セキュリティ対策

SECURITY MEASURES

Security Measures

お客様の情報を守るために
日常業務で実施している対策

生成AIの普及により、パスワードの解読技術も進歩しています。
時代の変化に対応した具体的なセキュリティ対策をまとめています。

ここで紹介するのは、当社が日常業務で実施している対策です。
関連する方針については、以下のページをご覧ください。

01

Data Protectionデータの保護

お客様からお預かりしたデータや業務上の機密情報を、
紛失・漏えい・不正アクセスから守るための対策です。

  • クラウドへの安全な保存

    重要なデータはセキュリティ基準を満たしたクラウドサービスに保存し、端末の故障や紛失に備えています

  • 定期的なバックアップ

    クラウドおよび物理媒体に定期的にバックアップを行い、データの消失リスクに備えています

  • ストレージ全体の暗号化

    業務用PCのストレージ全体をBitLocker等で暗号化し、端末の紛失・盗難時にもデータを保護しています

  • 重要情報の保管管理

    クリアデスクを徹底し、重要書類や記録媒体は放置せず施錠可能な場所に保管しています

AIによるデータ分析時の保護

  • 外部に送信しないAI処理環境

    お客様のデータをAIで分析する際は、社内に設置した専用のAI環境で処理を完結します。外部のクラウドAIには一切送信しないため、データがインターネット上に流出するリスクを構造的に排除しています

  • 暗号化による機密データの隔離

    個人情報や機密データは、暗号化された専用領域に保管し、分析時のみ復号して処理します。分析完了後は再び暗号化状態に戻るため、万が一の端末紛失・盗難時にもデータは保護されます

7層の独立した防御層による多層防御

お客様のマーケティングデータをAIで分析する際、7層の独立した防御層でデータを保護しています。
万が一1つの層が突破されても、残りの6層で保護する設計です。

  • 第1層 アプリケーション制御

    分析に必要なデータのみを処理し、処理完了後は即座に自動削除されます。保存される会話ログからも個人情報は自動的に除外されます

  • 第2層 AIアクセス制御

    長期記憶機能はデフォルトOFF(フェイルセーフ設計)。明示的にONにしない限りデータは記憶に保存されません。クラウドAI環境ではユーザー宣言方式を採用し、業務効率とセキュリティを両立しています

  • 第3層 暗号化保護

    分析環境のデータを軍事水準の暗号化(AES-256)で保護します。分析終了後はデータ領域を暗号化状態に戻し、物理的にアクセスできない状態にします

  • 第4層 個人情報の自動検出

    電話番号・メール・住所・法人名・生年月日・カード番号等の11種類のパターンを自動検出し、長期記憶への保存をブロックします。ミドルウェアによるレスポンススキャンと監査ログによる証跡記録も併用しています

  • 第5層 ネットワーク遮断

    分析環境はインターネットから完全に切り離されたローカル環境で動作します。データが外部のサーバーに送信される経路が物理的に存在しません

  • 第6層 監査ログ

    すべてのデータアクセスと防御の発動を自動記録しています。個人情報の検出・ブロック時はソルト付きハッシュで証跡を記録し、ログ自体からの情報漏洩も防止しています

  • 第7層 第三者AI監査

    防御の有効性を、分析AIとは独立した別のAIエージェントが定期的に検証します。新たな漏洩経路が生まれていないかを第三者の視点で監査しています

02

Access Controlアクセス管理と認証

「正しい人だけが、正しい情報にアクセスできる」状態をつくるための対策です。

認証ポリシー

サービスの特性に応じて、3段階の認証方式を使い分けています。

  • パスキー(FIDO認証)

    Googleアカウントにパスキーを設定し、Google認証に対応するサービスはGoogleアカウント経由でログインしています。パスワードを使わない認証のため、フィッシングや漏えいのリスクを構造的に排除しています

  • パスワード+二要素認証(2FA)

    Google認証に非対応のサービスは、10文字以上の複雑なパスワードに加え、認証アプリによる二要素認証を必須としています。パスワードが万が一漏れた場合でも、それだけではログインできない仕組みです

  • 生体認証(端末アクセス)

    PCのロック解除には指紋認証(Windows Hello)を導入し、離席時や第三者による不正操作を防止しています

パスワードの管理

  • パスワード管理ツールの使用

    有料のセキュリティ管理ツールで一元管理し、パスワードの使い回しや手書きメモによる漏えいを防止しています

アクセス権限の管理

  • クラウドストレージ等のアクセス権限を業務に必要な最小限の範囲に制限しています
  • 不要な外部共有は禁止し、権限設定を定期的に見直しています

03

Communication Security通信とメールの保護

インターネットを経由する通信の盗聴・追跡・誤送信を防ぐための対策です。

通信の暗号化

  • VPNによる通信の保護

    通信記録を保存しない「ノーログポリシー」のVPNサービスを使用し、外出先や公共Wi-Fiでも安全に作業できるようにしています

  • 無線LANの安全利用

    WPA3/WPA2等の強固な暗号化方式のみ使用し、外出先では信頼できるVPNを併用しています

  • ファイル転送時の暗号化

    お客様とのデータのやり取りには有効期限付きのクラウドリンク共有やファイル暗号化を使用し、転送中の情報漏えいを防止しています

メールの安全対策

  • 不審メールへの対応

    未知の送信者や不自然なURL・添付ファイルは開かないルールを徹底し、不審なメールは即座に社内共有しています

  • 誤送信の防止

    外部へのメール送信前に宛先を再確認するルールを徹底し、BCCの適切な利用や送信遅延機能を活用しています

04

Physical Security物理的なセキュリティ

端末や書類の盗難・紛失・覗き見など、物理的な情報漏えいを防ぐための対策です。

  • 公共の場での作業禁止

    カフェやコワーキングスペースなど、外出先や公共の場での作業を禁止し、盗難・のぞき見・不正操作を防止しています

  • 事務所の施錠管理

    最終退出者による窓・ドアの施錠確認と、入退室記録の管理を徹底しています

  • 立ち入り制限

    事務所への無断立ち入りを制限し、来客時は記録を残し、重要情報のある場所には近づけない運用としています

  • 機器の盗難防止

    PC等の機器は物理的な盗難対策を施し、退社時の施錠保管を徹底しています

  • 端末持ち出し時の保護

    持ち出しPCはストレージ全体を暗号化し、紛失・盗難時の連絡体制を整備しています

  • 離席時のスクリーンロック

    離席時は必ずスクリーンロックし、指紋認証等の生体認証により第三者の不正操作を防止しています

05

Device Management端末とソフトウェアの管理

使用する端末やソフトウェアを常に安全な状態に保つための対策です。

  • OSとソフトウェアの最新化

    PC・スマートフォンのOS自動更新を有効化し、ブラウザ等のソフトウェアも常に最新バージョンを維持しています

  • セキュリティソフトの導入

    ウイルスやマルウェアの検知・防御のため、有料のセキュリティソフトを最新の状態に更新して常時稼働させています

  • 私物機器の利用制限

    許可のない私物デバイスの業務利用を原則禁止し、利用する場合は会社指定のルールに従う体制としています

  • インターネット利用のルール

    業務に関係のないサイト閲覧や、SNSへの機密情報・個人情報の書き込みを禁止するルールを運用しています

業務ツールの安全管理

  • オンライン会議の安全管理

    お客様との打ち合わせには、お客様の指定のツールを使用し、会議URLの管理やアクセス制限を行っています

  • 議事録作成ツールの管理

    議事録は、お客様の指定のツールを使用して作成します

06

Organizational Measures組織的な対策

技術的な対策だけでなく、契約・教育・体制の面から情報を守るための取り組みです。

  • 秘密保持契約の締結

    全従業員と機密保持契約を締結し、お客様とも秘密保持契約(NDA)を取り交わしています

  • セキュリティ教育の実施

    AI利用時の情報漏洩リスクに特化した社員教育マニュアルや職種別の安全プロンプト集を作成し、noteで公開しています

  • 外部サービスの安全な選定

    クラウドサービス等の利用時は、事業者の信頼性やセキュリティ対策状況を事前に確認して選定しています

  • 脅威情報の収集

    IPA等の専門機関から最新の攻撃手法に関する情報を収集し、社内で共有する体制を構築しています

07

Incident Responseインシデント対応

情報漏えいやセキュリティ事故を「起こりうるもの」として捉え、
被害の最小化と再発防止のための対応体制を整備しています。

検知・報告 初動対応 影響調査 復旧・報告 再発防止

インシデント対応フロー(5段階)

対応マニュアルの整備

  • インシデントの重大度を4段階(緊急・重大・警告・軽微)に分類し、それぞれの対応期限と手順を定めたマニュアルを整備しています
  • 認証情報の漏えい、不正アクセス、マルウェア感染、端末紛失など、想定されるシナリオごとに具体的な初動対応を規定しています

お客様への報告基準

  • 報告のタイミング

    お客様のデータに影響がある、またはその可能性があるインシデントが発生した場合、初動対応の完了後速やかに報告します

  • 報告の内容

    何が起きたか、どの情報が影響を受けた可能性があるか、当社が実施した対応、今後の再発防止策を報告します

再発防止と継続改善

  • 原因を特定したうえで技術的対策と運用ルールの見直しを行い、対策の内容を記録・共有します
  • 対策の有効性を1ヶ月後に検証し、類似インシデントへの横展開を行います
  • 本マニュアルは年1回およびインシデント発生後に見直し、最新の脅威に対応します

08

Data Disposal契約終了時の対応と安全な廃棄

お預かりした情報を適切に廃棄し、復元不能な状態にするための対策です。

契約終了時の対応

  • お客様からお預かりしたアカウント情報・パスワードは、契約終了時にすべて破棄します
  • プロジェクトに関連するデータは、契約で定めた保管期間の終了後に完全に削除します

安全な廃棄

  • 書類の廃棄

    重要書類はシュレッダーで細断し、読み取り不能な状態にして処分しています

  • 電子媒体の廃棄

    USBメモリやHDD等の電子媒体は、データ消去ソフトや物理的破壊により復元不能にして処分しています

  • PCの廃棄

    PCを廃棄する際は、専門業者に依頼し、データの完全消去を確認したうえで処分します

これらの対策は、当社の業務環境や技術の進歩に合わせて定期的に見直し・更新しています。

研究・開発方針

AI活用方針、開発プロセス、データの取り扱いルールなど、開発・運用の基本方針はこちら

情報セキュリティ基本方針

IPA自社診断に基づく25項目の実施状況と、代表者による基本方針の宣言

セキュリティに関するご質問はお気軽に

セキュリティ対策やデータの取り扱いについて、
ご不明な点がございましたらお問い合わせください。

お問い合わせ →