セキュリティへの取り組み

株式会社 KINCHAKUは、お客さまに安心・安全にサービスをご利用いただくために、セキュリティ対策の継続的な強化やセキュリティに関する注意喚起などに取り組んでいます。

認定・認証マーク

情報セキュリティ方針

株式会社KINCHAKU(以下、当社)は、ウォレット革命を起こして人々の財布を「自由に」することをミッションにし、「可視化・検出・予測・制御」といった4つの軸を元にした「実店舗が顧客の特徴を把握できる「顧客認証&パスプラットフォーム」になることをビジョンに掲げ、対個人サービスの新しいカタチ、KINCHAKUクラウドサービスを提供しています。

当社は、当社の情報資産、並びにお客様からお預かりした情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。

  1. 経営者の責任
    当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。
  2. 社内体制の整備
    当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則として定めます。
  3. 従業員の取組み
    当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。
  4. 適切な情報資産管理の実施
    当社は、当社が取り扱う情報資産を、その機密性、完全性及び可用性に応じて、SecureNavi SaaSを利用し、適切に管理します。
  5. 法令及び契約上の要求事項の遵守
    当社は、各種の法令・規制や、お客さまや取引先及び従業員等との契約を遵守し、情報資産を適正に取り扱います。
  6. 違反及び事故への対応
    当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。
  7. 業務委託先の管理
    当社は、業務を委託する場合においても、当社と同等以上の情報セキュリティレベルの維持につとめます。
  8. 継続的改善
    当社は、以上の取り組みを定期的に評価、見直すことにより、情報セキュリティの継続的改善を図ります。
  9. サイバーセキュリティ対策
    当社は、サイバーセキュリティの体制構築、攻撃を防ぐための対策、攻撃を受けた場合に備えた準備等を定め、サイバー攻撃等のあらゆる脅威から情報資産を守り、セキュリティの確保・向上につとめます。

暗号化

KINCHAKUで扱う個人情報は、システム内の通信経路では全てSSL/TLSによって暗号化されており、悪意のある第三者によるデータの改ざんやなりすまし、通信内容の漏洩を防ぎます。また、各データは業界標準のベストプラクティスに基づいて暗号化またはハッシュ化された後、システム上に保存されます。

アプリケーションセキュリティ検証

KINCHAKUアプリケーションの品質とセキュリティを確保するために、OWASPアプリケーションセキュリティ検証標準 4.0に基づいたソフトウェア開発を行っています。

アクセス統制&WAF

KINCHAKUのデータが保存されるサーバーは最新のセキュリティ設備が導入されたクラウドインフラストラクチャ上で管理されています。同クラウドは厳格なアクセス統制を行い、KINCHAKU社内でも最低限の人員のみアクセスが許可されます。合理的な理由に基づく事前許可が無い場合、アクセスが許可されることはありません。

KINCHAKUは、WAFを導入しています。トラフィックをIP アドレス/HTTP ヘッダー/HTTP 本文等でフィルタリングし、KINCHAKUウェブアプリケーションを攻撃から保護しています。

KINCHAKUサーバーへ接続するIPアドレスを制限できます。また、制限はアカウントに紐づくロール単位で設定できるようになっています。

脆弱性管理ワークフロー

KINCHAKUプロダクトチームでは、潜在的な脆弱性を検出するために、アプリケーションの静的解析と動的解析を定期的に実施しています。このスキャンで発見された全ての脆弱性は、脆弱性管理ワークフローに従って管理され、速やかに修正されます。

KINCHAKUソフトウェアで発見された脆弱性は、速やかに修正できるよう厳重なワークフローに従って管理されます。脅威モデルをベースに脆弱性修正の優先度を決め、その優先度と緊急度に基づいて修正を行っています。

制定日:2021/12/22
改定日: 2022/05/19
株式会社KINCHAKU
代表取締役 新宮ドミ