8. システム開発及び保守
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 当社が独自に開発・運用する情報システム |
1. 新規システム開発および改修
Section titled “1. 新規システム開発および改修”当社が独自に情報システムの新規開発または改修を行う場合は、以下の事項を考慮して実施する。
- 対象業務の範囲の整理
- 利用するクラウドサービスおよびソフトウェアの選定
- 情報セキュリティ要件の整理
- 運用および保守を考慮した構成の検討
- バックアップおよび障害発生時の対応方針の検討
2. 脆弱性への対処
Section titled “2. 脆弱性への対処”情報システムの設計および開発においては、利用するソフトウェア、ライブラリ等に関する脆弱性を識別し、必要な対策を講じる。
脆弱性への対処は、Dependabot、Renovate 等の自動化された仕組みによる更新を基本とし、当該更新の適用および影響確認は、システム管理者またはこれと同等の役割を担う者が行う。
3. 開発環境と運用環境の分離
Section titled “3. 開発環境と運用環境の分離”情報システムの開発および改修は、運用環境とは分離された環境で実施する。
新規開発または改修を行った情報システムについては、システム管理者またはこれと同等の役割を担う者が、必要な情報セキュリティ対策が講じられていることを確認した上で、運用環境へ反映するものとする。
4. 情報システムの保守
Section titled “4. 情報システムの保守”情報システムの保守は、原則として当社内で実施する。
当社が利用するソフトウェア、ライブラリ、クラウドサービス等について、既知の脆弱性やサポート終了に関する情報を把握し、必要に応じて対応を行う。
5. 業務委託者の関与
Section titled “5. 業務委託者の関与”情報システムの開発または保守に業務委託者が関与する場合は、以下を遵守する。
- 秘密保持契約を締結すること
- 当社が指定する開発環境およびクラウドサービスを利用すること
- 必要最小限の権限のみを付与すること
- 不要となったアカウントおよび権限は速やかに削除または無効化すること
6. 情報システムの変更管理
Section titled “6. 情報システムの変更管理”情報システムの仕様、構成または設定に変更を加える場合は、以下を考慮して実施する。
- 変更内容および影響範囲の把握
- 必要に応じたセキュリティ要件の見直し
- 変更後の動作確認
変更内容は、必要に応じて関連する記録に反映する。