技術的および組織的対策

はじめにと適用範囲

Dispel は、事業運営のあらゆる側面にわたり堅牢な技術的および組織的対策を実施することで、個人データおよび機密情報の保護に取り組んでいます。これらの対策は、GDPR、データプライバシーフレームワーク（米EU、米・スイス、米・英）およびデータ保護付録に基づく契約上の義務を含む適用される法的・規制上の枠組みへの準拠を目的としています。

本書は、Dispel がデータの機密性、完全性および可用性を確保するために適用している実務を説明します。ここに記載された対策は理論的なものではなく、社内プロセス、独立した第三者評価および認証を通じて積極的に実施および定期的に監査されています。

ガバナンスと説明責任

Dispel の情報セキュリティは明確なガバナンスに基づいています。情報セキュリティ、適正使用、データ保護およびアクセス制御に関するポリシーを策定しており、これらは全従業員、契約者およびサプライヤーに対して拘束力を持ちます。監督の責任は上級経営陣にあり、セキュリティおよびコンプライアンス担当者を含む専任の役割が説明責任を確保しています。

Dispel は定期的な監査および外部認証の対象にもなっています。当社の現在のセキュリティ態勢はリアルタイムのガバナンス・リスク・コンプライアンス（GRC）信頼管理プラットフォームで監視されており、SOC 2 タイプII や ISO 27001 などの基準への準拠を示しています。これらの証明書類は、内部ポリシーのレビューや継続的な監視と相まって、当社のコンプライアンスおよび説明責任の基盤を構成します。

リスク管理

リスク管理は Dispel の事業運営に組み込まれています。新たな脅威を特定し、軽減策の優先順位を付け、コントロールがリスク環境に適合していることを確認するために定期的なリスク評価を実施します。特にベンダーおよび第三者リスクには注意を払い、これらが体系的な脆弱性をもたらす可能性を管理します。

高リスクおよび重要リスクと評価される全てのサプライヤーには、Dispel が社内で適用するのと同等かそれ以上の厳格なサイバーセキュリティ基準を契約上求めています。この整合により、セキュリティ上の義務がサプライチェーン全体に及び、顧客データがどこで、あるいは誰によって処理されても保護されることを保証します。

組織的対策

Dispel は技術だけでなく人とプロセスにも投資しています。全従業員は入社時に必須のセキュリティ意識向上トレーニングを受け、定期的なリフレッシュトレーニングを受けます。また、セキュリティイベントの迅速な検出、エスカレーションおよび是正を確実にするために正式なインシデント対応プロセスを維持しています。

事業継続性および災害復旧の能力は文書化され、定期的にテストおよび更新されます。これには可用性ゾーン間での分散バックアップ、厳格な復旧ポイントおよび復旧時間目標、必要に応じてシステムを隔離する能力が含まれます。さらに、Dispel は法的保全および eDiscovery プロセスをサポートし、必要時には安全な環境でデータスナップショットを取得・保存します。

変更管理は当社の組織的コントロールの重要な構成要素のひとつです。システムの更新、構成変更およびソフトウェアのデプロイは、セキュリティレビュー、テストおよび文書化を含む正式な承認プロセスに従って実施されます。

技術的対策

アクセス制御

アクセス制御は、ロールベースのアクセスモデルおよび最小権限の原則を用いて厳格に適用されます。特権アカウントには多要素認証が必須であり、非アクティブな期間が続くとセッションは自動的に終了します。

データ保護

データ保護は強力な暗号化の実践によって達成されます。すべての機密データは転送中に TLS 1.2 以上を使用して暗号化され、保存時には AES-256 を使用して暗号化されます。可能な場合は、個人データを仮名化または匿名化して露出を最小限に抑えます。データ分類スキームにより、情報はその機密性に応じて取り扱われます。

ネットワークおよびシステムセキュリティ

ネットワークおよびシステムのセキュリティは Dispel Zero Trust Engine により支えられています。このアーキテクチャはマイクロセグメンテーション、ムービングターゲットディフェンス、および運用技術および IT システムに対する厳格なアクセスワークフローを強制します。これを補完する形で、ファイアウォール、侵入検知・防止システム、および分散型サービス拒否（DDoS）対策を展開しています。定期的な脆弱性スキャンおよび侵入テストにより、これら防御の堅牢性が確認されています。

監視およびログ記録

監視およびログ記録は環境全体の可視性を提供します。セキュリティイベントは中央で収集、相関、分析され、異常を特定します。ログはポリシーに従って保持され、監査およびフォレンジックの検証に利用可能です。

安全な開発

すべての製品エンジニアリングにおいて IEC 62443-4-1 に従った安全な開発の実践が行われています。Dispel は自動化されたセキュリティチェックを備えた最新の CI/CD パイプライン、脆弱性検出のための GitHub Advanced Security、および OWASP Top 10 やその他の業界標準のガイダンスに整合したコーディング基準を利用しています。変更はリリース前にピアレビューとテストを受けます。

エンドポイントセキュリティ

エンドポイントセキュリティは、管理された保護ツール、フルディスク暗号化、パッチ管理、およびデバイス全体のコンプライアンス監視を通じて実施されます。

物理的および環境的セキュリティ

Dispel は主にクラウド環境で運用していますが、物理的セキュリティは依然として重要です。Dispel が利用するデータセンターは、生体認証アクセス制御、CCTV 監視、冗長化された電源と冷却、および消火システムなどの多層防護を採用しています。ハードウェアの廃棄は NIST 800-88 標準に従って行われ、データが回復不能な形で破壊されることを保証します。

回復力と復旧

Dispel の運用は回復力を念頭に設計されています。バックアップは地理的に分散され、定期的にテストされ、不正アクセスから保護されています。災害復旧手順はリハーサルされ、復旧目標が達成されることおよび不利な状況でもサービスの継続性が維持できることを検証します。

継続的改善

セキュリティは静的なものではありません。Dispel は四半期ごとのセキュリティ態勢レビュー、年次の侵入テスト、および継続的な脅威モデリングを実施します。インシデントやニアミスから得られた教訓はポリシー、コントロールおよび技術の更新に直接反映されます。継続的に適応することで、進化する脅威に対して対策が有効であり続けることを保証します。

データ保護とプライバシー

Dispel のデータプライバシーに対する取り組みは、個人データの処理、保護および移転を規定するデータ保護付録により正式化されています。当社は EU–米国 データプライバシーフレームワーク、スイス–米国フレームワーク、および EU–米国フレームワークへの英国拡張について認証を受けており、法的な越境データフローを確保しています。

結論

ここに記載された対策は、技術的および組織的な保護対策に対する Dispel の包括的なアプローチを示すものです。強固なガバナンス、規律ある運用慣行および先進的な技術を組み合わせることで、データが常に保護されるようにしています。これらの対策は定期的に見直され、顧客、規制当局および変化するセキュリティ環境の期待に応えるよう洗練されます。