ISMS全体構成
- 当社の業務システムは クラウド/SaaSを前提 とする。
- 社内にオンプレミスの業務サーバーは保有しない(※プリンタ・ルーター等の周辺機器を除く)。
- 認証は SSOおよび多要素認証(MFA) を基本とし、端末ローカルへの恒久保存を前提としない。
- 開発・運用は自動化を重視し、権限は最小権限の原則で付与・見直しを行う。
2. ネットワーク構成(概要)
Section titled “2. ネットワーク構成(概要)”2.1 論理構成
Section titled “2.1 論理構成”- 利用者(従業員・業務委託者)は、各自の端末(社有/私有)から インターネット経由でクラウドサービスへ直接接続 する。
- 社内ネットワークに接続する前提のVPNやリモートデスクトップ環境は原則利用しない。
2.2 主な構成要素
Section titled “2.2 主な構成要素”-
ID基盤:SSO対応のID管理サービス(MFA有効)
-
業務SaaS:
- ソースコード管理(例:GitHub Private Repository)
- クラウド基盤(例:GCP/AWS のマネージドサービス)
- 業務コミュニケーション(例:Slack)
- ドキュメント管理(例:Google Drive)
- 会計・HR・契約管理等の業務SaaS
-
公開領域:Webサイト(静的/マネージド)
2.3 セキュリティ境界
Section titled “2.3 セキュリティ境界”- ネットワーク境界による防御ではなく、ID・認証・権限管理を中心としたゼロトラスト的運用 を採用する。
- 重要情報への直接アクセスは制限し、アプリケーション経由または権限付与された管理操作に限定する。
3. 情報セキュリティ関連規程(全12文書)の位置づけ
Section titled “3. 情報セキュリティ関連規程(全12文書)の位置づけ”当社のISMSは、以下の12文書により構成される。いずれも 実際の運用に即した内容のみを記載 し、形式的な手順書・帳票主義は採用しない。
3.1 組織的対策
Section titled “3.1 組織的対策”- 組織的対策:情報セキュリティの責任体制および役割分担を定義
- 人的対策:雇用条件、教育、BYOD前提での従業員の責務を定義
3.2 技術的対策
Section titled “3.2 技術的対策”- 情報資産管理:クラウド/SaaS上の情報資産を中心に管理
- アクセス制御及び認証:SSO・MFA・最小権限を基本方針として定義
- 物理的対策:来訪者エリアと限定領域に絞った現実的な物理管理
- IT機器利用:一般職と開発者を分離した実運用ルール
- IT基盤運用管理:オンプレサーバーを前提としないクラウド運用
3.3 運用管理
Section titled “3.3 運用管理”- システム開発及び保守:社内開発・自動化(CI/CD、依存関係更新)を前提
- 委託管理:業務委託者を含めた情報資産取扱いの管理
- 情報セキュリティインシデント対応及び事業継続管理:迅速な初動と影響最小化を重視
- テレワークにおける対策:クラウド直接利用・BYOD前提
3.4 記録・帳票
Section titled “3.4 記録・帳票”- 情報資産の定義と管理ルール:情報資産の定義、分類基準、管理ルールを規定
4. 文書管理方法
Section titled “4. 文書管理方法”- すべての規程・台帳は Markdown形式でGit管理 する。
- 変更履歴はGitにより自動的に記録され、特定の帳票や承認フローを別途設けない。
- 閲覧は静的サイトとして公開し、社内共有を容易にする。
5. 本構成の考え方
Section titled “5. 本構成の考え方”本ISMSは「規程を揃えること」ではなく、
- 現実に守れていること
- 説明可能であること
- 運用を妨げないこと を優先して設計されている。
形式的な手順や帳票に依存せず、クラウド/SaaS時代に即した情報セキュリティ管理を行う。