全般

物理デバイス

1. デバイスセキュリティ更新

• デバイスには最新のセキュリティパッチのインストール推奨

2. 認証手段

• デバイスは強力なパスワード、PIN、または生体認証で保護の推奨
• 外部機密データソースへのアクセスへ多要素認証の推奨

3. データ保管

• 機密データのローカルストレージの暗号化を推奨

4. リモートワイプ機能

• 組織データへのアクセスに使用するモバイルデバイスは、デバイスが紛失または盗難にあった場合に備えリモートワイプの機能を持つこと
• 従業員はデバイスが紛失または盗難にあった場合、即座に監督者に報告をする

5. ファイアウォールおよびアンチウイルス

• すべてのデスクトップデバイスはファイアウォールおよびアンチウイルスプログラムインストールと定期更新の推奨
• デバイスから悪意のあるまたは疑わしいウェブサイトへのアクセスを行わない

6. パブリックネットワーク

• セキュリティのない公共Wi-Fiにデバイスの接続を行わない

7. 物理セキュリティ

• デバイスを公共の場所に放置しない
• 使用しないときはデバイスを安全に保管する

8. アプリおよびソフトウェアインストール

• アプリおよびソフトウェアインストールの際に信頼できるソースかの確認の推奨
• 不要または古いアプリおよびソフトウェアを定期的に確認し、削除を推奨

9. 廃棄デバイス

• 廃棄前にデバイスからすべてのデータを安全に削除する

ローカル環境開発

1. 機密データの取り扱い

• パスワード、APIキー、または他の秘密情報を直接コードにハードコードしない
• 環境変数、Gitで無視される設定ファイル、または秘密管理ツール利用を推奨

2. バージョン管理（例：Git）

• 機密データや秘密情報をコミットしない
• .gitignoreを使用し、機密情報が含まれている可能性のあるファイルを除外する
• 定期的にコミット履歴を監査し、誤って機密データがコミットされていないことを確認する

3. 依存関係の管理

• 信頼性のあるソースからのみ、パッケージやライブラリをインストールする
• 既知の脆弱性に対する保護のため、定期的に依存関係を更新する

4. 安全な接続

• 接続する外部サービスやデータベースが安全な接続（例：HTTPS、セキュアWebSockets）を使用していることを確認する

5. デバイスセキュリティ

• OSとソフトウェアを定期的に更新する
• セキュリティソフトウェア（例：ウイルス対策ソフトウェア）を使用し、ファイアウォールを有効する
• フルディスク暗号化を推奨する
• 一定の無操作時間後にデバイスを自動的にロックするように設定する

6. 外部デバイスとドライブ

• 外部デバイスやドライブを接続する際は、信頼のあるソースであるか確認する
• マルウェアがなく、必要なセキュリティプロトコルを備えていることを確認する

クラウド環境開発

1. アイデンティティとアクセス管理（IAM）

• ロールベースのアクセスコントロールを実装し、ユーザーとサービスがタスクに必要な最小権限を持つことを確認する
• 定期的にIAMロール、権限、および使用パターンを審査および監査する

2. ログとモニタリング

• クラウドプロバイダのログとモニタリングツール（例：AWS CloudTrail、Azure Monitor）を有効にし、疑わしい活動やアクセスパターンのアラート設定の推奨

3. APIキーと資格情報

• コードにAPIキーや資格情報をハードコードしない
• クラウドプロバイダの秘密管理ソリューションまたは環境設定を使用する

4. データ転送

• クラウドへのデータ転送とクラウドからのデータ転送には安全な方法を使用する（例：HTTPS、SFTP）

5. サードパーティの統合とサービス

• サードパーティのサービスや統合が必要なセキュリティ対策を備えており、定期的な監査を受けていることを確認する
• サードパーティのサービスのアクセスを最小限必要なデータに制限する

7. データの保持と削除

• 必要のなくなったデータを定期的に削除する
• データを削除する際に、残された痕跡がないことを確認する

伝達・ファイル保存・共有

Email

1. Google Workspaceメールの利用

• Eメールを介したコミュニケーションは、内部および外部ともに監督者の発行したGoogle Workspaceアカウントによって行う
• 個人のまたはGoogle Workspace以外のメールアカウントは、会社関連の通信に使用しない

2. アクセス制御

• 監督者は定期的な監査を実施し、アクセス権を調整して、現在の必要な関係者のみがアクティブなGoogle Workspaceアカウントを持っていることを確認する

3. 伝送セキュリティ

• 機密情報の追加保護のために、Google Workspaceの伝送中の組み込みの暗号化を利用する

4. コンテンツフィルタリングとDLP

• Google Workspaceのデータ漏洩防止（DLP）を使用して、送信メールを監視する
• DLPを設定して、機密データを含むメールをアラートまたはブロックします

5. 添付ファイルとデータ共有

• 機密文書の場合添付ファイルではなく、適切な共有設定を持つGoogle Workspace リンクの使用を奨励

6. 外部メールのやり取り

• 未知の外部ドメインとのやり取りは行わない

7. インシデント対応と報告

• Google Workspaceメール内でのデータ漏洩または侵害の疑いがある場合、直ちに監督者に報告をする

Google Workspace

1. Google Drive

• Google ドライブのファイル共有は、監督者に承認されたドメインに制限する
• 'リンクを持つ全員と共有' を明示的に承認しない限り、一般へのファイルの共有を禁止する
• 新しいドキュメントのデフォルト共有を '内部' に設定する

2. Gmail

• Emailの項を参照

3. Google Meet

• 機密の会議では録画機能を無効にする
• 画面共有セッション中に機密情報の共有を禁止する

Slack

1. アクセス制御

• 定期的にアクティブメンバーのリストを確認し、必要のないアクセス権を削除または変更する
• 機密な個人情報や企業情報の共有を最小限にする

2. ワークスペースとチャンネルの管理

• 必要性と目的に基づいてチャンネル（パブリックまたはプライベート）を設定する
• データの拡散を防ぐため、チャンネルの作成を管理者または一部のユーザーに制限する
• 機密性のある議論はプライベートチャンネルやダイレクトメッセージで行う

3. ファイル共有と添付ファイル

• ファイルの直接アップロードを避け、Google Workspaceに保管を行いそのリンクを共有することを推奨

4. 統合とボット

• ワークスペースに統合やボットを追加できるユーザーを最小限にする
• データアクセス権限を定期的に審査し、不要な統合や古い統合を削除する

5. メッセージとデータの保持

• 古いメッセージとファイルを自動的に削除し、必要なデータのみを保持するデータ保持ポリシーを設定する

6. 外部アクセスと共有チャンネル

• 監督者の許可なく外部組織との共有チャンネルの使用を禁止する
• ゲストアクセスを定期的に確認し、必要がなくなった場合は削除する

7. 漏洩への対処

• データ漏洩の疑いがある場合、監督者に直ちに報告する

Zoom

1. 画面共有

• デスクトップ全体ではなく、必要なアプリケーションウィンドウのみを共有する
• 画面共有を開始する前に、機密データが含まれていないことを確認する

2. ファイル共有

• 機密情報や機密文書の共有はZoomのチャット機能の利用を控える
• Google Workspaceのプラットフォームを利用したファイル共有を推奨する

3. 会議録画

• 会議を録画する前に参加者全員から同意を得る
• 録画をローカルデバイスに保存せず、Google Workspaceの安全な場所に保存する

4. 外部参加者

• 参加を許可する前に待機室を有効にし、参加者を審査する

5. Zoomの統合

• Zoomとのサードパーティアプリケーションの統合を、検証され承認されたもののみに制限する
• 統合されたアプリケーションを定期的に審査し、関連性とセキュリティの懸念を確認する

Microsoft Teams

1. ファイル共有

• ファイル共有は、最低限必要な方とのみ行うことを推奨する
• 必要な状況を除き、機密文書のアップロードを避ける

2. 外部共同作業者

• 外部ゲストアクセスが承認され、モニタリングされていることを確認する
• 定期的にゲストの権限を見直し、不必要なアクセスを防ぐ

3. 画面共有

• 画面共有セッション中に機密データが表示されないようにする
• 関連するアプリケーションに画面共有を制限するため、Microsoft Teams組み込みコントロールの利用を推奨する

4. 録画

• 会議を録画する前に、参加者全員から同意を求める
• 適切なアクセス制御の付いた承認済みの場所に録画を保存する

5. フィッシング

• フィッシング試みや不審なリンクに注意する

6. 統合されたアプリとサービス

• 承認済みのサードパーティ統合のみを使用する
• 定期的に不要な統合を見直し、不要なサービスやアプリを削除する

7. モニタリングとアラート

• ポテンシャルなデータ漏洩のインシデントをモニターしアラートを出すために、Microsoft Teamsの組み込みのDLP（データ損失防止）機能の利用を推奨する

ブラウザ

1. 推奨ブラウザ

• ブラウザはGoogle Chrome, Safari, Microsoft Edgeの利用を推奨する
• ブラウザの更新を行い最新の状態を保つことを推奨する

2. ブラウザの拡張機能とプラグイン

• ブラウザの拡張機能またはプラグインをインストールの際は信頼の足るソースかを確認する
• 機密情報にアクセスするまたは侵入的な権限が必要な拡張機能やプラグインの利用を推奨しない

3. ダウンロード

• ファイルは信頼性のある確認済みのソースからのみダウンロードする

4. ブラウザのキャッシュと履歴

• ユーザーは定期的にブラウザのキャッシュ、履歴、およびクッキーをクリアすること

5. 安全なブラウジング

• 機密データを送信するためにアクセスするウェブサイトがHTTPSを使用していることを確認する
• 組織のデバイスから個人のウェブメール、ソーシャルメディア、または業務に関連しないウェブサイトへのアクセスの非推奨

6. ログイン資格情報

• 組織で承認されたパスワードマネージャーを使用してログイン資格情報を保存する
• ユーザーはブラウザの組み込みのパスワード保存機能の使用を避ける

7. インコグニート/プライベートモード

• 個人または機密情報の入力を必要とするウェブサイトへのアクセスには、ブラウザのインコグニートまたはプライベートモードを使用する

8. 不審な活動の報告

• 任意の不審なブラウザの活動、ポップアップ、または予期せぬ動作は、直ちに監督者に報告する

• 情報セキュリティポリシー
• 目標
• 対象範囲
• ポリシーの見直し
• 全般
• 物理デバイス
• 1. デバイスセキュリティ更新
• 2. 認証手段
• 3. データ保管
• 4. リモートワイプ機能
• 5. ファイアウォールおよびアンチウイルス
• 6. パブリックネットワーク
• 7. 物理セキュリティ
• 8. アプリおよびソフトウェアインストール
• 9. 廃棄デバイス
• ローカル環境開発
• 1. 機密データの取り扱い
• 2. バージョン管理（例：Git）
• 3. 依存関係の管理
• 4. 安全な接続
• 5. デバイスセキュリティ
• 6. 外部デバイスとドライブ
• クラウド環境開発
• 1. アイデンティティとアクセス管理（IAM）
• 2. ログとモニタリング
• 3. APIキーと資格情報
• 4. データ転送
• 5. サードパーティの統合とサービス
• 7. データの保持と削除
• 伝達・ファイル保存・共有
• Email
• 1. Google Workspaceメールの利用
• 2. アクセス制御
• 3. 伝送セキュリティ
• 4. コンテンツフィルタリングとDLP
• 5. 添付ファイルとデータ共有
• 6. 外部メールのやり取り
• 7. インシデント対応と報告
• Google Workspace
• 1. Google Drive
• 2. Gmail
• 3. Google Meet
• Slack
• 1. アクセス制御
• 2. ワークスペースとチャンネルの管理
• 3. ファイル共有と添付ファイル
• 4. 統合とボット
• 5. メッセージとデータの保持
• 6. 外部アクセスと共有チャンネル
• 7. 漏洩への対処
• Zoom
• 1. 画面共有
• 2. ファイル共有
• 3. 会議録画
• 4. 外部参加者
• 5. Zoomの統合
• Microsoft Teams
• 1. ファイル共有
• 2. 外部共同作業者
• 3. 画面共有
• 4. 録画
• 5. フィッシング
• 6. 統合されたアプリとサービス
• 7. モニタリングとアラート
• ブラウザ
• 1. 推奨ブラウザ
• 2. ブラウザの拡張機能とプラグイン
• 3. ダウンロード
• 4. ブラウザのキャッシュと履歴
• 5. 安全なブラウジング
• 6. ログイン資格情報
• 7. インコグニート/プライベートモード
• 8. 不審な活動の報告