Quesis Logo
quesis

SECURITY POLICY

セキュリティポリシー

最終更新日: 2025年10月15日

1. 基本方針

合同会社クエシス(以下「当社」といいます)は、情報セキュリティを経営上の重要課題と認識し、 お客様の情報資産および当社が保有する情報資産を様々な脅威から保護することを最優先事項としています。

当社は、以下の情報セキュリティポリシーを定め、役員・従業員が一体となって情報セキュリティの確保に取り組みます。

2. 情報資産の保護

当社は、以下の情報資産を適切に管理・保護します:

  • お客様の個人情報および機密情報
  • 当社の営業秘密および知的財産
  • 業務システムおよびインフラストラクチャ
  • 従業員の個人情報
  • 取引先・パートナー企業の情報

これらの情報資産について、機密性(Confidentiality)、完全性(Integrity)、 可用性(Availability)を確保するための対策を講じています。

3. 技術的セキュリティ対策

3.1 通信の暗号化

  • SSL/TLS 1.3:すべてのWebサイト通信をTLS 1.3で暗号化し、中間者攻撃(Man-in-the-Middle Attack)を防止
  • HTTPS強制:HTTP通信を自動的にHTTPSへリダイレクト(HSTS対応)
  • 暗号化アルゴリズム:AES-256、RSA-2048以上の強力な暗号化方式を採用

3.2 コンテンツセキュリティポリシー(CSP)

  • クロスサイトスクリプティング(XSS)攻撃の防止
  • インジェクション攻撃からの保護
  • 信頼できないリソースの読み込み制限
  • インラインスクリプトの実行制御

3.3 アクセス制御

  • 多要素認証(MFA)の導入
  • 最小権限の原則に基づく権限管理
  • 定期的なアクセス権限の見直し
  • 強力なパスワードポリシーの適用

3.4 脆弱性管理

  • 定期的な脆弱性診断:四半期ごとにWebアプリケーション脆弱性診断を実施
  • パッチ管理:セキュリティパッチを24時間以内に適用(クリティカルな脆弱性の場合)
  • 依存ライブラリ管理:自動スキャンツールによる脆弱性検出と迅速な更新
  • ペネトレーションテスト:年1回の外部専門家による侵入テスト実施

4. 組織的セキュリティ対策

4.1 セキュリティ管理体制

  • 情報セキュリティ責任者(CISO)の任命
  • セキュリティインシデント対応チーム(CSIRT)の設置
  • 定期的なセキュリティ委員会の開催(月1回)

4.2 従業員教育

  • 新入社員向けセキュリティ研修の実施
  • 年2回の全社員向けセキュリティ教育
  • 標的型攻撃メール訓練の定期実施
  • 最新のセキュリティ脅威に関する情報共有

4.3 アクセスログ管理

  • すべてのシステムアクセスログの記録・保管(6ヶ月間)
  • 異常なアクセスパターンの自動検知
  • 定期的なログ監査の実施

5. データ保護

5.1 データの暗号化

  • 保管データ(Data at Rest)の暗号化
  • 転送中データ(Data in Transit)の暗号化
  • バックアップデータの暗号化保管

5.2 バックアップとリカバリ

  • 日次バックアップの自動実行
  • バックアップデータの複数拠点保管(Geo-Redundancy)
  • 定期的なリストアテストの実施(四半期ごと)
  • RPO(目標復旧時点):24時間以内
  • RTO(目標復旧時間):48時間以内

5.3 データ削除

  • 不要データの定期的な削除(個人情報は2年保持後削除)
  • 安全なデータ消去方法の採用(DoD 5220.22-M準拠)
  • ハードウェア廃棄時の物理的破壊

6. インシデント対応

6.1 インシデント対応プロセス

  1. 検知:24時間365日のセキュリティ監視体制
  2. 初期対応:インシデント発生から1時間以内に初期対応開始
  3. 封じ込め:被害拡大の防止と影響範囲の特定
  4. 根絶:脅威の完全な除去
  5. 復旧:通常業務への復帰
  6. 事後対応:原因分析と再発防止策の策定

6.2 情報開示

個人情報の漏えい等の重大なセキュリティインシデントが発生した場合:

  • 影響を受ける可能性のあるお客様への速やかな通知(72時間以内)
  • 監督官庁への報告
  • Webサイトでの公表(必要に応じて)

7. 外部委託先管理

情報処理を外部委託する場合、以下の管理を実施します:

  • 委託先のセキュリティ体制の事前評価
  • 機密保持契約(NDA)の締結
  • 委託先への定期的なセキュリティ監査
  • 委託契約終了時のデータ返却・削除の確認

8. 法令遵守

当社は、情報セキュリティに関連する以下の法令・基準を遵守します:

  • 個人情報保護法
  • 不正アクセス禁止法
  • 電気通信事業法
  • サイバーセキュリティ基本法
  • OWASP Top 10(Webアプリケーションセキュリティ)
  • CWE/SANS Top 25(最も危険なソフトウェアの脆弱性)

9. 継続的改善

当社は、以下の取り組みにより情報セキュリティの継続的改善を推進します:

  • 年1回のセキュリティポリシー見直し
  • 最新のセキュリティ脅威動向の調査・分析
  • 新技術・新サービス導入時のセキュリティ評価
  • セキュリティインシデントからの教訓の反映
  • 外部専門家による定期的なセキュリティ監査

10. セキュリティに関するお問い合わせ

セキュリティに関するご質問やご報告は、以下の窓口までお願いいたします:

合同会社クエシス セキュリティ窓口

Email: security@quesis.com※脆弱性の報告は上記メールアドレスまでお願いいたします。
※責任ある開示(Responsible Disclosure)にご協力いただいた方には、適切に対応させていただきます。

合同会社クエシス

代表社員 久下 光稀