情報セキュリティ方針

本方針は、株式会社Solvere（以下「当社」）が保有・取扱う情報資産を保護し、お客様・パートナー・社内関係者に対してセキュリティ上の責任と基本姿勢を明確にすることを目的とします。

業務委託を含む開発体制においても、セキュリティを組織として一貫して運用します。

• 対象者：当社の情報資産にアクセスするすべての方（役員・従業員・業務委託・派遣等）
• 対象資産：お客様データ、本番データ、ログ、ソースコード、設計情報、認証情報、シークレット、設定、バックアップ等
• 対象システム：IdP、主要SaaS、クラウド環境、開発/本番環境、監査ログ基盤等

当社は以下の原則に基づき情報資産を保護します。

• データ中心セキュリティ：機密データの保護を最優先とし、アクセス制御と持ち出し防止を重視
• ゼロトラスト：すべてのアクセスを検証し、端末・ネットワーク・場所への前提的信頼に依存しない
• 最小権限：必要最小限の権限付与と、不要権限の継続的除去
• 影響範囲の限定：侵害発生時も影響が局所に留まるよう設計・運用
• 多層防御：単一の統制に依存せず、多層の防御を採用

情報資産の保護において以下の順序で優先的に取り組みます。

1. お客様データおよび本番データの保護
2. 本番シークレット・認証情報の保護
3. ソースコード・設計情報の保護（残存リスクを認識し、軽減策とあわせて管理）

情報資産を以下のとおり分類し、分類に応じた保護措置を講じます。

• 極秘（Restricted）：漏洩時に事業継続へ重大な影響を及ぼすもの
• 社外秘（Confidential）：社外への開示が制限されるもの
• 内部（Internal）：社内での共有を前提とするもの
• 公開（Public）：外部への公開が可能なもの

具体例および要求事項は下位文書で定めます。

• Security Owner：本方針の維持管理、重要判断（例外の最終承認、重大インシデントの統括）
• IT管理者：認証基盤・端末統制・主要SaaS設定の管理
• Repo/システム管理者：権限管理、監査ログ有効化、保護設定の運用
• Tech Lead / SRE：環境分離・シークレット管理・運用アクセスの管理
• 全利用者：本方針の遵守、疑義やインシデント兆候の報告

本方針からの例外が必要な場合は、以下の要件を満たした上で承認を得ます。

• 例外の理由、対象、期間、代替統制を明記すること
• 例外は期限付きとし、期限到来時に再評価を行うこと

運用詳細は下位文書で定めます。

• 対象者はオンボーディング時に本方針の要点を確認し、これを遵守します
• 違反または疑義がある場合は、速やかに所定の経路で報告します

本方針は少なくとも年1回、または重大な変更・インシデント発生時に見直しを行います。