2. システム・ネットワークの故障・損壊
    例 電源異常、熱暴走、天災による機器損壊等
  3. 情報資産への脅威
    例 建物への侵入 等

【2】対象者

当社のすべての従業員。

【3】対象システム

当社の従業員が業務遂行のため利用するすべてのシステム。

【4】遵守事項

経営者の同意・承認の元、未然に防げなかった事態が発生した際に、事態の可及的速やかな収拾と被害や影響範囲を最小にするために、平時からの取組と組織・役割の責任の明確化・伝達方法・事態の評価と対応及び再発防止を含む学習についての取り組みを明確にする。

事前対策実施項目

  1. ネットワーク保護
    許可されていないIPアドレスへのアクセスを拒否するために、ネットワーク保護制御(AWS VPCサブネット/セキュリティグループ、ネットワークファイアウォールなど)を実装する。パブリックアクセスは承認されたユーザーにのみ制限
  2. アクセス管理
    • コンピュータアクセスができる各個人に固有のID割り当てを行う。汎用的なデフォルトのログイン資格情報などは使用しない。常に必要なユーザーアカウントのみがアクセスするよう設計。
    • 四半期毎に情報にアクセスする人員やサービスのリストを確認し、アクセス不要アカウントの削除を行う。
    • 開発者の従業員に対して、個人のデバイスへのAmazonデータの保存を制限する。変則的な使用パターンやログインの試行を検知し、必要に応じて情報へアクセス可能なアカウントロックを行う。
  3. データ処理
    • 転送中のすべての情報を暗号化(データがネットワークを通過する場合やホスト間を移動する場合等)
    • 内部通信チャネル(ストレージ層ノード間のデータ伝播チャネル、依存関係にある外部との接続等)や管理ツールと同様に、顧客が使用するすべての適用可能な外部に対してこのセキュリティ管理を実施
    • 転送中に暗号化を行わない通信チャネルは無効にする必要(関連する不使用コードの削除、暗号化されたチャネルのみの依存関係の設定、暗号化されたチャネルの使用のみへのアクセス情報の制限など)。
    • 信頼できないマルチテナントハードウェア(信頼できないプロキシ等)でチャネル暗号化(TLSの利用等)が終了する場合、データメッセージレベルの暗号化を使用。
    • データの削除、返還の必要がある場合は、取得先の規約に準拠する。

【4.1】平時の準備

セキュリティインシデントが発生した場合、あるいは発生が疑われる場合は当社システム開発事業部(以後システム開発事業部)に遅滞なく報告がなされ、速やかにセキュリティインシデントの分析、封じ込め、原因の根絶、復旧が可能となるよう、4.2項以降に示す対応について以下の準備作業を行い、関係者に周知・徹底する。

  1. システム開発事業部は想定するセキュリティインシデントの具体的な対応手順を策定する。対応手順には,次の事項を含む。
    • 緊急時対応の対応組織の始動、及び終了に関する契機
    • 緊急時対応の対応組織の役割、責任の明確化
      なお、緊急対応の実行責任者は,緊急時対策に関するすべての判断の権限及び責任をもつものとする。
    • 組織の内部及び外部機関との協力関係の明記
    • 組織の内外への必要な連絡先の明記
  2. システム開発事業部は、策定した対応手順でセキュリティインシデントに 対応可能となるよう、定期的に訓練を行い、併せて対応手順に問題がないか確認を行い、対応手順に問題があれば是正する。
  3. システム開発事業部は、セキュリティインシデントの検知に必要な情報セキュリティ対策の導入に向け、情報セキュリティマネジメントを遂行しなければならない。

【4.2】事象の検知、報告と分析

セキュリティインシデント、あるいは発生が疑われる事象を検知したものは、システム開発事業部に遅滞なく報告しなければならない。システム開発事業部は、報告されたセキュリティインシデントに応じ、策定した対応手順に従い、被害の特定、原因の分析を行う。なお、策定した対応手順に該当しないセキュリティインシデントの場合、システム開発事業部は、そのための実行責任者を任命し、対応組織を始動し、被害の特定、原因の分析を行う。検知したセキュリティインシデント情報、原因の分析状況について、実行責任者のもと、一元的に収集、管理する。


【4.3】封じ込め、根絶、復旧

特定したセキュリティインシデントの原因に基づく対応手順に則り、被害の拡散を防止し、被害箇所の原因の根絶、修復を行い、復旧をする。なお、セキュリティインシデントに関する情報は、実行責任者のもと、一元的に収集、管理する。以下の情報を管理、記録する。

  • セキュリティインシデントの発生状況及び対応状況に関する情報
  • 自社の情報
  • 顧客及び取引先等利害関係者の影響等に関する情報

【4.3】インシデントからの学習

セキュリティインシデントの対応後、同様のセキュリティインシデントの再発防止、および対応手順の不備等について改善を行う。

  1. セキュリティインシデントへの対応が完了した後、システム開発事業部は、調査結果をもとに再発防止計画を作成しなければならない。再発防止計画作成時には、技術的側面と組織的側面の両方に留意する。
  2. システム開発事業部は発生したインシデントのうち、以下の要件を満たすものについては、再発防止計画と共に取締役会に報告しなければならない。
    • 社外の第三者からのセキュリティ侵害により当社が被害者となる場合
    • 顧客や取引先等の社外に対して当社が加害者となる場合
  3. 再発防止計画は、すべての従業員に周知され、適切に実施されなければならない。
  4. システム開発事業部は、セキュリティインシデントの発生から再発防止計 画作成までの一連の管理した記録から、対応手順の不備、または良かった点を整理し、対応手順を改善しなければならない。また、一連の記録を保管、管理しなければならない。

【5】運用確認事項

インシデント発生時における対応方法について、あらかじめ報告及び復旧等に向けた手 順を作成しているか確認する。また、インシデント対応実施後に再発防止策、対応手順の改善が行われているか、確認する。

【6】例外事項

業務都合等により本規程の遵守事項を守れない状況が発生した場合は、システム開発事業部に報告し、例外の適用承認を受けなければならない。

【7】罰則事項

本規程の遵守事項に違反した者は、その違反内容によっては罰則を課せられる場合がある。罰則の適用については当社規定に従う。

【8】公開事項

本規程は対象者にのみ公開するものとする。

【9】改定

本規程は対象者にのみ公開するものとする。

  • 本規程は、平成2020年2月1日にシステム開発事業部によって承認され、平成2020年3月1日より施行する。
  • 本規程の変更を求める者は、システム開発事業部に申請しなければならない。システム開発事業部は申請内容を審議し、変更が必要であると認められた場合には速やかに変更し、その変更内容をすべての対象者に通知しなければならない。
  • 本規程は、定期的(年2回)に内容の適切性を審議し、変更が必要であると認められた場合には速やかに変更し、その変更内容をすべての対象者に通知しなければならない。