物理セキュリティポリシー
正式文書
- PDF または正式 URL へのリンク: 英語版「Authoritative document」を参照
所管
| 項目 | 値 |
|---|---|
| 所管 | Takayuki KIKUCHI |
| 最終確認日 | 2026-04-13 |
目的
組織の情報および情報処理施設に対する不正な物理的アクセスまたは損害を防止すること。
適用範囲
Rendering Consulting Inc.(以下「当社」)のすべてのオフィスおよび拠点。本ポリシーは、当社のすべての従業員、ならびに当社が所有または賃借する施設に物理的にアクセスするすべての外部当事者に適用される。
物理セキュリティ境界
物理的なオフィスおよび処理施設は、壁、窓、ドア、およびアクセス制御機構の建築材料に関するすべての地域の建築基準を満たすものとする。当社は、共用ビル内の施錠された個室オフィスで業務を行う。オフィスフロアへのアクセスは、ビル管理によるカードキーシステムによって制限される。オンプレミスに個別のサーバ室または配線クローゼットは設置しない。
物理的入退室管理
セキュアエリアは、許可された人員のみがアクセスできるよう、適切な入退室管理によって保護するものとする。可能な限り、当社のアクセス制御システムは、個々の人員に対するきめ細かなアクセス制御を提供する一元化されたシステムと連携するものとする。アクセスイベントは、リスクに応じて適切に記録し、必要に応じてレビューするものとする。カメラおよび侵入検知システムは、共用部においてビル管理により提供される。当社の本番データは Microsoft Azure 上に完全にホストされており、本番データはオンプレミスでは処理または保存されない。
オフィス・部屋・施設のセキュリティ
オフィス、部屋、および施設の物理的セキュリティは、機密データおよびシステムの機密性、完全性、可用性に対する窃盗、誤用、環境上の脅威、不正アクセス、その他の脅威から保護するよう設計・適用するものとする。
外部および環境からの脅威への保護
自然災害、悪意ある攻撃、または事故に対する物理的保護は、設計・適用するものとする。セキュアエリアは、可能な限り、侵入検知システム、アラーム、および/またはビデオ監視システムなどの適切な制御を用いて監視するものとする。セキュアエリアへの来訪者および第三者のアクセスは、情報の紛失および窃盗のリスクを低減するために制限するものとする。
消火システム、非常用予備電源、および共用部のその他の環境制御は、ビル管理により提供・維持される。当社の本番インフラストラクチャは Microsoft Azure によりホストされており、その物理的および環境的セキュリティ制御は、少なくとも年次で Microsoft Azure の SOC 2 および ISO 27001 の適合報告書を通じてレビューするものとする。
物理的な情報システムハードウェアおよび支援インフラストラクチャは、製造元の推奨に従って定期的に保守・点検するものとする。
セキュアエリアでの作業および来訪者管理
来訪者、配送担当者、外部サポート技術者、その他の外部関係者は、付き添いおよび/または適切な監督なしにセキュアエリアへのアクセスを許可されないものとする。セキュアエリア内の第三者は、来訪者ログに署名して入退室し、当社の人員により付き添いまたは監視されるものとする。
無付き添いの来訪者を目撃した当社の人員は、来訪者に声をかけ、状況を確認し、承認されたエリアに戻るよう確保するか、必要に応じて責任ある当局に報告するものとする。セキュアエリアへの外部当事者のアクセスは、付与前に適切な当社の人員と確認するものとする。外部当事者をセキュアエリアに入れるアクセスを提供する当社の人員は、第三者の人員がすべてのセキュリティ要件を遵守することを確保する責任を負い、アクセスを付与した外部者の行動について説明責任を負うものとする。
来訪者は、当社の招待側が、当社の情報システム、ネットワーク、またはデータへの不正アクセスが行われないことを確保できる場合に限り、無付き添いで作業を許可することができる。
サプライヤ、ベンダー、および第三者のセキュリティ
サプライヤ、ベンダー、および第三者は、当社の物理セキュリティおよび環境制御の要件に従うものとする。当社は、第三者管理ポリシーに従い、ベンダー管理プロセスの一環として、第三者の物理セキュリティ制御の妥当性を評価するものとする。
例外
本ポリシーに対する例外の申請は、承認を得るために CEO に提出しなければならない。
違反と執行
本ポリシーに対する既知の違反は CEO に報告するものとする。本ポリシーへの違反は、会社の手続きに従い、システムおよびネットワーク権限の即時停止・剥奪、ならびに雇用の終了を含む懲戒処分の対象となる場合がある。