← トップに戻る

情報セキュリティ基本方針

最終更新日: 2026 年 5 月 4 日

1. 基本的な考え方

OBFall 株式会社(以下「当社」)は、Web 脆弱性管理クラウドサービス「OBFall」の提供を通じて、お客様の情報資産の保護に責任を負う事業者として、自らの情報セキュリティ管理体制を確立することが極めて重要であると認識しています。

当社は、本基本方針(以下「本方針」)に基づき、お客様からお預かりする情報および当社の事業活動に関わるすべての情報資産を適切に保護し、信頼される事業者であり続けることを宣言します。

2. 適用範囲

本方針は、当社のすべての役員および従業員(雇用形態にかかわらず派遣・委託・業務契約者を含む)、ならびに当社が取り扱うすべての情報資産に適用されます。

3. 経営者の責務

当社の代表取締役は、本方針に基づく情報セキュリティ管理体制を統括し、以下の責務を負います。

  • 情報セキュリティ目標の設定と定期的な見直し
  • 情報セキュリティに必要な経営資源の確保
  • 情報セキュリティに関する重要事項の意思決定
  • 重大インシデント発生時の最終的な意思決定
  • 情報セキュリティ活動に対する評価と改善指示

4. 従業員の責務

当社の役員および従業員は、以下の責務を負います。

  • 本方針および関連規程の理解と遵守
  • 業務において取り扱う情報の機密性・完全性・可用性の保持
  • 情報セキュリティに関する教育の受講
  • インシデントまたはその兆候を発見した場合の速やかな報告
  • 業務終了後・退職後の情報の適切な取り扱い

5. 情報セキュリティ目標

当社は、以下を情報セキュリティ目標として掲げます。

  • お客様の脆弱性情報・診断結果・証跡データの厳格な保護
  • 情報資産の機密性・完全性・可用性の確保
  • 法令および社会的規範の遵守
  • 情報セキュリティインシデントの未然防止と早期検知・対応
  • 継続的な改善による情報セキュリティ水準の向上

6. 情報セキュリティ管理体制

6.1 管理責任者

当社は情報セキュリティ管理責任者を任命し、情報セキュリティに関する以下の業務を統括させます。

  • 情報セキュリティ規程類の策定および見直し
  • 情報セキュリティ教育の企画および実施
  • 情報セキュリティ監査の実施
  • インシデント対応の指揮
  • 経営者への定期的な報告

6.2 緊急連絡体制

情報セキュリティインシデントの発生を覚知した者は、直ちに情報セキュリティ管理責任者および経営者に報告する体制を構築します。

7. 情報資産の保護

7.1 アクセス制御

  • 役割に応じた最小権限の原則に基づくアクセス権の付与
  • 多要素認証(MFA)による管理ポータルへのアクセス制御
  • IP アドレス制限による管理ポータルへのアクセス制限
  • パスワードに関する基準の策定と運用

7.2 暗号化

  • 通信経路は TLS 1.2 以上で暗号化
  • 保存データは AES-256 相当の暗号化を実施
  • 暗号鍵の安全な管理

7.3 監視と監査

  • 全 API 操作およびログイン操作の監査ログ取得
  • 監査ログの長期保存(7 年間)
  • 異常アクセスの検知と通知

7.4 顧客間データの分離

  • データベースクエリにおけるテナントスコープの強制
  • 顧客間でデータが交差しないシステム設計

8. 委託先の管理

当社は、外部事業者に業務を委託する場合、以下の管理を行います。

  • 委託先の情報セキュリティ水準の事前評価
  • 機密保持契約および個人情報取扱契約の締結
  • 委託先における情報の取り扱い状況の定期的な確認
  • 不適切な取り扱いを発見した場合の速やかな是正措置

9. 教育および訓練

当社は、役員および従業員に対し、以下の教育を実施します。

  • 入社時の情報セキュリティ研修
  • 年 1 回以上の定期的な情報セキュリティ研修
  • インシデント対応訓練(年 1 回以上)
  • 標的型攻撃メール対応訓練(必要に応じて)

10. 法令遵守

当社は、情報セキュリティに関する以下の法令およびガイドラインを遵守します。

  • 個人情報の保護に関する法律
  • 不正アクセス行為の禁止等に関する法律
  • 不正競争防止法
  • 各種業界ガイドラインおよび業界基準

11. インシデント対応

情報セキュリティインシデントが発生した場合、以下の手順で対応します。

  1. 検知: ログ監視・通報窓口・お客様からの連絡等により把握
  2. 初動: 影響範囲の特定および被害拡大の防止
  3. 報告: 経営者および関係者への速報、必要に応じてお客様への通知
  4. 復旧: 通常運用への復旧措置の実施
  5. 再発防止: 原因分析および恒久的な再発防止策の策定・実施
  6. 記録: 発生から復旧までの一連の経緯を記録し保管

12. 評価および見直し

本方針は、以下の場合に評価および見直しを行います。

  • 年 1 回以上の定期的な見直し
  • 重大なインシデントが発生した場合
  • 法令・関連基準の改定があった場合
  • 事業内容に重大な変更があった場合

13. 問い合わせ窓口

法人名
OBFall 株式会社
所在地
〒105-0022 東京都港区海岸 1-2-3 汐留芝離宮ビルディング 21F
電話
03-5403-5904
メール
obfall.dev@gmail.com

14. SECURITY ACTION 自己宣言

SECURITY ACTION 二つ星(セキュリティ対策自己宣言)

当社は、独立行政法人 情報処理推進機構(IPA)が運営する SECURITY ACTION 制度に基づき、二つ星(☆☆)を自己宣言しています。二つ星は、情報セキュリティ 5 か条への取り組みに加え、情報セキュリティ自社診断の実施と、情報セキュリティ基本方針の策定および公開を行っている事業者であることを示します。

自己宣言日
2026 年 5 月 4 日
宣言レベル
二つ星(☆☆)
対象事業
OBFall 脆弱性管理クラウドサービスの提供
根拠資料
情報セキュリティ自社診断記録(2026 年 5 月 4 日実施)を当社内に保管

制定 / 改定履歴

日付内容
1.02026-05-04制定