サイバーセキュリティポリシー
1. はじめにと目的
1.1 Rheonics 当社は、独自のデータ、顧客情報、知的財産、IT インフラストラクチャなどの情報資産を不正アクセス、使用、開示、変更、中断、破壊から保護することに尽力しています。
1.2 このポリシーは、安全な環境を維持するための枠組みを確立します。 Rheonics' デジタルオペレーションは、以下に準拠しています:
- 規制:スイスFADP、GDPR(該当する場合)、米国の州法/連邦法、および該当する場合はその他の国内法 Rheonics 動作します。
- 標準: ゼロ トラスト原則、CIS ベンチマーク、NIST ガイドライン (該当する場合は SP 800-88、SP 800-171 など)、および OWASP ガイドライン。
1.3 目的:
- データとシステムの機密性、整合性、可用性 (CIA) を保護します。
- サイバーセキュリティ インシデントのリスクを最小限に抑え、ビジネスの継続性を確保します。
- すべての従業員の間でセキュリティを意識する文化を育成します。
- 法律、規制、契約上の義務の遵守を確保します。
2 範囲
すべてに適用 Rheonics 従業員、請負業者、コンサルタント、インターン、ボランティア、および第三者(以下「ユーザー」)がアクセスする Rheonics システム、データ、または施設。対象:
2.1 資産
- Hardware
- ソフトウェア(SaaS/IaaS/PaaSを含む)
- データ(電子的および物理的)
- ネットワーク
- 物理的な施設
2.2アクティビティ
- 現場作業
- 遠隔作業
- 会社所有デバイスの使用
- 個人デバイスの使用(BYOD)
- 開発活動
- サードパーティベンダーとのやり取り
3. 役割と責任
| 職種 | 主な任務 |
|---|---|
| マネジメント | ポリシーを推進し、リソースを割り当て、全体的なコンプライアンスとリスク管理を確保します。 |
| IT/セキュリティチーム | 制御を実装/管理し、インシデント対応を主導し、監査と評価を実施します。 |
| すべてのユーザー | ポリシーを遵守し、強力なパスワードと MFA を使用し、インシデントを速やかに報告し、トレーニングを完了します。 |
4. 政策声明
4.1 データセキュリティ
- 分類と取り扱い: データは機密性に応じて分類および処理する必要があります(付録Aを参照)。機密性に応じて要件も厳しくなります。
- 暗号化機能: 制限された機密データは、強力な業界標準のアルゴリズムを使用して、保存時および転送時に暗号化する必要があります。
- 廃棄: 安全な方法を採用する必要があります。電子媒体の場合はNIST SP 800-88準拠のワイピング、機密データまたは制限データを含む物理文書の場合はクロスカットシュレッディング(P-4以上)を実施してください。データ保持スケジュールを遵守する必要があります。
4.2 アクセス制御
- 最小権限とRBAC: アクセスは、ロールベースのアクセス制御 (RBAC) を使用して、職務上の必要性 (最小権限) に基づいて許可されます。
- 認証: 固有のユーザーIDが必要です。クラウドサービス、リモートアクセス、管理アカウント、および機密データや制限付きデータを扱うシステムには、強力なパスワード(付録Bを参照)とMFAが必須です。
- レビュー: アクセス権は四半期ごとにマネージャー/システムオーナーによって見直され、退職または役割変更があった場合は直ちに取り消されます。アクセス権の付与/変更には正式な承認プロセスが必要です。
4.3 利用規約(AUP)
- 事業目的: Rheonics リソースは主に業務用途で使用されます。業務に支障をきたさず、過剰なリソースを消費せず、費用も発生せず、ポリシーや法律に違反しない限り、限定的な偶発的な個人使用は許可されます。
- 禁止されている行為: これには、違法行為、嫌がらせ、不快な素材へのアクセス/配布、著作権侵害、不正なシステム変更、セキュリティ制御の回避、不正なソフトウェアのインストール、マルウェアの導入、不正なデータ共有/流出、過度の個人使用などが含まれますが、これらに限定されません。
- ユーザーの警戒: ユーザーは、電子メール(フィッシング)、Web ブラウズ(悪意のあるサイト)、添付ファイル/リンクの取り扱いには注意する必要があります。
4.4ネットワークセキュリティ
- 境界とセグメンテーション: ファイアウォール、IDS/IPSが維持されています。ネットワークセグメンテーションにより、重要なシステム(研究開発、本番環境など)とデータストアが分離されています。
- Wi-Fiを: 内部ネットワークにはWPA3-Enterprise(または最低でもWPA2-Enterprise)でセキュアな接続を確立してください。ゲストWi-Fiは論理的に分離され、内部リソースへのアクセスは許可されません。
- リモートアクセス: 会社が承認したMFA対応のVPN経由でのみご利用いただけます。スプリットトンネリングは制限される場合があります。
- ゼロトラスト: ゼロトラスト アーキテクチャの原則 (マイクロセグメンテーション、継続的な検証、デバイスのヘルスチェックなど) の実装は進行中であり、重要なネットワークについては 1 年第 2026 四半期までに完了することを目指しています。
4.5 会社所有のエンドポイントセキュリティ
- 保護: 会社所有のすべてのエンドポイント (デスクトップ、ラップトップ、モバイル) には、会社が管理するエンドポイント検出および対応 (EDR) または承認されたウイルス対策ソフトウェアが実行され、更新されている必要があります。
- パッチ適用: オペレーティングシステムとアプリケーションは、会社のパッチ管理プロセスを通じて最新の状態に維持する必要があります。重要なパッチは、定められたタイムライン内に適用されます。[Rheonics タイムラインを定義する(例:重要な OS の場合は 72 時間)。
- 暗号化機能: ラップトップやポータブル デバイスでは、フルディスク暗号化 (BitLocker、FileVault など) が必須です。
4.6 個人所有デバイスの持ち込み(BYOD)
- 承認と基準: 非公開のコンテンツにアクセスするために個人用デバイスを使用する(BYOD) Rheonics データには明示的な承認と最低基準の遵守が必要です (付録 D を参照)。
- セキュリティ要件: MDM 登録、サポートされている OS バージョン、セキュリティ ソフトウェア、暗号化、パスコード、リモート ワイプ機能、データの分離/コンテナ化が含まれます。
- お断り: Rheonics BYOD デバイスから会社のデータを管理/消去する権利を留保します。 Rheonics セキュリティアクション中の個人データの損失については責任を負いません。
4.7 ソフトウェアのセキュリティと管理
- 承認されたソフトウェア: IT部門が承認したライセンスソフトウェアのみインストールできます。ユーザーは許可されていないアプリケーションをインストールすることはできません。
- パッチ管理 すべてのシステム (サーバー、エンドポイント、ネットワーク デバイス) 上のすべてのソフトウェア (OS、アプリケーション、ファームウェア) に適用されます。
- 脆弱性管理: 定期的な脆弱性スキャンを実施。重大な脆弱性は定められた期限内に修正する必要がある。[Rheonics 定義する]。重要なシステムに対して定期的に実行される侵入テスト。
- 安全な開発: (該当する場合) 開発チームは、安全なコーディング プラクティス (OWASP Top 10 など) に従い、コード レビューを実施し、セキュリティ テスト ツール (SAST/DAST) を使用する必要があります。
- ソフトウェア構成分析 (SCA): オープンソースコンポーネントはインベントリを作成し、脆弱性がないかスキャンする必要があります。経営陣またはITセキュリティ担当者が明示的にリスクを許容しない限り、サポート終了(EOL)のソフトウェア/コンポーネントの使用は禁止されます。
4.8物理的セキュリティ
- アクセス制御: パーソナライズされたダッシュボードのキャンペーン データ Rheonics 施設、サーバールーム、研究開発ラボは、物理的な管理(バッジ、鍵、生体認証)によってアクセスが制限されています。機密エリアのアクセスログは保持されます。
- 訪問者管理: 訪問者はサインインし、一時的な身分証明書を発行してもらい、非公開エリアでは付き添いの人が必要です。
- ワークステーションのセキュリティ: ユーザーは、無人の場合はワークステーションをロックする必要があります (Windows+L / Ctrl+Cmd+Q)。
- クリアデスク/スクリーン: 機密情報(物理的な文書、画面など)は、特にオープンスペースや無人席の場合には、不正な閲覧から保護する必要があります。安全な廃棄用ゴミ箱を使用してください。
4.9 クラウドセキュリティ
- 承認されたサービス: クラウドサービス(SaaS、IaaS、PaaS)の利用 Rheonics データは IT/セキュリティ部門による承認が必要です。
- 構成と監視oring: サービスは、該当する場合(AWS/GCP/Azure)CISベンチマークに準拠し、安全に構成する必要があります。条件付きアクセスポリシー(例:位置情報、デバイスコンプライアンス)を適用する必要があります。APIとユーザーアクティビティのログ記録を有効化し、監視する必要があります。
- データ保護: クラウドプロバイダーが Rheonics契約と評価を通じて、データのセキュリティ、暗号化、バックアップ、および居住要件を管理します。
4.10 サードパーティ/ベンダー管理
- リスクアセスメント: アクセス、処理、保存を行うベンダーと契約する前にセキュリティ評価を実施 Rheonics データやネットワークへの接続が不可能です。リスクレベルによって評価の深さが決まります。
- 契約上の要件: 契約には、機密保持、データ保護(GDPR/FADP に基づいて個人データを処理する場合は DPA を含む)、セキュリティ管理、インシデント通知、監査権に関する条項を含める必要があります。
- 進行中のモニターoring: 重要なベンダーのセキュリティ体制の定期的なレビュー。
4.11 インシデント対応
- レポート: 疑わしい事件は、発見後1時間以内に() または (24 時間年中無休の社内チーム チャネル)。
- 対応計画: Rheonics インシデント対応計画(IRP)を維持管理します。基本的なフローについては付録Cを参照してください。
- 重大なインシデント: (例:ランサムウェア、データ侵害の確認など)エスカレーションと封じ込め措置を開始します(4時間以内を目標)。法務部門/経営幹部への通知は、規制で定められたタイムラインに従います(例:GDPR/FADPの72時間前侵害通知など、該当する場合)。
- Cooperation: すべてのユーザーは、インシデント対応調査に全面的に協力する必要があります。
5.施行
違反は、現地の雇用法に従い、重大性と意図に基づいて対処されます。
| 違反 | 例 | 結果(例) |
|---|---|---|
| マイナー | 偶発的なポリシー逸脱、重要でないトレーニングの欠席 | 書面による警告、強制的な再訓練 |
| 主要な | 認証情報の共有、軽微な違反の繰り返し、許可されていないP2Pソフトウェアのインストール | 停職、正式な懲戒処分 |
| 批判的/意図的 | 意図的なデータ侵害、悪意のある活動、妨害行為 | 解約、法的措置の可能性 |
6. ポリシーの維持
- レビューの頻度: ポリシー所有者 (IT 責任者) と関係者によって少なくとも年に 1 回レビューされます。
- レビュートリガー: アドホックレビューは、重大なセキュリティインシデント、重大な規制の変更(新しいデータプライバシー法など)、重大なテクノロジー/インフラストラクチャの変更(大規模なクラウド移行など)、監査結果などによってトリガーされます。
- 更新版: 承認された変更がすべてのユーザーに伝達されました。
7.付録
7.1 付録A: データ分類
| 欠陥種類の識別 | 例 | 取り扱い要件 |
|---|---|---|
| 制限付き | 顧客の個人情報、研究開発ソースコード、暗号キー | • 暗号化(保存時/転送時) • 厳格なアクセスログ • 必要最低限の情報+明示的な承認 • 年次アクセスレビュー |
| 機密 | 従業員記録、財務データ、社内戦略 | • MFAが推奨/必須 • 必要に応じて • 社内での共有は限定的 |
| インナー | 会議メモ、社内ポリシー、一般コミュニケーション | • 承認なしでの外部共有は禁止です。 • 会社のシステムを活用する |
| 公共 | マーケティング資料、ウェブサイトの公開コンテンツ | • 取り扱い/共有に制限はありません |
7.2 付録B: パスワード要件
- 最小の長さ:
- ユーザーアカウント: 12文字
- 管理者/サービスアカウント: 16 文字
- 複雑
- 大文字、小文字、数字、記号(~!@#$%^&*()-_=+[]{}|;:'”,.<>/?)の3つの内、少なくとも4つを使用してください。ユーザー名や辞書によく使われる単語を含めることはできません。
- 回転
- 最大 90 日間 (承認された継続的な認証方法を使用していない場合)。
- 沿革
- 過去 5 つのパスワードは再利用できません。
- ストレージ:
- 安全でないまま書き留めてはいけません。会社が承認したパスワードマネージャー(例:Bitwarden、1Password)を使用してください。oring 複雑で固有のパスワード。パスワードの共有は禁止。MFAのバイパスは禁止。
7.3 付録C: インシデント対応フロー
- 検出と分析: 潜在的なインシデントを特定します。
- レポート: 定義されたチャネルを通じて、IT/セキュリティ部門に直ちに (目標 1 時間以内) 報告します。
- トリアージと評価: IT/セキュリティは重大度と影響を評価します。
- 封じ込め: 影響を受けたシステム/アカウントを隔離します (重大なインシデントの場合は 4 時間以内に)。
- 根絶: 脅威/脆弱性を除去します。
- 回復: システム/データを安全に復元します。
- 事件後のレビュー: 学んだ教訓、プロセスの改善。
- お知らせ: 評価に基づいて必要に応じて法的/規制/顧客への通知が実行されます (例: GDPR/FADP 個人データ侵害の場合は 72 時間以内に)。
7.4. 付録D: BYODの最低基準
- 承認: 非公開データにアクセスする前に必要です。
- デバイス要件:
- OS バージョン: 現在ベンダーがサポートしているバージョンを実行する必要があります (例: Windows 11 以上、macOS 14 以上、iOS 16 以上、Android 13 以上)
- セキュリティ: 画面ロック/生体認証が有効; デバイスの暗号化が有効; 承認されたセキュリティ ソフトウェア (AV/マルウェア対策) が必要になる場合があります; デバイスはジェイルブレイク/ルート化されていません。
- MDM: 入学 Rheonicsモバイル デバイス管理 (MDM) ソリューションは必須です。
- リモートワイプ: 会社のデータ/プロファイルに対して機能を有効にする必要があります。
- データの分離: 企業データは、管理対象プロファイルまたはコンテナ(Microsoft Intune MAM、Android Work Profileなど)内の承認済みアプリケーションを介してアクセス/保存されます。企業データは個人のアプリ/ストレージにコピーされません。
- ネットワーク: 安全な Wi-Fi 経由で接続し、仕事では信頼できない公共の Wi-Fi を避けてください。
8. 連絡と確認
- セキュリティに関する質問/懸念事項: 接触 () または IT/セキュリティ チームに内部チャネル経由で連絡してください。
- インシデントを報告する: 緊急の方法を使用する:() および (24 時間年中無休の社内チーム チャネル)。
- 了承: すべてのユーザーは、入社時および重要な更新後に、HRポータル、研修システムを通じて電子的に本ポリシーを読み、理解し、受領確認を行う必要があります。受領確認を行わなかった場合でも、本ポリシーの適用範囲は変わりません。