脆弱性・脅威管理ポリシー
制定日:2026年6月27日
最終改定日:2026年6月27日
事業者名:アイエクスプレス
1. 目的
[事業者名]は、情報システム、端末、クラウドサービスおよび関連業務に対する脆弱性や脅威を把握し、適切に管理することにより、情報資産の機密性、完全性および可用性を保護することを目的として、本ポリシーを定めます。
2. 適用範囲
本ポリシーは、当社の役員、従業員、業務委託先その他当社業務に関与する者が利用または管理する、以下を対象とします。
- 業務用端末
- サーバーおよびネットワーク機器
- クラウドサービス
- 業務アプリケーション
- 業務上取り扱うデータおよび関連システム
3. 管理対象
当社は、以下のような脆弱性および脅威を管理対象とします。
- ソフトウェア、OS、ミドルウェア等の既知の脆弱性
- 不正アクセス、マルウェア、フィッシング等の外部脅威
- 誤設定、権限設定不備、運用不備等の内部リスク
- サービス停止、データ消失、アカウント侵害その他業務継続に影響を与える事象
4. 役割と責任
当社は、脆弱性・脅威管理にあたり、以下の役割分担に基づいて対応します。
- 担当者:異常、脆弱性情報、セキュリティ上の懸念を確認した場合、速やかに管理責任者へ報告します。
- 管理責任者:報告内容の確認、影響評価、対応要否の判断、必要な是正措置の指示を行います。
- 代表者または最終責任者:重要な対応方針の決定、必要な外部連携、再発防止策の承認を行います。
5. 脆弱性および脅威の把握
当社は、脆弱性情報、ベンダー通知、運用上の異常、委託先からの連絡その他入手可能な情報を通じて、脆弱性および脅威の把握に努めます。
把握した情報については、必要に応じて影響範囲および緊急性を確認します。
6. 評価および優先度判断
当社は、把握した脆弱性または脅威について、業務影響、対象範囲、悪用可能性その他の観点から評価を行い、必要に応じて対応の優先度を判断します。
重大な影響が想定されるものについては、優先して対応を行います。
7. 対応措置
当社は、状況に応じて以下の措置を講じます。
- セキュリティ更新または設定変更
- 不要な機能、アカウントまたはアクセス権の見直し
- 影響を受けるシステムまたは端末の利用制限
- 委託先またはサービス提供元との連携
- 必要に応じた一時的な回避策の実施
8. 記録および見直し
当社は、把握した脆弱性または脅威の内容、評価結果、対応状況および再発防止策を必要に応じて記録し、運用手順や管理体制の見直しに活用します。
9. 継続的改善
当社は、脆弱性・脅威管理の実効性向上のため、必要に応じて本ポリシーおよび関連する運用手順の見直しを行い、継続的な改善に努めます。
10. お問い合わせ窓口
本ポリシーに関するお問い合わせは、以下までお願いいたします。
連絡先:nakamuratomoko12345@gmail.com
