情報セキュリティポリシー

株式会社creari(以下「当社」といいます)は、本ウェブサイトおよび関連するサービス(以下「本サービス」といいます)における、情報セキュリティの確保について、以下のとおり情報セキュリティポリシー(以下「本ポリシー」といいます)を定めます。

第1条(基本方針)

当社は、Webサービス及びアプリケーション開発を主業務とする事業者として、以下の基本方針に基づき情報セキュリティ対策を実施します:

  • 顧客資産の保護を最優先事項とする
  • 開発環境と本番環境の分離
  • 基本的なセキュリティ対策の確実な実施

第2条(適用範囲)

  • 全ての開発プロジェクト
  • 顧客から預かる情報資産
  • 社内の情報システム
  • クラウドサービス利用環境

第3条(情報資産の分類と管理)

3.1 情報分類基準

1. 最重要機密情報

  • 顧客の認証情報(ID/パスワード)
  • API キー、証明書
  • データベース接続情報

2. 機密情報

  • 顧客の個人情報/業務情報
  • ソースコード
  • 設定情報

3. 社内情報

  • 業務文書
  • 社内連絡事項

3.2 情報管理方針

最重要機密情報

  • パスワードマネージャーでの保存
  • 定期的なパスワード更新

機密情報

  • プライベートリポジトリでの管理
  • クラウドストレージでの保存

社内情報

  • クラウドストレージでの管理
  • 適切なアクセス権限設定

第4条(開発環境のセキュリティ)

4.1 環境管理

  • 開発環境と本番環境の分離
  • テストデータと本番データの分離
  • 本番環境へのアクセス制限

4.2 基本的な開発管理

  • Gitでのバージョン管理
  • 機密情報の外部流出防止
  • 定期的なバックアップ

第5条(システムセキュリティ対策)

5.1 基本的なセキュリティ対策

  • ウイルス対策ソフトの導入
  • OSの自動アップデート有効化
  • ファイアウォールの有効化

5.2 アクセス管理

  • 二要素認証の利用
  • 強固なパスワード設定
  • 定期的なパスワード変更

第6条(インシデント対応)

基本的な対応手順:

  1. 問題の把握
  2. 影響範囲の特定
  3. 応急対策の実施
  4. 関係者への報告

第7条(定期点検)

  • 月次での基本的なセキュリティ確認
  • 年次でのポリシー見直し

第8条(例外管理)

セキュリティポリシーの例外適用が必要な場合は、リスクを評価したうえで判断します。