セキュリティ対策基準

この文書では、開発に参画する開発者が実施するセキュリティ対策について規定します。協力者を含む開発者は、開発参画時に本書の基準を満たす必要があります。

• 開発者に求めるセキュリティ対策
  • 1. 情報処理安全確保支援士のコードレビューの必須
  • 2. 徳丸基礎試験の合格
  • 3. セキュリティ講習の受講
  • 3. 公共空間での執務の禁止
  • 4. 公共空間での会話の禁止
  • 5. お打ち合わせ時、他社事例についての言及の禁止
  • 6. 実績公開の禁止
• 端末に対するセキュリティ対策
  • 1. 小型の外部記録デバイスの利用禁止
  • 2. スリープまで5分、スリープ後の再認証の必須化
  • 3. Windows端末はマルウェア対策ソフトを導入
  • 4. デスクトップへのファイル常備の禁止
  • 5. ブラウザのブックマークバーの文字表示の禁止
  • 6. 協力者は契約終了に伴いプロジェクト関連情報の削除
  • 7. 自前で構築した開発サーバー上での開発の禁止
  • 8. 検証環境や本番環境の検証利用に向けてプロキシ設定
  • 9. マスキング機能を備えたスクリーンショット取得ツールの利用
  • 10. GmailやSlack、Chatworkなどのコミュニケーション・ツールの画面共有の禁止
  • 11. URLを知っていれば誰でもアクセスできる状態のファイル共有の利用禁止
• アカウントに対するセキュリティ対策
  • 1. パスキーまたは多要素認証の有効化
  • 2. 有効期限が長く、強力な権限を持つアクセスキーの発行禁止
  • 3. クレデンシャルのコミットの禁止
  • 4. クレデンシャルはDMで共有、受領後削除
  • 5. 外部インテグレーションの利用の禁止
  • 6. 個人情報が含まれるスクリーンショットの共有の禁止
• ワークロードのセキュリティ対策
• 補足1. ISMSとの関係
• 補足2. 保護の対象
• 補足3. リスク想定
  • 1. 事故・過失
  • 2. 外部からの侵害
  • 3. 内部からの侵害

開発者に求めるセキュリティ対策

開発者および協力者は以下に留意します。

1. 情報処理安全確保支援士のコードレビューの必須

Pull Requestのマージに情報処理安全確保支援士のApproveを必須とします。

2. 徳丸基礎試験の合格

当社の開発者はウェブ・セキュリティ基礎試験(徳丸基礎試験）の合格を必須とします。

3. セキュリティ講習の受講

協力者はプロジェクト参画前に当社所定のセキュリティ講習の受講を必須とします。

3. 公共空間での執務の禁止

公共空間での執務を禁止します。カフェ、個室でないコワーキング・スペース、電車、空港、その他公共空間では開発できません。自宅での執務は可能です。

4. 公共空間での会話の禁止

移動中や食事中などの公共空間において、プロジェクトに関する会話は一切禁止します。具体的には「○○の件どうなった？」などと、プロジェクト名や顧客名を伴い会話してしまうことがあります。これらの会話は、直接の漏洩に繋がらなくとも信用を毀損する行為ですので禁止とします。

5. お打ち合わせ時、他社事例についての言及の禁止

お打ち合わせの際に、他社との取り組みについて言及する場合は、公開情報のみに限定します。NDAを結んでいるお客様であっても、他社の取り組みについて言及することはできません。

6. 実績公開の禁止

お客様の同意がない限り、実績公開は禁止します。具体的には、以下が該当します。

• 個人の技術ブログやZennなどへの投稿
• XなどSNSへの投稿
• セミナー・カンファレンスでの発表
• （協力者のサイトなどで無断の）開発実績公表
• 転職時などの業務経歴書への詳細記述
  • 顧客名やサービス名を伏せた上で、業務概要を記述してください

端末に対するセキュリティ対策

開発者および協力者は使用する端末に以下の対策を行います。

1. 小型の外部記録デバイスの利用禁止

カードサイズ未満のUSBメモリーなどの外部記録デバイスで、案件に関連するデータを扱うことを禁止します。

2. スリープまで5分、スリープ後の再認証の必須化

端末のスリープまでの時間を5分以内に設定し、スリープ後の再認証を必須とします。

3. Windows端末はマルウェア対策ソフトを導入

• Mac、Linux端末の場合、マルウェア対策ソフトは導入推奨に留めます
  • 当社職員は一律導入します
• Windows端末の場合、Microsoft Defenderなどの導入を必須とします

4. デスクトップへのファイル常備の禁止

OSを問わず、デスクトップにファイルを常備することを禁止します。デスクトップは作業時の一時領域として利用し、作業終了後にはファイルを削除するものとします。

5. ブラウザのブックマークバーの文字表示の禁止

ブラウザのブックマークバーに案件名や顧客名を含むメニューが表示されることがあります。WEBミーティング時の画面共有やスクリーンショット取得時の漏洩を防ぐため、ブラウザのブックマークバーに文字を表示することを禁止します。

6. 協力者は契約終了に伴いプロジェクト関連情報の削除

協力者は離任時にプロジェクト関連資料とソースコードを削除します。

7. 自前で構築した開発サーバー上での開発の禁止

自前で構築した開発サーバー上にリポジトリをクローンし、コンテナ開発環境を整え、インターネット経由で開発を行うことを禁止します。開発は端末、Github Codespaces、又は当社が手配したサーバーでのみ行います。

8. 検証環境や本番環境の検証利用に向けてプロキシ設定

検証環境や本番環境はIP制限がかけられるので、当社が手配したサーバーからアクセスできるよう端末にプロキシ設定を行います。

9. マスキング機能を備えたスクリーンショット取得ツールの利用

スクリーンショット取得ツールは、マスキング機能を備えたものを利用します。

10. GmailやSlack、Chatworkなどのコミュニケーション・ツールの画面共有の禁止

Google MeetやZoomを用いたオンラインミーティングの際には、GmailやSlack、Chatworkなどのコミュニケーション・ツールの画面共有を行わないでください。コンタクト・リストなどが不適切に表示される可能性があるためです。

11. URLを知っていれば誰でもアクセスできる状態のファイル共有の利用禁止

Googleドライブなどのファイル共有サービスで、URLを知っていれば誰でもアクセスできる状態のファイル共有を禁止します、またそのようにGoogle Workspaceの設定を行います。

アカウントに対するセキュリティ対策

開発者は以下のサービスの利用にあたり、本項の対策を行うものとします。

• GitHub
• Slack
• Google Workspace
• AWS、GCPなどクラウドインフラ
• CloudflareなどCDN、SendGridなどメッセージ配信サービス、その他サードパーティーのサービス

1. パスキーまたは多要素認証の有効化

ID、パスワードのみでの認証を禁止します。パスキーまたは多要素認証を有効化します。

2. 有効期限が長く、強力な権限を持つアクセスキーの発行禁止

具体的にはAWSのAccess KeyやGitHubのPersonal Access Tokenなどが該当します。例えばAWSのAccess Keyについては以下の代替手段を検討して下さい。

• 端末より利用する場合: AWS Organizations SCPからのMFA強制設定や、AWS Identity Centerの利用
• CIから利用する場合: OpenID Connect
• アプリケーション・サーバーから利用する場合: リソースに対するIAMロール付与

3. クレデンシャルのコミットの禁止

各種アカウント、APIキーなどのクレデンシャルはコミットを禁止します。コミットされたクレデンシャルは失効処理を行うものとします。

NOTE

同様にユーザー情報、DBのダンプデータなどもコミットがされないように注意を払います。

4. クレデンシャルはDMで共有、受領後削除

複数人が参加するチャンネル上で機密情報を送信することを禁止し、DMで送信、受領確認後は削除することとします。

5. 外部インテグレーションの利用の禁止

プライベート・リポジトリにおいて、サードパーティーのCI/CD支援サービスの利用を禁止します。

6. 個人情報が含まれるスクリーンショットの共有の禁止

GitHubのIssueやPull Request、複数人が参加するチャンネル上で個人情報が含まれるスクリーンショットの共有を禁止します。必然性がある場合はモザイク処理をして共有することとします。

ワークロードのセキュリティ対策

アプリケーションとその実行基盤に対するセキュリティ対策は、アプリケーション設計基準で定めます。

補足1. ISMSとの関係

セキュリティに関する包括的な取り組みは、ISMSの活動により行います。ここでは当社の協力者を含む、プロジェクトに参画する開発者が確保すべきセキュリティ水準について、特に重要なものを抜粋して規定します。

NOTE

ここでは端的に、開発者が普段留意すべきリスク対策について記載することを目的とします。補足として情報資産、リスク想定についても触れますが、全体像はISMSの文書を参照して下さい。

補足2. 保護の対象

プロジェクトに関する一切の情報資産は、保護の対象とします。

保護対象の例

• ソースコード、ドキュメンテーション、付随するファイル、各種アカウント
• DB、ユーザーがアップロードするファイル
• アクセスログやメトリクスなど運用ログ
• メールや、GitHub、Slackでのコミュニケーション履歴
• スクリーンショット

補足3. リスク想定

プロジェクトは以下のリスクを想定し、対策します。

1. 事故・過失

プロジェクトに参画する開発者の事故・過失、また天災をリスクとして想定します。

事故・過失の例

• 顧客宛のメールを、誤った宛先に送るなどの過失
• SQLの直接実行によるデータ修正で、誤ったデータを削除してしまうなどの事故
• 天災による執務困難やシステム基盤の障害

2. 外部からの侵害

外部からの脅威として「経済的動機に基づいた侵害」と「評判失墜を目的とした侵害」を想定します。

経済的動機に基づいた侵害の例

• システム基盤への認証情報を窃取し暗号資産のマイニング、改ざんによるフィッシング、スパムメールの送信を行うなどの侵害
• システム基盤の設定不備をついてランサムウェアを設定して身代金を請求するなどの侵害
• 管理システムへの認証情報を窃取し、利用者向けページでは提供されない有利情報を得るなどの侵害
• 管理システムへの認証情報を窃取またはサーバー侵入を行い、取得した個人情報を名簿業者へ売却するなどの侵害

社会的評価の失墜を目的とした侵害

• システム基盤への認証情報を窃取し本システムを破壊するなどの侵害

3. 内部からの侵害

内部からの脅威として「個人の経済的動機に基づいた侵害」と「受注者・発注者の社会的評価の失墜を目的とした侵害」を想定します。

個人の経済的動機に基づいた侵害

• 開発者が本システムのシステム基盤を利用して暗号資産のマイニングを行うなどの侵害
• 開発者やお客様の社内ユーザーがサービス本体では提供されない有利情報を外部流出させるなどの侵害
• 管理システムへの認証情報を窃取またはサーバー侵入を行い取得した個人情報を名簿業者へ売却するなどの侵害

受注者・発注者の社会的評価の失墜を目的とした侵害

• 開発者が本システムを破壊するなどの侵害
• 開発者や社内ユーザーが本サービスのコンテンツを改ざんするなどの侵害