目的
当社にとって情報資産(情報および情報システム等)は、知財ソリューションの開発及びそれに付帯する当社のビジネス活動において、利益を生み出していくための源泉でありかつ最も重要な資産でもある。また情報セキュリティ事故を未然に防止することは、社会的な責務である。
当社は、情報セキュリティ上の脅威から情報資産を保護するために、情報資産を正確かつ安全に取り扱い、経営戦略に沿った情報セキュリティを実現するとともに、お客様の信頼に応えていくものとする。
情報セキュリティの定義
情報セキュリティとは、機密性、完全性及び可用性を確保し維持することをいう。
| 1. 機密性: | 許可されていない個人、エンティティ(団体等)又はプロセスに対して情報を使用不可又は、非公開にする特性。 (情報を漏えいや不正アクセスから保護すること。) |
|---|---|
| 2. 完全性: | 資産の正確さ及び完全さを保護する特性。(情報の改ざんや間違いから保護すること。) |
| 3. 可用性: | 認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。 (情報の紛失・破損やシステムの停止などから保護すること。) |
適用範囲
| 【組織】: | アイ・ピー・ファイン株式会社 |
|---|---|
| 【施設】: | 本社(奈良)、大阪事務所(大阪) |
| 【業務】: | 知的財産権関連のシステム開発、インターネットサービス・運営および当社のビジネス活動に関わるすべての業務 |
| 【資産】: | 上記業務、サービスにかかわる書類、データおよびこれらを記録した媒体(クラウド上に保存されたものを含む)、機器・装置 |
| 【ネットワーク】: | 全社ネットワーク |
実施事項
| 1. | 適用範囲の全ての情報資産を脅威(漏えい、不正アクセス、改ざん、紛失・破損)から保護するための情報セキュリティマネジメントシステムを確立、導入、運用、監視、見直し、維持及び改善するものとする。 |
|---|---|
| 2. | 情報資産の取り扱いは、関係法令及び契約上の要求事項を遵守するものとする。 |
| 3. | 重大な障害または災害から事業活動が中断しないように予防及び回復手順を策定し、定期的な見直しをするものとする。 |
| 4. | 情報セキュリティの教育・訓練を適用範囲すべての社員に対して定期的に実施するものとする。 |
責任と義務及び罰則
| 1. | 情報セキュリティの責任は、代表取締役が負う。そのために代表取締役は、適用範囲のスタッフが必要とする資源を提供するものとする。 |
|---|---|
| 2. | 適用範囲のスタッフは、お客さま情報を守る義務があるものとする。 |
| 3. | 適用範囲のスタッフは、本方針を維持するため策定された手順等に従わなければならないものとする。 |
| 4. | 適用範囲のスタッフは、情報セキュリティに対する事件・事故及び弱点を報告する責任を有するものとする。 |
| 5. | 適用範囲のスタッフが、お客さま情報に限らず取り扱う情報資産の保護を危うくする行為を行った場合は、社員就業規則に従い処分を行うものとする。 |
定期的見直し
情報セキュリティマネジメントシステムの見直しは、環境変化に合わせるため定期的に実施するものとする。
2020年10月2日
代表取締役社長 古川 智昭
クラウドサービス情報セキュリティ方針
アイ・ピー・ファイン株式会社は、当社にて確立した「情報セキュリティ方針」を拡充し、以下にクラウドサービス情報セキュリティ方針を制定する。
1. クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項
・お客様からの情報セキュリティ要求事項及び当社にて確立した本方針を適用し、クラウドサービスの設計及び実装を行う。
2. 内部関係者からのリスク
・リスクアセスメントにて特定された内部関係者からのリスクに対し、管理策を採用し、実施する。
3. クラウドコンピューティング環境の隔離
・仮想化されたマルチテナント環境を利用して、クラウドコンピューティング環境を論理的に隔離し、セキュリティの確保を行う。
4.当社従業員による、お客様データへのアクセス及び保護
・クラウドサービスを提供するにあたって、または技術的な問題の解決のため、当社が定める規程に従って、お客様のアカウントにアクセスする事があるが、当社の規程に定める場合を除き、お客様の事前の許可なく、お客様のデータを監視、編集、開示しない。
5. アクセス制御手順
・当社規定に基づくパスワードポリシーによるパスワード認証に加え、必要により安全性を強化した多要素認証を設定する。
6. お客様への変更通知
・クラウドサービスに関する仕様変更等については、事前にお客様に情報提供する。
7. 仮想化セキュリティ
・ハイパーバイザ(仮想化ソフトウェア)を攻撃から守り、ホスト基盤を仮想化環境において生じる脅威から守り、仮想マシンのライフサイクルを通じて保全する。
8. お客様のアカウント管理
・お客様のアカウント管理は、当社が定める規程に基づき、お客様の責任において作成し、管理して頂く事とする。
9. 情報共有指針
・違反の通知、調査及びフォレンジック支援のための情報共有を実施する。
通知・連絡の手段は当社の定める規程にて定義する。
2022年 11月 1日
代表取締役社長 古川 智昭
情報セキュリティマネジメントシステム(ISMS)認証を取得
アイ・ピー・ファインは、情報セキュリティマネジメントシステム(ISMS)の認証を取得し、 情報資産を脅かす様々な脅威に対して適切にリスクアセスメントを実施し、 総合的な情報セキュリティを確保するための取組みを実施しています。
登録活動範囲:
・知的財産システムの受託開発、運用サポート
・特許調査請負業務
・クラウド型知財戦略システムの開発、運営
・知財戦略コンサルティング
クラウドサービスプロバイダとして以下のサービスを提供
・R&D知財グループウェア「THE調査力AI」
・R&D知財AIシステム「Deskbee5」
クラウドサービスカスタマとして以下のサービスを利用
・NTTcom Smart Data Platform
・Google Cloud Platform
・Dropbox Business
・Xserver
・知的財産システムの受託開発、運用サポート
・特許調査請負業務
・クラウド型知財戦略システムの開発、運営
・知財戦略コンサルティング
クラウドサービスプロバイダとして以下のサービスを提供
・R&D知財グループウェア「THE調査力AI」
・R&D知財AIシステム「Deskbee5」
クラウドサービスカスタマとして以下のサービスを利用
・NTTcom Smart Data Platform
・Google Cloud Platform
・Dropbox Business
・Xserver
安心のセキュリティサーバで運用
THE調査力_クラウドは、高機能かつ安全性の高い評価のNTTコミュニケーションズ株式会社のクラウドサーバにて運用をしています。(出展:NTTコミュニケーションズ・ニュース)
■リスク管理
万が一の不具合発生時、通常は5営業日を必要とする復旧作業も、 ハイパーバイザーレベルでの設定を直接当社が行えるため、早急な対応が可能となり、事象を最小化することができます。
■2重バックアップによるデータの保全
スナップショットバックアップによるサーバ全体イメージのバックアップ(サーバ構成、環境変更時)
ユーザ様データ毎の個別バックアップ(夜間)
■暗号化通信
SSLサーバ証明書「GeoTrust(ジオトラスト)」256bit適用による通信パケットを暗号化しており、情報を安全に送受信します。
