Stratix
無料トライアル

セキュリティポリシー

最終改定日: 2026年2月15日

Stratix株式会社(Stratix inc.)(以下「当社」といいます。)は、クラウド型財務インテリジェンスプラットフォーム「Argos」(以下「本サービス」といいます。)の提供にあたり、利用者から預かる情報資産の保護を最重要課題と認識し、以下のセキュリティポリシーに基づき適切なセキュリティ対策を実施します。

1. セキュリティ基本方針

当社は、情報セキュリティを経営上の重要課題と位置づけ、利用者から預かる情報資産の機密性、完全性、可用性を確保するため、以下の基本方針に基づきセキュリティ対策を実施します。

  • 情報セキュリティに関する法令、規制、契約上の要求事項を遵守します。
  • 情報セキュリティに関するリスクを継続的に評価し、適切な対策を実施します。
  • 全従業員に対して情報セキュリティに関する教育・啓発を行い、セキュリティ意識の向上に努めます。
  • 情報セキュリティマネジメントシステム(ISMS)の継続的な改善に取り組みます。

2. データ保護

利用者データを適切に保護するため、以下の技術的・組織的措置を講じています。

  • 通信の暗号化: すべての通信はTLS 1.2以上で暗号化されます。
  • 保管データの暗号化: 利用者データはAES-256で暗号化して保管します。
  • アクセス制御: ロールベースアクセス制御(RBAC)により、権限に応じたデータアクセスを実現します。
  • 認証: パスワードはbcryptでハッシュ化し、安全に保管します。多要素認証(MFA)にも対応しています。
  • データ分離: テナント間のデータは論理的に分離され、他のテナントからのアクセスを防止します。
  • バックアップ: 利用者データは日次で自動バックアップを行い、災害時のデータ復旧に備えます。

3. インフラストラクチャセキュリティ

本サービスのインフラストラクチャにおいて、以下のセキュリティ対策を実施しています。

  • クラウドインフラ: 国際的なセキュリティ認証(ISO 27001、SOC 2等)を取得したクラウドサービスプロバイダーを利用しています。
  • ネットワーク防御: ファイアウォール、WAF(Web Application Firewall)、DDoS対策を実装しています。
  • 侵入検知・防御: IDS/IPSにより不正なアクセスをリアルタイムで検知・遮断します。
  • ログ管理: すべてのアクセスログ、操作ログを収集・保管し、定期的に分析しています。
  • 冗長構成: サービスは冗長構成で運用し、単一障害点を排除しています。
  • データセンター: 日本国内のデータセンターを優先的に利用し、データの所在地を管理しています。

4. 組織的セキュリティ

セキュリティを組織全体で維持・向上させるため、以下の体制・施策を実施しています。

  • セキュリティ責任者: 代表取締役がセキュリティ最高責任者(CISO相当)を務めます。
  • セキュリティ教育: 全従業員を対象に、年2回以上のセキュリティ研修を実施します。
  • アクセス権管理: 最小権限の原則に基づき、業務に必要な最低限のアクセス権のみを付与します。
  • 秘密保持契約: 全従業員および業務委託先と秘密保持契約(NDA)を締結しています。
  • 退職時対応: 退職者のアカウントは即日無効化し、関連するアクセス権をすべて削除します。

5. インシデント対応

セキュリティインシデントが発生した場合、迅速かつ適切に対応するための体制を整備しています。

  • インシデント対応計画: セキュリティインシデント発生時の対応手順を事前に策定しています。
  • 初動対応: インシデントを検知した場合、速やかに影響範囲の特定と被害拡大の防止を行います。
  • 利用者への通知: 利用者に影響を及ぼすインシデントが発生した場合、72時間以内に通知します。
  • 報告義務: 個人情報保護法に基づき、必要な場合は個人情報保護委員会への報告を行います。
  • 再発防止: インシデントの原因分析を行い、再発防止策を策定・実施します。
  • 記録管理: すべてのインシデントとその対応を記録し、定期的にレビューを行います。

6. 脆弱性管理

システムの脆弱性を継続的に管理し、セキュリティリスクの低減に努めています。

  • 脆弱性スキャン: 定期的に自動脆弱性スキャンを実施し、潜在的なリスクを検出します。
  • パッチ管理: セキュリティパッチは、重要度に応じて速やかに適用します。重大な脆弱性は72時間以内の対応を目標とします。
  • セキュリティテスト: 新機能リリース前にセキュリティレビューおよびテストを実施します。
  • 第三者診断: 年1回以上、外部の専門機関によるペネトレーションテストを実施します。
  • 脆弱性報告: セキュリティ上の問題を発見された場合は、security@stratix.co.jp までご報告ください。

7. コンプライアンス

当社は、以下の法令・基準に基づきセキュリティ対策を実施しています。

  • 個人情報の保護に関する法律(個人情報保護法)
  • 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)
  • 電気通信事業法(通信の秘密の保護)
  • ISO/IEC 27001(情報セキュリティマネジメントシステム)の基準を参照した運用
  • OWASP Top 10に基づくWebアプリケーションセキュリティ対策
  • 当社は、ISMS認証の取得を計画しており、継続的にセキュリティ体制の強化に取り組んでいます。

セキュリティに関するお問い合わせ

セキュリティに関するご質問、脆弱性の報告、その他のお問い合わせは下記までご連絡ください。

メールアドレス: security@stratix.co.jp

脆弱性の報告に際しては、詳細な再現手順をお知らせいただけますと迅速な対応が可能です。 責任ある脆弱性開示にご協力いただいた方には、当社の判断により謝辞を掲載させていただく場合があります。