8.3 情報セキュリティリスク対応

項目	内容
改訂日	2024.04.01
適用範囲	全社
箇条番号	8.3
分類	運用

要求事項

組織は、情報セキュリティリスク対応計画を実施しなければならない。

組織は、情報セキュリティリスク対応結果の文書化した情報を保持しなければならない。

目的

6.1.3で策定した情報セキュリティリスク対応計画を確実に実施し、リスクを許容可能なレベルまで低減するため。

当社における実施状況

リスク対応計画の実施

当社では、6.1.3で策定したリスク対応計画に基づき、以下のとおりリスク対応を実施している。

リスク対応の選択肢

対応方針	説明	適用例
低減	管理策を適用してリスクを許容可能なレベルまで低減	アクセス制御、暗号化、監査ログ
受容	リスクが許容範囲内であり、追加対策を行わない	リスク値2以下の低リスク
回避	リスク源となる活動を中止または変更	高リスクなサービスの利用中止
移転	保険加入や外部委託によりリスクを移転	サイバー保険、クラウドサービス利用

管理策の実施状況

ISO/IEC 27001:2022 附属書Aの93の管理策について適用・非適用を明確化し、適用する管理策を実施している。

主な管理策の実施状況

管理策カテゴリ	主な実施内容	関連規程
組織的管理策（A.5）	情報セキュリティ方針、役割・責任の明確化、インシデント対応体制	1. 組織的対策、10. インシデント対応
人的管理策（A.6）	採用時審査、教育・訓練、退職時手続き	2. 人的対策
物理的管理策（A.7）	オフィスセキュリティ、クリアデスク	5. 物理的対策
技術的管理策（A.8）	アクセス制御、認証、暗号化、ログ管理	4. アクセス制御及び認証、6. IT機器利用

高リスクへの対応状況

8.2 情報セキュリティリスクアセスメントにおいて「高」と判定されたリスクについては、以下の管理策により低減を図っている。

資産ID	情報資産	主な管理策	実施状況
IA-001	顧客基本情報（Cloud SQL / Amazon RDS）	DBはインターネット非公開、アプリ経由アクセス、権限管理、監査ログ	実施済
IA-001-2	顧客管理資料（Google Workspace 共有ドライブ）	共有ドライブ権限管理、管理者限定、定期的な権限確認	実施済
IA-004	ソースコード（GitHub）	組織管理、リポジトリ権限管理、SSO、監査ログ	実施済
IA-009	カスタマーサポート情報（Zendesk）	サポート部のみアクセス可能、ロール・権限管理、SSO連携、監査ログ	実施済
IA-010	分析データ（BigQuery）	IAMによる権限管理、データセット権限設定、監査ログ、VPC Service Controls	実施済

リスク対応計画の管理

追加の管理策が必要な場合は、リスク対応計画をYouTrackのチケットとして管理し、以下の情報を明確化している。

• 対応すべきリスク
• 実施する管理策
• 実施期限
• 担当者
• 進捗状況

リスク所有者の承認

リスク対応計画及び残留リスクの受容については、情報セキュリティ責任者（代表取締役）が承認する。

文書化した情報

リスク対応結果は、以下の文書化した情報として保持する。

文書	内容	保管場所
リスクアセスメント報告書	リスク対応方針、管理策の実施状況	ISMS文書管理システム
適用宣言書	管理策の適用・非適用及び理由	ISMS文書管理システム
リスク対応計画	追加管理策の実施計画、進捗	YouTrack
各種規程・手順書	管理策の詳細な実施手順	ISMS文書管理システム

継続的な確認

リスク対応の有効性は、以下の機会において確認する。

• 年次リスクアセスメント： 管理策の有効性を評価し、必要に応じて見直し
• 内部監査： 管理策の実施状況を確認
• マネジメントレビュー： リスク対応計画の状況を報告、改善の必要性を検討
• インシデント発生時： 管理策の有効性を検証、必要に応じて追加対策を実施

関連文書

• 6.1 リスク及び機会に対処する活動
• 8.2 情報セキュリティリスクアセスメント
• 14. 情報セキュリティリスクアセスメント
• 1. 組織的対策
• 10. インシデント対応及び事業継続管理