当サイトでは、より良いサービスを提供するためにクッキーを使用しています。クッキーの使用に同意しますか?
本情報セキュリティポリシーは、株式会社mutex(以下、当社)の従業員、パートナー、会社を、個人による違法または有害な行為から保護することを目的としています。これには、故意または不注意によるものを含みます。
インターネット/イントラネット/エクストラネットに関連するシステム(コンピューター機器、ソフトウェア、オペレーティングシステム、ストレージメディア、電子メール、Webブラウジング、ファイル転送を提供するネットワークアカウントを含む)は、当社の所有物です。これらのシステムは、通常の業務の過程で、会社、クライアント、顧客の利益のために業務目的で使用されます。
効果的なセキュリティは、チームによる取り組みであり、情報またはシステムを取り扱う当社のすべての従業員または請負業者が参加・協力することではじめて実現します。このポリシーを読んで理解し、それに従って活動することは、チームメンバー全員の責務です。
本ポリシーは、情報セキュリティポリシーを伝達し、当社の情報と資産の許容される使用と保護に関する概要を示すことを目的としています。これらのルールは、顧客、従業員、当社を保護するために設けられています。情報や資産を不適切に使用すると、ウイルス攻撃、ネットワークシステムおよびサービスの侵害、財務・レピュテーションリスク、法律‧コンプライアンスの問題など、当社にさまざまなリスクがもたらされます。
当社の「情報セキュリティポリシー」は、本ポリシーと、本文書内で言及またはリンクされているすべての当社のポリシーで構成されています。
本ポリシーは、当社の業務を遂行するため、または社内のネットワークおよびビジネスシステムとやり取りするために使用される情報、電子機器、コンピューティングデバイス、ネットワークリソース(所有・借用者が当社、従業員、サードパーティにかかわらず)に適用されます。当社およびその子会社のすべての従業員、請負業者、コンサルタント、臨時雇用者、その他の労働者は、当社のポリシーや基準、および現地の法規に従って、情報、電子機器、ネットワークリソースの適切な使用に関して適切な判断を下す責任を負います。
本ポリシーは、当社の従業員、請負業者、コンサルタント、臨時雇用者、その他の労働者、サードパーティに所属するすべての関係者に適用されます。本ポリシーは、当社が管理するすべての企業‧顧客データ、および当社が所有または借用しているすべての機器、システム、ネットワーク、ソフトウェアに適用されます。
すべてのユーザーには、ポリシー違反や確認されたセキュリティ上の弱点など、セキュリティに関する既知または疑わしい事象やインシデントを報告する義務があります。インシデントは、メール窓口(tech.cs@reze.app)宛に直ちに、または可能な限り速やかに報告する必要があります。
インシデントや観測した事象を、関連する詳細情報とともにレポートで説明してください。
当社の内部告発者ポリシーは、不適切な行為や行動に対処および是正できるように、従業員およびその他の関係者に対し、社内で深刻な懸念を提起することを奨励し、可能にすることを目的としています。全従業員は、当社の倫理規定に対する違反、または当社の業務を律する法規に対する違反の疑いに関する懸念について、報告する責任を負います。
倫理違反や法律違反の疑い(例:差別、不正、規制違反の疑い)を善意で報告した従業員または非従業員に対して報復することは、当社の価値観に反します。善意で違反を報告した者に対して報復した従業員は、解雇を含む懲戒処分の対象となります。
匿名での告発は、指定の社内内部告発用窓口宛に報告してください。
すべてのエンドユーザーデバイス(例:携帯電話、タブレット、ノートPC、デスクトップPC)は、本ポリシーに準拠する必要があります。未知の送信者から受信した電子メールの添付ファイルにはマルウェアが含まれている可能性があるため、従業員がそのようなメールを開くときは細心の注意を払う必要があります。
システムレベルおよびユーザーレベルのパスワードは、アクセス制御ポリシーに準拠する必要があります。故意かどうかにかかわらず、デバイスのセキュリティを確保せず、他の個人がアクセスできるようにすることは禁止されています。
当社の情報システム(メールなど)へのアクセスに使用されるすべてのエンドユーザーデバイス、個人デバイス(BYOD)、会社所有のデバイスは、以下のルールと要件に従う必要があります。
デバイスが5分間使用されなかった場合、パスワード(または生体認証などの同等の制御)で保護されたスクリーンセーバーまたはスクリーンロックによってロックされる必要があります。
デバイスを放置する場合は必ずデバイスをロックする必要があります。
モバイルデバイスの不正使用や盗難が疑われる場合、ユーザーは直ちにIT部門に報告する必要があります。
機密情報を個人デバイスやUSBドライブに保存しないでください(これは、ビジネス上の連絡先情報(例:名前、電話番号、メールアドレス)には適用されません)。
会社のリソース(ファイル共有や電子メールなど)にアクセスするために使用されるすべてのモバイルデバイスは、他者と共有しないでください。
デバイスの利用者は、退職時に会社所有のデバイスをすべて返却し、個人デバイスから会社の情報とアカウントをすべて削除することに同意するものとします。
ユーザーは、デスクや作業スペースに機密資料を放置してはならず、デバイスを使用していないときは画面がロックされるようにする必要があります。
リモートワークとは、組織の人員がオフィス外の場所から業務を行う状況を指します。これにはテレワーク、テレコミューティング、フレキシブルワークスペース、バーチャル作業環境、リモートメンテナンスが含まれます。当社のネットワークへのアクセスに使用されるノートPCやその他のコンピューターリソースは、当社の情報セキュリティポリシーに定めるセキュリティ要件に準拠し、以下の基準に従う必要があります。
リモートワーク中には、機密情報の誤操作や意図しない漏洩を防ぐため、クリアデスクプロトコル、印刷に関するルール、資産の廃棄、情報セキュリティ関連事象の報告など、会社の規則に従う必要があります。
侵害されたデバイスが会社のネットワークに接続されることがないように、ウイルス対策ポリシーによって、クライアント側でのウイルス対策ソフトウェアの使用と実施を求めるものとします。
ウイルス対策ソフトウェアは、悪意のあるソフトウェアを検出し、防止または隔離し、定期的なシステムスキャンを実行し、自動更新を有効化するように設定する必要があります。
機密情報を公共のWi-Fi経由で送信する際には、潜在的な盗聴や中間者攻撃を防ぐため、VPNを使用する必要があります。
自宅ネットワークから作業する場合は、デフォルトのWi-Fi設定(名前、パスワード、管理者アクセスなど)が変更されていることを確認してください。
システム管理者は、強力なWPA3暗号化、また少なくとも堅牢なパスワードを使用したWPA2を設定し、サポートされている場合は専用のVLANを設定することが推奨されます。また、特に必要がない場合は、WPS(Wi-Fi Protected Setup)およびUPnP(Universal Plug and Play)を無効にするものとします。
モバイルコンピューター上にセキュアで最新のソフトウェアファイアウォールが構成されていない場合は、外部ネットワークに接続しないでください。
ユーザーが、当社のリソースにアクセスするために使用されるシステム上で、個人のファイアウォールやウイルス対策ソフトウェアなどの組織的なセキュリティ制御を変更または無効化することは禁止されています。
リモートアクセスソフトウェアやサービス(例:VPNクライアント)は、会社によって提供され、多要素認証(MFA)が設定されている場合に限り、使用が許可されます。
許可されていないリモートアクセス技術を使用したり、当社のシステムにインストールしたりすることはできません。
公共のWi-Fiで機密情報を送信するときはVPNを使用する必要があります。
公共のコンピューター(ビジネスセンター、ホテルなど)からアクセスする場合、セッションからログアウトし、何も保存しないでください。「ログイン情報を記録する」にチェックを入れず、印刷した資料をすべて回収し、当社が管理していないシステムにファイルをダウンロードしないでください。
本ポリシーの目的において、当社、従業員が所有または借用している電子機器やコンピューター(従業員やサードパーティが所有する場合でも)に保存されている当社の専有情報および顧客情報は、当社の独占所有物とみなされます。従業員および請負業者は、法的または技術的手段を用いて、専有情報がデータ管理ポリシーに準拠して保護されるようにする必要があります。ノートPCや会社支給のデバイスの利用者は、ビジネスファイルを保存するためにGoogle DriveやNotionなどの会社のファイル共有システムを使用する必要があります。重要な文書をファイル共有に保存することは、ノートPCを「バックアップ」する方法とみなされます。
当社の専有情報や機器の盗難、紛失、漏洩があった場合は、速やかに報告する責任があります。割り当てられた職務を遂行するために許可された場合、必要な範囲でのみ、当社の専有情報にアクセス、使用または共有することができます。従業員は、会社支給のデバイスの個人的な使用の妥当性について、適切な判断を下す責任を負います。
セキュリティおよびネットワークのメンテナンスの目的のため、当社内の許可された個人は、いつでも機器、システム、ネットワークトラフィックを監視することができます。
当社は、本ポリシーに対するコンプライアンスを確保するために、定期的にネットワークやシステムを監査する権限を留保します。
以下の行為は一般的に禁止されています。従業員は、適切に文書化された経営陣の承認を得ることで、正当な職務の範囲内でこれらの制限から免除される場合があります。当社が所有するリソースを利用している間、または何らかの立場で当社を代表している間、いかなる状況においても、当社の従業員には、憲法、法律、府令‧省令、条例、または国際法に違反する活動に従事することは許可されません。以下のリストはすべてを網羅するものではなく、許容されない使用に該当する活動の枠組みを提供することを目的としています。
以下の行為は、例外なく固く禁じられています。
著作権、企業秘密、特許、その他の知的財産権、または同様の法規によって保護されている個人または企業の権利を侵害すること。具体的には、当社による使用が正規にライセンスされていない「海賊版」やその他のソフトウェア製品のインストール‧配布を含みますが、これらに限定されません。
著作権で保護された資料を無断で複製すること。これには、雑誌、書籍、その他の著作権で保護されたソースの写真や著作権で保護された音楽のデジタル化‧配布、および当社またはエンドユーザーがアクティブなライセンスを持たない著作権で保護されたソフトウェアのインストールが含まれますが、これらに限定されません。
当社の業務の遂行以外の目的でデータ、サーバー、アカウントにアクセスすること。アクセスが許可されている場合でも禁止されています。
国際的または各地域の輸出管理法に違反して、ソフトウェア、技術情報、暗号化ソフトウェア、テクノロジーを輸出すること(これは違法です)。疑わしい資料を輸出する前に、適切な管理者に相談する必要があります。
ネットワークやシステムに悪意のあるプログラム(ウイルス、ワーム、トロイの木馬、メールボムなど)を持ち込むこと。
自分のアカウントのパスワードを他人に明かしたり、他人に自分のアカウントを使わせたりすること。自宅で作業を行っている場合、これには家族やその他の世帯員が含まれます。
当社のコンピューティング資産を使って、セクシャルハラスメントや敵対的な職場環境に関する法律に違反する資料の調達や送信に積極的に関与すること。
当社のアカウントから、製品、商品、サービスについて不正な提供を行うこと。
通常の職務の一部である場合を除き、明示的または黙示的に保証に関する声明を行うこと。
セキュリティ違反やネットワーク通信の障害を引き起こすこと。セキュリティ違反には、従業員が受信対象ではないデータにアクセスすること、従業員が明示的にアクセスを許可されていないサーバーやアカウントにログインすることが含まれますが、これらに限定されません。ただし、これらの作業が通常の職務の範囲内である場合は例外です。本セクションにおいて、「障害」にはネットワークスニッフィング、pingフラッド、パケットスプーフィング、サービス拒否攻撃、悪意ある目的での偽造ルーティング情報が含まれますが、これらに限定されません。
当社のエンジニアリングチームへの事前の通知なしにポートスキャンやセキュリティスキャンを行うこと(これは厳しく禁止されています)。
従業員のホストへ向けられていないデータを傍受するあらゆる形態のネットワーク監視を実行すること。ただし、この活動が従業員の通常の職務‧職責の一部である場合は例外です。
ユーザー認証やホスト、ネットワーク、アカウントのセキュリティを回避すること。
当社ネットワーク上にハニーポット、ハニーネット、類似のテクノロジーを導入すること。
従業員のホスト以外のユーザーへのサービスを妨害したり拒否させたりすること(例:サービス拒否攻撃)。
いかなる手段であれ、ユーザーセッションの妨害や無効化を意図したプログラム/スクリプト/コマンドを実行したりメッセージを送信したりすること。
許可なく当社の従業員、請負業者、パートナー、顧客に関する情報やリストを当社の外部に提供すること。
会社のリソースを使ってインターネットにアクセスおよび利用する際、ユーザーは自分が会社を代表していることを自覚し、それにふさわしい行動を取る必要があります。
以下の行為は、例外なく固く禁じられています。
「迷惑メール」やその他の広告資料を特に求めていない個人に送信すること(メールスパム)。
メッセージの文言、頻度、量を問わず、メール、電話、テキストを介したあらゆる形のハラスメント行為。
メールヘッダー情報の不正使用やなりすまし。
ハラスメントや返信の収集を目的として、他者へのメールの送信を教唆すること。
「チェーンメール」、「ポンジスキーム」、その他あらゆる種類の「ねずみ講」を作成または転送すること。
当社のネットワーク内または他のサービスプロバイダーから、当社がホストするサービスまたは当社のネットワークを介して接続されるサービスを広告‧宣伝する目的で、利用者の同意を得ずに一方的に迷惑メールを送信すること。
参考として組み込まれる追加のポリシーと手順
役割 | 目的 |
|---|---|
アクセス制御ポリシー | ビジネス目標に沿って、情報および情報処理システム、ネットワーク、施設へのアクセスを、許可された関係者に制限すること。 |
資産管理ポリシー | 組織の資産を特定し適切な保護責任を定義すること。 |
事業継続および災害復旧計画 | 当社が制御できない要因(自然災害、人為的事象など)によるサービス中断の際に備え、最小限の時間で可能な限り広範囲にわたりサービスを復旧できるようにすること。 |
暗号化ポリシー | 機密性、真正性、および/または整合性を保護するために、暗号化の適切かつ効果的な使用を確実にすること。 |
データ管理ポリシー | 組織にとっての重要度に応じて、情報が分類され、保護されるようにすること。 |
人事ポリシー | 従業員と契約社員がセキュリティ要件を満たし、各々の責任を理解し、それぞれの役割に適していることを確認すること。 |
インシデント対応計画 | 疑われる、または確認された情報セキュリティインシデントに関するポリシーと手順。 |
運用セキュリティポリシー | 情報処理システムおよび施設が正しく安全に運用されるようにすること。 |
物理的セキュリティポリシー | 組織の情報および情報処理施設への、不正な物理的アクセスや損傷を防止すること。 |
リスク管理ポリシー | 会社のビジネスと情報セキュリティに関する目標を達成するために、当社の情報セキュリティリスクを評価し、管理するプロセスを定義すること。 |
セキュア開発ポリシー | アプリケーションと情報システムの開発ライフサイクルの中で、情報セキュリティが確実に設計‧実装されるようにすることがその目的です。 |
サードパーティ管理ポリシー | このポリシーの目的は、サービスプロバイダー、ベンダー、顧客などの外部関係者またはサードパーティ組織を含むサプライヤーと共有、アクセス、または管理される組織のデータおよび資産の保護を確保し、サプライヤーの合意に沿って合意されたレベルの情報セキュリティとサービス提供を維持することです。 |
当社は、継続的な監視ならびに内部および外部監査を含むさまざまな方法により、本ポリシーへの準拠を測定および検証します。
本ポリシーの例外に関する要求は、ITマネージャーに提出し、承認を得る必要があります。
本ポリシーへの違反が判明した場合は、ITマネージャーに報告する必要があります。本ポリシーに違反すると、システムおよびネットワーク権限の即時取り消しまたは停止、および/または会社の手順に従って解雇を含む懲戒処分が行われる可能性があります。
2025年2月19日制定
株式会社mutex
代表取締役 熊澤洸平
