Appearance
適用宣言書(SoA)
策定日:2024/06/18
JIS Q 27001 附属書Aに記載された管理策の中で、当社が社内ルールとして採用している管理策は以下のとおりです。
各管理策に基づいた具体的な実施事項については、別途「情報セキュリティマニュアル」に定めます。
また、以下の管理策は、組織内で全て実施されています。
| 項番 | 管理策 | 採否 | 実施の状態 | 採否の理由 |
|---|---|---|---|---|
| A.5.1 | 情報セキュリティのための方針群 | Yes | 実施中 | 社内規程が存在しない、もしくは古い状態が続いている(組織管理者・開発部)リスクに対応するため |
| A.5.2 | 情報セキュリティの役割及び責任 | Yes | 実施中 | セキュリティに関する権限や役割が曖昧(組織管理者・開発部)リスクに対応するため |
| A.5.3 | 職務の分離 | Yes | 実施中 | セキュリティに関する権限や役割が曖昧(組織管理者・開発部)リスクに対応するため |
| A.5.4 | 管理層の責任 | Yes | 実施中 | 従業者の不適切な行動による情報漏えいや改ざん、システム停止(組織管理者・開発部)リスクに対応するため |
| A.5.5 | 関係当局との連絡 | Yes | 実施中 | インシデント発生時の対応が決まっていない(組織管理者・開発部)リスクに対応するため |
| A.5.6 | 専門組織との連絡 | Yes | 実施中 | 社内規程が存在しない、もしくは古い状態が続いている(組織管理者・開発部)リスクに対応するため |
| A.5.7 | 脅威インテリジェンス | Yes | 実施中 | 社内規程が存在しない、もしくは古い状態が続いている(組織管理者・開発部)リスクに対応するため |
| A.5.8 | プロジェクトマネジメントにおける情報セキュリティ | Yes | 実施予定 | 従業者の不適切な行動による情報漏えいや改ざん、システム停止(組織管理者・開発部)リスクに対応するため |
| A.5.9 | 情報及びその他の関連資産の目録 | Yes | 実施中 | 保護すべき情報や、その責任の所在が不明瞭(組織管理者・開発部)リスクに対応するため |
| A.5.10 | 情報及びその他の関連資産の許容される利用 | Yes | 実施中 | 来客や部外者による盗み見(本社オフィス)、保護すべき情報や責任の所在が不明瞭(組織管理者・開発部)リスクに対応するため |
| A.5.11 | 資産の返却 | Yes | 実施中 | 退職した元従業者による情報漏えい(組織管理者・開発部)リスクに対応するため |
| A.5.12 | 情報の分類 | Yes | 実施中 | 保護すべき情報や、その責任の所在が不明瞭(組織管理者・開発部)リスクに対応するため |
| A.5.13 | 情報のラベル付け | Yes | 実施中 | 保護すべき情報や、その責任の所在が不明瞭(組織管理者・開発部)リスクに対応するため |
| A.5.14 | 情報の転送 | Yes | 実施中 | 外部との情報のやり取りに関する基本方針がなく、不適切なやり取りが行われる(組織管理者・開発部)リスクに対応するため |
| A.5.15 | アクセス制御 | Yes | 実施中 | アカウントやアクセス権限に関する方針がなく、不適切な設定が行われる(組織管理者・開発部)リスクに対応するため |
| A.5.16 | 識別情報の管理 | Yes | 実施中 | アカウントやアクセス権限に関する方針がなく、不適切な設定が行われる(組織管理者・開発部)リスクに対応するため |
| A.5.17 | 認証情報 | Yes | 実施中 | パスワードや秘密認証情報が推測されることによる情報漏えい(組織管理者・開発部)リスクに対応するため |
| A.5.18 | アクセス権 | Yes | 実施中 | アカウントやアクセス権限に関する方針がなく、不適切な設定が行われる(組織管理者・開発部)、退職した元従業者による情報漏えい(組織管理者・開発部)リスクに対応するため |
| A.5.19 | 供給者関係における情報セキュリティ | Yes | 実施中 | 委託先による情報漏えいやシステム停止(組織管理者・開発部)リスクに対応するため |
| A.5.20 | 供給者との合意における情報セキュリティの取扱い | Yes | 実施中 | 委託先による情報漏えいやシステム停止(組織管理者・開発部)リスクに対応するため |
| A.5.21 | 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理 | Yes | 実施中 | 委託先による情報漏えいやシステム停止(組織管理者・開発部)リスクに対応するため |
| A.5.22 | 供給者のサービス提供の監視、レビュー及び変更管理 | Yes | 実施中 | 委託先による情報漏えいやシステム停止(組織管理者・開発部)リスクに対応するため |
| A.5.23 | クラウドサービスの利用における情報セキュリティ | Yes | 実施中 | 委託先による情報漏えいやシステム停止(組織管理者・開発部)、データ保管国の法規制の影響(Github/Sentry/Notion/Google Workspace/Slack/freee/Figma/Linear/AWSリソース)、利用終了時のデータの滅失リスクに対応するため |
| A.5.24 | 情報セキュリティインシデント管理の計画策定及び準備 | Yes | 実施中 | インシデント発生時の対応が決まっていない(組織管理者・開発部)リスクに対応するため |
| A.5.25 | 情報セキュリティ事象の評価及び決定 | Yes | 実施中 | インシデント発生時の対応が決まっていない(組織管理者・開発部)リスクに対応するため |
| A.5.26 | 情報セキュリティインシデントへの対応 | Yes | 実施中 | インシデント発生時の対応が決まっていない(組織管理者・開発部)リスクに対応するため |
| A.5.27 | 情報セキュリティインシデントからの学習 | Yes | 実施中 | インシデント発生時の対応が決まっていない(組織管理者・開発部)リスクに対応するため |
| A.5.28 | 証拠の収集 | Yes | 実施中 | インシデント発生時の対応が決まっていない(組織管理者・開発部)リスクに対応するため |
| A.5.29 | 事業の中断・阻害時の情報セキュリティ | Yes | 実施中 | システムの冗長化が不十分なことによるサービス停止(LeanQuest)リスクに対応するため |
| A.5.30 | 事業継続のためのICTの備え | Yes | 実施中 | システムの冗長化が不十分なことによるサービス停止(LeanQuest)リスクに対応するため |
| A.5.31 | 法令、規制及び契約上の要求事項 | Yes | 実施中 | 法令・コンプライアンス違反(組織管理者・開発部)リスクに対応するため |
| A.5.32 | 知的財産権 | Yes | 実施中 | 法令・コンプライアンス違反(組織管理者・開発部)リスクに対応するため |
| A.5.33 | 記録の保護 | Yes | 実施中 | 法令・コンプライアンス違反(組織管理者・開発部)リスクに対応するため |
| A.5.34 | プライバシー及び個人識別可能情報(PII)の保護 | Yes | 実施中 | 法令・コンプライアンス違反(組織管理者・開発部)リスクに対応するため |
| A.5.35 | 情報セキュリティの独立したレビュー | Yes | 実施中 | 従業者の不適切な行動による情報漏えいや改ざん、システム停止(組織管理者・開発部)リスクに対応するため |
| A.5.36 | 情報セキュリティのための方針群、規則及び標準の順守 | Yes | 実施中 | システム開発における一般的な原則が実施できていない(LeanQuest)、従業者の不適切な行動(組織管理者・開発部)リスクに対応するため |
| A.5.37 | 操作手順書 | Yes | 実施予定 | 誤った操作によるシステムの停止(LeanQuest)リスクに対応するため |
| A.6.1 | 選考 | Yes | 実施中 | セキュリティ的に不適切な従業者を採用してしまう(組織管理者・開発部)リスクに対応するため |
| A.6.2 | 雇用条件 | Yes | 実施中 | セキュリティ的に不適切な従業者を採用してしまう(組織管理者・開発部)リスクに対応するため |
| A.6.3 | 情報セキュリティの意識向上、教育及び訓練 | Yes | 実施中 | 従業者の不適切な行動による情報漏えいや改ざん、システム停止(組織管理者・開発部)リスクに対応するため |
| A.6.4 | 懲戒手続 | Yes | 実施中 | 従業者の不適切な行動による情報漏えいや改ざん、システム停止(組織管理者・開発部)リスクに対応するため |
| A.6.5 | 雇用の終了又は変更後の責任 | Yes | 実施中 | 退職した元従業者による情報漏えい(組織管理者・開発部)リスクに対応するため |
| A.6.6 | 秘密保持契約又は守秘義務契約 | Yes | 実施中 | 外部との情報のやり取りに関する基本方針がなく、不適切なやり取りが行われる(組織管理者・開発部)リスクに対応するため |
| A.6.7 | リモートワーク | Yes | 実施中 | 盗難や盗聴による情報漏えい(個人用デバイス)リスクに対応するため |
| A.6.8 | 情報セキュリティ事象の報告 | Yes | 実施中 | インシデント発生時の対応が決まっていない(組織管理者・開発部)リスクに対応するため |
| A.7.1 | 物理的セキュリティ境界 | Yes | 実施中 | 来客や部外者による盗み見(本社オフィス)、不正侵入による情報漏えい(本社オフィス)リスクに対応するため |
| A.7.2 | 物理的入退 | Yes | 実施中 | 不正侵入による情報漏えい(本社オフィス)、来客や部外者による盗み見(本社オフィス)リスクに対応するため |
| A.7.3 | オフィス、部屋及び施設のセキュリティ | Yes | 実施中 | 来客や部外者による盗み見(本社オフィス)リスクに対応するため |
| A.7.4 | 物理的セキュリティの監視 | Yes | 実施中 | 不正侵入による情報漏えい(本社オフィス)リスクに対応するため |
| A.7.5 | 物理的及び環境的脅威からの保護 | Yes | 実施中 | 洪水や地震などの災害によるシステム停止(本社オフィス)、来客や部外者による盗み見(本社オフィス)リスクに対応するため |
| A.7.6 | セキュリティを保つべき領域での作業 | Yes | 実施中 | 来客や部外者による盗み見(本社オフィス)リスクに対応するため |
| A.7.7 | クリアデスク・クリアスクリーン | Yes | 実施中 | 来客や部外者による盗み見(本社オフィス)リスクに対応するため |
| A.7.8 | 機器の設置及び保護 | Yes | 実施中 | 盗難や盗聴による情報漏えい(ルーター)、不注意による機器の故障(ルーター)、洪水や地震によるシステム停止(本社オフィス)リスクに対応するため |
| A.7.9 | 構外にある資産のセキュリティ | Yes | 実施中 | 盗難や盗聴による情報漏えい(個人用デバイス)、紛失による情報漏えい(個人用デバイス)リスクに対応するため |
| A.7.10 | 記録媒体 | Yes | 実施中 | 盗難・不注意による機器の故障・不適切な輸送・保護すべき情報や責任の所在が不明瞭リスクに対応するため |
| A.7.11 | サポートユーティリティ | Yes | 実施中 | 洪水や地震などの災害によるシステム停止(本社オフィス)リスクに対応するため |
| A.7.12 | ケーブル配線のセキュリティ | Yes | 実施中 | 不注意による機器の故障(ルーター)リスクに対応するため |
| A.7.13 | 装置の保守 | Yes | 実施中 | マルウェアなど外部からの攻撃による情報漏えい(ルーター)リスクに対応するため |
| A.7.14 | 装置のセキュリティを保った処分又は再利用 | Yes | 実施中 | 不適切な廃棄による情報漏えい(個人用デバイス・ルーター)リスクに対応するため |
| A.8.1 | 利用者エンドポイント機器 | Yes | 実施中 | 盗難や盗聴による情報漏えい(個人用デバイス)、紛失による情報漏えい(個人用デバイス)リスクに対応するため |
| A.8.2 | 特権的アクセス権 | Yes | 実施中 | 管理者権限の不適切な利用による情報漏えい(Github/Sentry/Notion/Google Workspace/Slack/freee/Figma/Linear/AWSリソース)リスクに対応するため |
| A.8.3 | 情報へのアクセス制限 | Yes | 実施中 | アカウントやアクセス権限に関する方針がなく、不適切な設定が行われる(組織管理者・開発部)リスクに対応するため |
| A.8.4 | ソースコードへのアクセス | Yes | 実施中 | アカウントやアクセス権限に関する方針がなく、不適切な設定が行われる(組織管理者・開発部)リスクに対応するため |
| A.8.5 | セキュリティを保った認証 | Yes | 実施中 | 不正ログインによる情報漏えいや改ざん(Github/Sentry/Notion/Google Workspace/Slack/freee/Figma/Linear/AWSリソース)リスクに対応するため |
| A.8.6 | 容量・能力の管理 | Yes | 実施予定 | 誤った操作によるシステムの停止(LeanQuest)リスクに対応するため |
| A.8.7 | マルウェアに対する保護 | Yes | 実施中 | マルウェアなど外部からの攻撃による情報漏えい(個人用デバイス)リスクに対応するため |
| A.8.8 | 技術的ぜい弱性の管理 | Yes | 実施中 | マルウェアなど外部からの攻撃による情報漏えい(個人用デバイス・ルーター)、システム開発における一般的な原則が実施できていない(LeanQuest)、従業者の不適切な行動(組織管理者・開発部)リスクに対応するため |
| A.8.9 | 構成管理 | Yes | 実施中 | 機器の把握や管理ができていない事によるデータの漏えいや滅失(個人用デバイス・ルーター)リスクに対応するため |
| A.8.10 | 情報の削除 | Yes | 実施中 | 保護すべき情報や、その責任の所在が不明瞭(組織管理者・開発部)リスクに対応するため |
| A.8.11 | データマスキング | Yes | 実施中 | 保護すべき情報や責任の所在が不明瞭(組織管理者・開発部)、システム開発における一般的な原則が実施できていない(LeanQuest)リスクに対応するため |
| A.8.12 | データ漏えい防止 | Yes | 実施中 | 誤った操作や悪意ある操作による情報漏えい(Github/Sentry/Notion/Google Workspace/Slack/freee/Figma/Linear/AWSリソース)リスクに対応するため |
| A.8.13 | 情報のバックアップ | Yes | 実施中 | 故障による情報の滅失・バックアップが存在しないことによる情報の滅失(個人用デバイス/ルーター/Github/Sentry/Notion/Google Workspace/Slack/freee/Figma/Linear/AWSリソース/LeanQuest)リスクに対応するため |
| A.8.14 | 情報処理施設・設備の冗長性 | Yes | 実施中 | システムの冗長化が不十分なことによるサービス停止(LeanQuest)リスクに対応するため |
| A.8.15 | ログ取得 | Yes | 実施中 | ログが存在せず、万が一の際の原因追求が難しい(Github/Sentry/Notion/Google Workspace/Slack/freee/Figma/Linear/AWSリソース/LeanQuest)リスクに対応するため |
| A.8.16 | 監視活動 | Yes | 実施予定 | 誤った操作によるシステムの停止(LeanQuest)リスクに対応するため |
| A.8.17 | クロックの同期 | Yes | 実施中 | ログが存在せず、万が一の際の原因追求が難しい(LeanQuest)リスクに対応するため |
| A.8.18 | 特権的なユーティリティプログラムの使用 | Yes | 実施中 | 誤った改造やカスタマイズによる情報漏えいや改ざん(SwitchBot)リスクに対応するため |
| A.8.19 | 運用システムへのソフトウェアの導入 | Yes | 実施中 | マルウェアなど外部からの攻撃による情報漏えい(個人用デバイス・ルーター)、誤った操作によるシステムの停止(LeanQuest)リスクに対応するため |
| A.8.20 | ネットワークのセキュリティ | Yes | 実施中 | ネットワークの盗聴による情報漏えい(業務用ネットワーク)リスクに対応するため |
| A.8.21 | ネットワークサービスのセキュリティ | Yes | 実施中 | ネットワークの盗聴による情報漏えい(業務用ネットワーク)リスクに対応するため |
| A.8.22 | ネットワークの分離 | Yes | 実施中 | ネットワークの盗聴による情報漏えい(業務用ネットワーク)リスクに対応するため |
| A.8.23 | ウェブフィルタリング | Yes | 実施中 | マルウェアなど外部からの攻撃による情報漏えい(個人用デバイス・業務用ネットワーク)リスクに対応するため |
| A.8.24 | 暗号の使用 | Yes | 実施中 | 紛失による情報漏えい(個人用デバイス)、外部との情報のやり取りに関する基本方針がなく不適切なやり取りが行われる(組織管理者・開発部)リスクに対応するため |
| A.8.25 | セキュリティに配慮した開発のライフサイクル | Yes | 実施中 | システム開発における一般的な原則が実施できていない(LeanQuest)リスクに対応するため |
| A.8.26 | アプリケーションセキュリティの要求事項 | Yes | 実施中 | システム開発における一般的な原則が実施できていない(LeanQuest)リスクに対応するため |
| A.8.27 | セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則 | Yes | 実施中 | システム開発における一般的な原則が実施できていない(LeanQuest)リスクに対応するため |
| A.8.28 | セキュリティに配慮したコーディング | Yes | 実施中 | システム開発における一般的な原則が実施できていない(LeanQuest)リスクに対応するため |
| A.8.29 | 開発及び受入れにおけるセキュリティテスト | Yes | 実施中 | システム開発における一般的な原則が実施できていない(LeanQuest)リスクに対応するため |
| A.8.30 | 外部委託による開発 | Yes | 実施中 | システム開発における一般的な原則が実施できていない(LeanQuest)リスクに対応するため |
| A.8.31 | 開発環境、テスト環境及び本番環境の分離 | Yes | 実施中 | システム開発における一般的な原則が実施できていない(LeanQuest)、誤った操作によるシステムの停止(LeanQuest)リスクに対応するため |
| A.8.32 | 変更管理 | Yes | 実施中 | システム開発における一般的な原則が実施できていない(LeanQuest)、誤った操作によるシステムの停止(LeanQuest)リスクに対応するため |
| A.8.33 | テスト用情報 | Yes | 実施中 | システム開発における一般的な原則が実施できていない(LeanQuest)リスクに対応するため |
| A.8.34 | 監査におけるテスト中の情報システムの保護 | Yes | 実施中 | 監査活動がシステムの正常な動作に影響を与えてしまう(LeanQuest)リスクに対応するため |