© correlate design Inc.

  • Instagram
  • Facebook
  • Twitter
  • note

CONTACT

アクセス制御及び認証ポリシー

第1条(目的)

本ポリシーは、合同会社コラレイトデザイン(以下「当社」という)が保有する情報資産(システム、ネットワーク、各種データ等)を不正アクセスや内部不正から保護し、機密性・完全性・可用性を確保するために、アクセス制御及び認証の基本的な方針を定めるものです。

第2条(適用範囲)

  1. 本ポリシーは、当社の役員、従業員(正社員・契約社員・パート・アルバイト・派遣社員・顧問を含む)、および当社業務に従事する全ての者(以下「従業員等」という)が利用・管理するシステムやネットワーク、データに適用されます。
  2. 委託先や取引先など、当社の情報資産を利用する外部関係者にも、本ポリシーを準用または遵守を求めます。

第3条(アクセス制御の基本方針)

  1. 最小権限の原則(Least Privilege)
    従業員等には、その業務上必要な情報資産に対してのみアクセス権限を付与し、不要な権限は付与しません。
  2. 知る必要性の原則(Need-to-Know)
    情報へのアクセスは、業務上の必要性を明確にし、それに応じてのみ許可されるものとします。
  3. 責任の明確化
    アクセス権限の付与・変更・廃止は厳格に管理し、誰がいつどの情報資産にアクセスできるのかを明確にします。

第4条(アクセス権限管理)

  1. 権限付与・変更・廃止の手続き
    • 入社・異動・退職などに伴うシステムアクセス権の付与・変更・廃止は、所定の申請・承認手続きに基づいて行います。
    • 手続き完了後、速やかにアクセス権限が反映されるよう運用し、記録を残します。
  2. 定期的な権限レビュー
    • 担当部署は、少なくとも年1回以上、全システムのユーザIDとアクセス権限の棚卸しを実施します。
    • 不要・不適切な権限が確認された場合は、速やかに修正手続きを行います。
  3. 権限管理台帳の整備
    • システムごとに「権限管理台帳」を作成し、利用者名、アクセスレベル、付与・変更・廃止日などを記録・保管します。

第5条(認証の基本方針)

  1. ユーザIDの一意性
    • 各従業員等に対して、原則として個別のユーザIDを発行し、共用IDの使用を極力禁止します。
    • 特別な事情で共用IDを使用する場合は、責任の所在を明確にするための管理者および監査方法を定めます。
  2. パスワード管理
    • パスワードは、一定の複雑度(英大文字・英小文字・数字・記号の組み合わせ等)を満たすこと、および定期的に変更することを推奨します。
    • パスワードを他者と共有することを禁止し、書面やメール等で安易にやり取りしないよう徹底します。
  3. 多要素認証(MFA)の推奨
    • 機密性の高いシステムやリモートアクセスなど、リスクの高い場面では多要素認証(パスワード+ワンタイムパスコード、セキュリティキーなど)の導入を検討し、可能な限り採用します。

第6条(アクセスログ管理)

  1. ログの取得と保管
    • システムへのアクセス状況を可視化するため、ユーザID、アクセス日時、操作内容などのログを取得・保管します。
    • ログの保管期間は、法令や契約上必要な期間、またはインシデント対応で十分な検証が可能な期間を考慮して定めます。
  2. ログの監査・モニタリング
    • 必要に応じてログを監査・分析し、不正アクセスや誤操作の兆候を早期に把握します。
    • インシデントが発生した場合には、ログを詳細に調査し、原因究明と再発防止に活用します。

第7条(物理的アクセス制御との連携)

  1. 物理的入退室管理との連動
    • サーバールームや機器保管庫など、重要情報資産を収容する場所には入退室管理を導入し、関係者のみがアクセスできるよう制限します。
  2. デバイス制限
    • 指定外デバイス(個人端末、USBメモリ等)がシステムに接続されることを防止するため、業務端末・認証端末を限定的に管理します。

第8条(委託先及び外部接続)

  1. 外部ユーザのアクセス
    • 業務委託先など外部関係者にアクセス権限を付与する場合は、必要最小限とし、契約書(秘密保持契約含む)に基づき厳格に管理します。
  2. VPN・リモートアクセスの利用
    • 社外やリモート環境からシステムにアクセスする際には、暗号化通信や多要素認証など適切なセキュリティ対策を施します。

第9条(インシデント発生時の対応)

  1. インシデント報告
    • 不正アクセスやアクセス制御の不備を発見した場合は、速やかに上長・情報セキュリティ管理責任者へ報告します。
  2. 原因究明と再発防止
    • インシデント発生後は、原因調査・影響範囲の特定を行い、必要な修正・再発防止策を講じます。
  3. ログ分析・証拠保全
    • アクセスログの分析や関連する証拠の保全を迅速に行い、法的対応や社内処分の判断材料とします。

第10条(監査および見直し)

  1. 定期監査
    • アクセス制御と認証の運用状況を定期的に監査し、問題点を洗い出します。
    • 監査結果は経営層または担当役員に報告し、改善策を実施します。
  2. 継続的改善
    • 本ポリシーや関連規程は、技術の進歩や環境の変化に応じて、必要に応じて見直し・更新を行います。

第11条(罰則)

アクセス制御及び認証に関する本ポリシーや関連規程に違反した従業員等に対しては、就業規則や社内規定に基づき懲戒処分等を行う場合があります。また、外部関係者が違反した場合は、契約解除や損害賠償請求を含む法的措置を検討します。

第12条(問い合わせ窓口)

本ポリシーに関するお問い合わせや違反報告、運用上のご相談については、以下の窓口へご連絡ください。

【事業者名】合同会社コラレイトデザイン
【担当部署】IT管理部門
【住所】〒112-0001 東京都文京区白山2-22-20
【メールアドレス】contact@correlate.design

以上

CONTACT

現在、お問い合わせは公式LINEにて承っております。
公式LINEで問い合わせる
お仕事のご相談・お見積もり相談 ・アポイントメント ・メディア取材 など、
ご用件とお問合せ内容を詳細にお知らせくださいませ。

ご返信までにお時間を要する場合や、
ご質問によってはお応えできかねる場合もございます。
あらかじめご了承ください。

ホームページ/WEBサイト制作、デザインのご依頼は、
東京都文京区の合同会社コラレイトデザインにお任せください。
お見積もりのご依頼や、未確定な制作のご相談から承ります。