最終更新日: 2025年11月21日
基本方針
トレジャー企画合同会社(以下「当社」)は、情報資産の機密性、完全性、可用性を維持し、お客様および関係者の皆様の信頼に応えるため、以下の情報セキュリティポリシーを定め、全社を挙げてその遵守に努めます。
SSL/TLS暗号化
WAF導入
脆弱性診断実施
アクセス制御
1. 適用範囲
本ポリシーは、当社が取り扱うすべての情報資産および情報システムに適用されます。また、当社の役員、従業員、委託先等、情報資産を取り扱うすべての関係者に適用されます。
2. 情報セキュリティの目標
- 機密性(Confidentiality): 許可された者のみが情報にアクセスできることを確保
- 完全性(Integrity): 情報および処理方法が正確かつ完全であることを保護
- 可用性(Availability): 許可された者が必要なときに情報にアクセスできることを確保
3. 組織体制
当社は、情報セキュリティの維持・向上のため、以下の体制を整備しています。
- 情報セキュリティ管理責任者の任命
- セキュリティインシデント対応チームの設置
- 定期的なセキュリティ教育の実施
4. 技術的セキュリティ対策
4.1 ネットワークセキュリティ
- すべての通信はSSL/TLSにより暗号化
- WAF(Web Application Firewall)による不正アクセス防御
- ファイアウォールによるネットワーク境界の保護
- DDoS攻撃対策の実装
4.2 アプリケーションセキュリティ
- セキュアコーディングガイドラインの遵守
- 定期的な脆弱性診断の実施
- OWASP Top 10への対策
- 入力値の検証とサニタイズ
4.3 データセキュリティ
- 保存データの暗号化
- バックアップの定期実施
- データの論理的・物理的分離
- 適切なデータ保持期間の設定と削除
4.4 アクセス制御
- 最小権限の原則に基づくアクセス権付与
- 多要素認証の導入
- アクセスログの取得と監視
- 定期的なアクセス権レビュー
5. インフラストラクチャ
クラウドプラットフォーム: Google Cloud Platform (Firebase)
ISO 27001、SOC 2 Type II等の認証を取得した信頼性の高いクラウド基盤を使用しています。
| コンポーネント |
サービス |
セキュリティ対策 |
| 認証 |
Firebase Authentication |
多要素認証、セッション管理 |
| データベース |
Cloud Firestore |
暗号化、アクセス制御ルール |
| ストレージ |
Cloud Storage |
保存時暗号化、署名付きURL |
| サーバーレス |
Cloud Functions |
分離実行環境、自動スケーリング |
| ホスティング |
Firebase Hosting |
SSL/TLS、CDN、DDoS保護 |
6. 脆弱性管理
- 定期的な外部脆弱性診断の実施(年1回以上)
- 依存ライブラリの脆弱性監視と更新
- セキュリティパッチの迅速な適用
- ペネトレーションテストの実施
7. インシデント対応
セキュリティインシデントが発生した場合、以下の手順で対応します。
- 検知・報告: インシデントの発見と速やかな報告
- 初動対応: 被害拡大の防止と影響範囲の特定
- 調査・分析: 原因の特定と証拠の保全
- 復旧: システムの正常化と業務の再開
- 再発防止: 原因の是正と対策の実施
- 報告: 関係者への報告と必要に応じた届出
8. 従業員への教育
- 入社時のセキュリティ教育
- 定期的なセキュリティ研修(年1回以上)
- フィッシング訓練の実施
- セキュリティニュースの共有
9. 委託先管理
業務を委託する場合は、以下の管理を行います。
- 委託先のセキュリティレベルの評価
- 秘密保持契約の締結
- セキュリティ要件の明示
- 定期的な監査の実施
10. 法令遵守
当社は、以下の法令・ガイドラインを遵守します。
- 個人情報の保護に関する法律
- 不正アクセス禁止法
- 電子計算機使用詐欺罪
- その他関連法規
11. ポリシーの見直し
本ポリシーは、技術環境の変化、法令の改正、事業内容の変更等に応じて、定期的に見直しを行います。
12. お問い合わせ
情報セキュリティに関するお問い合わせは、下記までご連絡ください。
メール: security@takara-trade.com