セキュリティポリシー

制定日:2026年3月31日 最終改定日:2026年3月31日

シダックス株式会社(以下「当社」といいます)は、AI人材育成プラットフォーム「SHIDAX CORE」(以下「本サービス」といいます)において、利用者の情報セキュリティを最優先事項として位置づけています。本ポリシーでは、当社が実施するセキュリティ対策について説明します。

1. セキュリティ基本方針

当社は、以下の基本方針に基づき、情報セキュリティ管理体制を構築・運用しています。

  • 利用者の個人情報および企業情報の機密性、完全性、可用性を確保する
  • 情報セキュリティに関する法令、規制、契約上の要求事項を遵守する
  • 情報セキュリティリスクの継続的な評価と対策の実施
  • 従業員への情報セキュリティ教育の徹底
  • セキュリティインシデント発生時の迅速な対応と再発防止

2. データ暗号化

2.1 転送時の暗号化

本サービスでは、すべての通信において業界標準の暗号化技術を使用しています。

  • SSL/TLS暗号化: すべてのHTTP通信はTLS 1.2以上で暗号化
  • HTTPS強制: すべてのページでHTTPSを強制し、中間者攻撃を防止
  • 証明書検証: 信頼された認証局が発行したSSL証明書を使用

2.2 保存時の暗号化

データベースおよびストレージに保存されるデータは暗号化されています。

  • データベース暗号化: 個人情報および機密情報は暗号化して保存
  • パスワード保護: パスワードは業界標準のハッシュ化アルゴリズムで保護
  • バックアップ暗号化: バックアップデータも暗号化して保管

3. アクセス制御

当社は、厳格なアクセス制御を実施し、権限のない者によるデータアクセスを防止しています。

3.1 認証システム

  • 強力なパスワードポリシーの適用
  • 多要素認証(MFA)のサポート
  • セッションタイムアウトの設定
  • 不正ログイン試行の検知と自動ブロック

3.2 権限管理

  • 最小権限の原則に基づく権限付与
  • 役割ベースのアクセス制御(RBAC)
  • 定期的な権限レビューと更新
  • 全アクセスログの記録と監視

4. インフラストラクチャセキュリティ

4.1 ネットワークセキュリティ

  • ファイアウォールによる不正アクセスの防止
  • 侵入検知・防御システム(IDS/IPS)の導入
  • DDoS攻撃対策の実施
  • ネットワークセグメンテーションによる分離

4.2 サーバーセキュリティ

  • セキュアなクラウドインフラの利用
  • 定期的なセキュリティパッチ適用
  • マルウェア対策ソフトウェアの導入
  • 物理的セキュリティが確保されたデータセンターの利用

5. 脆弱性管理

当社は、システムの脆弱性を継続的に監視し、迅速に対処しています。

  • 定期的な脆弱性診断: 外部セキュリティ専門家による診断を実施
  • ペネトレーションテスト: システムの強度を検証
  • ソースコードレビュー: セキュアコーディングの実践
  • 依存ライブラリの管理: 既知の脆弱性を持つライブラリの使用を回避

6. データバックアップと災害復旧

当社は、データの可用性を確保するため、以下の対策を実施しています。

  • 定期的な自動バックアップの実施
  • 複数の地理的に離れた場所へのバックアップ保管
  • 災害復旧計画(DRP)および事業継続計画(BCP)の策定
  • 定期的な復旧テストの実施

7. インシデント対応

セキュリティインシデントが発生した場合、当社は以下の手順で対応します。

  1. 検知: セキュリティ監視システムによる24時間体制での監視
  2. 初動対応: インシデントの範囲と影響の特定
  3. 封じ込め: 被害の拡大を防止
  4. 調査: 原因と影響範囲の詳細調査
  5. 復旧: 正常な状態への復旧
  6. 報告: 影響を受ける利用者への通知(法令に基づく場合)
  7. 再発防止: 原因分析と対策の実施

8. 従業員のセキュリティ教育

当社は、全従業員に対して定期的なセキュリティ教育を実施しています。

  • 入社時のセキュリティ研修
  • 年次セキュリティトレーニング
  • フィッシング対策訓練
  • 秘密保持契約(NDA)の締結

9. 第三者サービスの管理

当社が利用する第三者サービスについても、適切なセキュリティ基準を満たしているか確認しています。

  • 第三者ベンダーのセキュリティ評価
  • データ処理契約の締結
  • 定期的なセキュリティレビュー

10. コンプライアンス

当社は、以下の法令・基準への準拠に努めています。

個人情報保護法 不正アクセス禁止法 電気通信事業法

11. 脆弱性報告プログラム

セキュリティ研究者や利用者の皆様からの脆弱性報告を歓迎します。本サービスのセキュリティ上の問題を発見された場合は、以下の窓口までご報告ください。

セキュリティ窓口

メールアドレス:security@[ドメイン].io

報告いただいた情報は、問題の修正にのみ使用し、適切に保護いたします。

報告時のお願い:

  • 発見した脆弱性の詳細な説明
  • 再現手順
  • 想定される影響範囲
  • 連絡先情報

調査が完了するまで、脆弱性情報の公開はお控えください。

12. 継続的改善

当社は、セキュリティ対策を継続的に見直し、改善していきます。最新の脅威に対応するため、技術的・組織的対策を随時アップデートしています。

13. お問い合わせ

本ポリシーに関するご質問やご不明な点がございましたら、プライバシーポリシーに記載のお問い合わせ窓口までご連絡ください。