Security Action
SECURITY ACTION
二つ星に向けた対策宣言
当社は、独立行政法人情報処理推進機構(IPA)の「SECURITY ACTION」制度に賛同し、次の取組を行ったことを宣言します。
- 「5分でできる!情報セキュリティ自社診断」を実施しました。
- 情報セキュリティ基本方針を策定し、これを公開しました。
今後も、情報セキュリティ対策の維持・向上に努め、お客様と社会の信頼に応えてまいります。
SECURITY ACTION について(IPA公式)情報セキュリティ基本方針
当社は、お客様の情報資産および当社が取り扱う全ての情報資産を適切に保護するため、以下の基本方針に基づき情報セキュリティを推進します。
- 法令・規範の遵守と、社会的要請に沿った適切な管理を行います。
- 情報資産の機密性・完全性・可用性を確保するため、組織的・技術的・物理的な対策を講じます。
- 従業者に対し、継続的な教育・訓練を実施し、周知徹底を図ります。
- 事故・災害等のインシデントに対して、迅速な初動・原因分析・再発防止に取り組みます。
- 本方針および関連規程・手順は、事業・技術・社会の変化に応じて継続的に改善します。
本基本方針に関するお問い合わせは、
info[at]craidtech.com までお願いします。
実施している主な対策
基本方針の策定
情報セキュリティ基本方針を定め、経営のコミットメントの下で継続的改善を行います。
資産とアクセス管理
アカウントの最小権限・MFAの適用、アカウント監査、退職/異動時の迅速な権限見直しを実施。
端末/OS/ソフト更新
OS・ブラウザ・ソフトウェアの自動更新、EDR/ウイルス対策、不要アプリの排除を徹底。
パスワード/認証
強固なパスワード方針、パスワードマネージャ活用、主要サービスへの多要素認証を必須化。
データ保護/暗号化
機微情報の分類・保護、保存/転送時の暗号化、バックアップとリストア訓練を実施。
開発/脆弱性管理
依存関係の脆弱性スキャン、コードレビュー、環境分離、秘密情報の安全管理を実施。
ログ/監視/検知
重要システムのログ収集と保全、アラート設計、異常検知と早期対応体制を構築。
メール/フィッシング対策
迷惑メール対策、添付/リンクのサンドボックス化、従業員教育を定期実施。
物理/持出管理
端末持出ポリシー、リモートワイプ、記録媒体の暗号化と廃棄時の適切処置。
委託先/クラウド
委託先のセキュリティ確認、契約での義務化、クラウド設定のベストプラクティス順守。
インシデント対応
連絡体制、初動手順、原因分析〜再発防止のPDCAを整備し、演習を実施。
教育/啓発
入社時・定期の情報セキュリティ教育、受講状況管理、釣りメール演習の実施。
本宣言は、社会情勢・技術動向・事業内容の変化に応じて定期的に見直し、必要な更新を行います。具体的な運用ルールや技術設定は、内部規程・運用手順にて管理しています。