Core-Business株式会社（以下、「当社」）は、情報資産を重要な経営資源と位置付け、適切な管理を行うことで、不正アクセス・情報漏洩・改ざんなどのリスクを防止し、事業継続性を確保します。本ポリシーは、当社が提供する各種サービスにおける情報セキュリティを確保するための指針とします。

本ポリシーは、当社の役員、従業員（正社員・契約社員・派遣社員）、および当社の業務に関与するすべての関係者に適用されます。

(1) アクセス管理

• • 社内システムおよびクラウドサービスへのアクセスは、適切な権限管理のもと運用する。
• • パスワードは12文字以上とし、英数字および記号を組み合わせる。
• • 多要素認証（MFA）を導入し、不正ログインを防ぐ。
• • 従業員の退職時または異動時には、不要なアクセス権限を速やかに削除する。

(2) デバイス・ネットワーク管理

• • 社用PCおよびモバイル端末には最新のウイルス対策ソフトを導入し、定期的に更新する。
• • 社内ネットワークは暗号化し、社外からのアクセスにはVPNを利用する。
• • USBメモリの使用を原則禁止し、例外的に使用する場合は事前承認を得る。

(3) データ保護・バックアップ

• • 重要データは暗号化して保存し、アクセス権限を制限する。
• • 顧客情報や機密データは社外共有を原則禁止し、必要な場合は適切な承認を得る。
• • 定期的なバックアップを実施し、バックアップデータを安全な場所に保管する。

(4) メール・ウェブセキュリティ

• • フィッシングメールの防止策として、送信元確認や不審なリンクのクリックを禁止する。
• • 業務で使用するクラウドサービスや外部システムの利用は、IT部門の承認を得たものに限定する。
• • 社員向けに定期的なサイバーセキュリティ研修を実施する。

(5) 物理セキュリティ

• • クリーンデスクポリシーを適用し、機密情報の放置を禁止する。
• • 来訪者は、不要なエリアへの立ち入りを制限する。

• • 情報漏洩、不正アクセス、ウイルス感染などのインシデントが発生した場合は、速やかに責任者に報告する。
• • インシデント発生後は、影響範囲の特定、原因分析、再発防止策の策定を行う。
• • 重大インシデントの場合、社内外の関係者への適切な情報共有を行う。

• • 全社員を対象に、年1回以上のセキュリティ研修を実施する。
• • セキュリティポリシーの改定時には、速やかに従業員へ通知し、理解を促進する。
• • 社員のセキュリティ意識を高めるため、定期的にフィッシングテストを実施する。

本ポリシーは、最新のセキュリティ脅威や技術の変化に対応するため、定期的に見直しを行い、必要に応じて更新します。