メインコンテンツへスキップ
Kanau Tech™ - かなうテック

Security Action

SECURITY ACTION 二つ星を宣言しました

SECURITY ACTION 二つ星を宣言しました

Kanau Tech™は、独立行政法人情報処理推進機構(IPA)の「SECURITY ACTION」制度に賛同し、「二つ星」を宣言しました。

  • 「情報セキュリティ5か条」に取り組むことを宣言しています。
  • 「情報セキュリティ自社診断」を実施し、情報セキュリティ基本方針を策定・公開しています。

自己宣言ID:41101898930

SECURITY ACTION について(IPA公式)

DX認定に向けた取り組み

Kanau Tech™は、経済産業省が定める「デジタルガバナンス・コード」に基づき、DX認定の取得を目指しています。

  • DXビジョン:AIとノーコードで中小企業のDXを民主化し、技術格差を解消する
  • DX戦略:n8n・Dify・AppSheet等のAI/ノーコードツールによる月額5万円〜の伴走支援
  • DX推進体制:代表自身がAIエンジニアとしてDX推進を主導
  • 成果指標:顧客のコスト削減率・業務時間削減率を定量的に計測
Kanau Tech™のDX方針を見る →DX認定制度について(IPA公式)

情報セキュリティ基本方針

基本理念

Kanau Tech™は、IT・ソフトウェア事業を営む事業者として、お客様からお預かりする情報資産およびソースコード等の知的財産の保護が事業活動における最重要課題の一つであることを認識し、情報セキュリティの確保に全力で取り組みます。

適用範囲

本方針は、Kanau Tech™の業務に従事するすべての関係者および業務委託先に適用します。また、Kanau Tech™が管理するすべての情報資産(顧客情報、ソースコード、設計文書、開発環境、本番環境を含む)を対象とします。

実施事項

Kanau Tech™は、情報セキュリティの確保のために以下の事項を実施します。

  1. 情報セキュリティに関する法令、規制、契約上の要求事項を遵守します。
  2. 情報資産に対するリスクを認識し、必要かつ適切なセキュリティ対策を講じます。
  3. 万一、情報セキュリティ上の問題が発生した場合は、迅速に対処するとともに、原因を究明し再発防止に努めます。
  4. ソフトウェア開発においては、セキュアコーディングの実践およびセキュリティレビューを実施し、安全な製品・サービスの提供に努めます。
  5. クラウドサービスの利用および提供にあたっては、適切なアクセス制御、データの暗号化、ログの管理等のセキュリティ対策を実施します。
  6. 情報セキュリティに関する教育・啓発活動を継続的に実施し、セキュリティ意識の向上を図ります。
  7. 委託先の選定にあたっては、セキュリティ対策の実施状況を確認し、契約においてセキュリティ要件を明記します。
  8. 本方針および関連する規程類は、定期的に見直しを行い、情報セキュリティの継続的な改善に努めます。

管理体制

情報セキュリティの維持・向上のため、情報セキュリティ責任者を任命し、情報セキュリティに関する管理体制を整備します。情報セキュリティ責任者は、本方針の周知徹底および実施状況の確認を行います。

事故対応

情報セキュリティに関する事故が発生した場合、または発生のおそれがある場合は、速やかに情報セキュリティ責任者に報告し、被害の拡大防止、原因究明、復旧、再発防止の措置を講じます。必要に応じて、関係機関への報告および公表を行います。

継続的改善

本方針は、情報セキュリティに関する脅威の変化、法令・規制の改正、技術動向、事業環境の変化等を踏まえ、少なくとも年1回の見直しを行い、継続的な改善を図ります。

令和8年3月24日

Kanau Tech™ 代表

本基本方針に関するお問い合わせは、[email protected]までお願いします。

実施している主な対策

基本方針の策定

情報セキュリティ基本方針を定め、継続的改善を行います。

資産とアクセス管理

アカウントの最小権限・MFAの適用、定期的なアカウント監査と権限見直しを実施。

端末/OS/ソフト更新

OS・ブラウザ・ソフトウェアの自動更新、EDR/ウイルス対策、不要アプリの排除を徹底。

パスワード/認証

強固なパスワード方針、パスワードマネージャ活用、主要サービスへの多要素認証を必須化。

データ保護/暗号化

機微情報の分類・保護、保存/転送時の暗号化、定期バックアップとリストア検証を実施。

開発/脆弱性管理

依存関係の脆弱性スキャン、コードレビュー、環境分離、秘密情報の安全管理を実施。

ログ/監視/検知

重要システムのログ収集と保全、アラート設計、異常検知と早期対応体制を構築。

メール/フィッシング対策

迷惑メール対策、添付/リンクの安全確認、不審メールへの警戒を徹底。

物理/持出管理

端末持出ポリシー、リモートワイプ、記録媒体の暗号化と廃棄時の適切処置。

委託先/クラウド

委託先のセキュリティ確認、契約での義務化、クラウド設定のベストプラクティス順守。

インシデント対応

連絡体制、初動手順、原因分析〜再発防止のPDCAを整備。

本宣言は、社会情勢・技術動向・事業内容の変化に応じて定期的に見直し、必要な更新を行います。具体的な運用ルールや技術設定は、内部規程・運用手順にて管理しています。