SmartShi PRO ホーム SmartShi PRO

更新日: 2025/9/28

セキュリティポリシー

SmartShi は、行政書士の案件データ・本人確認資料・顧問契約情報など、極めて高い守秘性を要する情報を日々お預かりしています。現在はクローズドβ段階ですが、正式リリース前から「リリース初日から監査に耐えられる」ことを前提に、以下のような多層防御を敷いています。

1. ガバナンスと継続的改善

  • 代表取締役を責任者とするセキュリティ評議会を設置し、リスク指標・監査ログ・改善バックログを毎月レビュー
  • ISO/IEC 27001・SOC 2 Type II の取得準備を進めており、ガイドラインに沿ったポリシー/手順書を先行整備
  • 行政書士法・個人情報保護法・電子帳簿保存法・マイナンバー法に沿って、法務とセキュリティチームがチェックリストを共同運用

2. インフラとネットワーク

  • 国内データセンター冗長構成(マルチAZ)で稼働し、全通信を TLS 1.3、保存データを AES-256 で暗号化
  • 顧客テナントごとに論理分離されたデータベーススキーマと KMS 鍵を割り当て、リージョン間レプリカで DR を実現
  • インフラ定義は Infrastructure as Code 化され、Pull Request レビューと自動セキュリティスキャンを通過した設定のみを本番へ適用

3. アプリケーションレイヤーの防御

  • ロールベースアクセス制御(RBAC)と属性ベース制御(ABAC)を併用し、案件・ドキュメント単位でアクセスを制限
  • 承認ワークフロー/差戻し履歴/添付ファイル操作を高精度で追跡できる監査ログを標準で保持(改ざん防止のハッシュチェーン付き)
  • ファイルアップロードはアンチウイルススキャンと MIME タイプ検証を自動化し、危険ファイルは隔離

4. 監視・ログ・アラート

  • 認証ログ・APIアクセスログ・データベースクエリログを統合ログ基盤に集約し、10年間の保管をポリシー化
  • SIEM/行動分析ルールで不正アクセス兆候を常時モニタリング。重大アラートは 24/365 オンコール体制
  • 重要操作は Slack / Teams へ即時通知し、経営層へもインシデント速報を自動配信

5. 開発・リリースプロセス

  • DevSecOps を徹底し、PR 時に静的解析・依存関係スキャン・SCA を必ず実行
  • 本番デプロイは署名済みアーティファクトのみを受け入れ、2段階承認フローと自動テスト(回帰・負荷・セキュリティ)を通過したビルドだけが昇格
  • クリティカルな変更はカナリアリリース+自動ロールバックを標準化し、数分以内に安全な状態へ復旧可能

6. バックアップと事業継続

  • 60分間隔のスナップショット+1日1回のフルバックアップを東西リージョンへ複製
  • BCP/DR 訓練を年2回実施。障害シナリオ・ランサムウェア・大規模災害を想定した復旧演習を行い、改善策を反映
  • 監査ログ・契約関連ファイルは WORM(Write Once Read Many)ストレージにも保管し、法的証跡を確保

7. サプライチェーンと委託先管理

  • クラウド基盤、決済代行、メール配信など主要委託先に対しては、契約締結前に SOC 2 / ISO 27001 レポートを確認
  • 再委託時は SmartShi のセキュリティ条項に合意しない限り利用不可。年次で見直し・現地監査を行い、是正計画を追跡

8. インシデント対応体制

  • SOC アナリスト・SRE・プロダクトリーダーで構成された CSIRT を組織。JPCERT/CC 推奨手順と NIST SP800-61 をベースにプロセス化
  • 影響推定後 24 時間以内に一次報告、72 時間以内に暫定報告、復旧完了後に最終報告を提供する SLA を設定
  • 行政書士会・監督官庁・取引先への報告テンプレートを整備し、法令要件に応じて迅速に連絡

9. ユーザー企業のみなさまへお願い

  • 半期に一度の権限棚卸し・退職者アカウントの削除・SSO/MFA の有効化を推奨
  • テンプレートや添付ファイルをアップロードする際は、ウイルススキャンと最新情報への更新をご確認ください
  • API 連携・Webhook をご利用の場合は、Shared Secret / IP 制限等の保護設定を必ず有効化してください

10. セキュリティ窓口

株式会社SmartShi セキュリティ窓口
E-mail: security@smartshi.jp(脆弱性報告・セキュリティ相談)
連絡先: support@smartshi.jp(平日10:00〜18:00)

脆弱性や不審な挙動を発見された場合は上記までご連絡ください。24 時間以内に一次回答し、状況共有と対策を迅速に進めます。

11. 今後のロードマップ

  • 2026 年内に ISO/IEC 27001 認証取得を予定。SOC 2 Type II レポートはベータ終了後に第一回監査を実施
  • 個別顧客向けに「セキュリティホワイトペーパー」「データ処理契約(DPA)」を準備中
  • SASE / CASB 連携、顧客側ログの長期保管オプションなど、より高度な統制機能を順次リリース予定

継続的にセキュリティレベルを高め、行政書士事務所の皆さまが安心してデジタル化を推進できる環境を提供してまいります。