セキュリティポリシー

ISO/IEC 27001およびSOC 2に準拠

1. はじめに
DeskCameraは、パソコンの画面と音声をONVIF/RTSPプロトコルを使用してNVR/VMSシステムにストリーミングするソフトウェアです。完全にローカルネットワーク内で動作し、ユーザーデータや映像コンテンツを送信・収集・保存することはありません。ソフトウェアは厳格なセキュリティ基準とコンプライアンスに従って開発されています。

2. ポリシーの目的
ISO/IEC 27001およびSOC 2の信頼サービス基準に基づき、DeskCameraアプリケーションの機密性、完全性、可用性を確保するためのセキュリティフレームワークと責任を定義します。

3. 主なセキュリティ原則
• ローカル専用アーキテクチャ：
DeskCameraは完全に顧客のインフラ内で動作し、インターネットや外部サーバーへの接続は不要です。ライセンス確認やアップデート確認のために、DeskCameraのクラウドインフラに一時的に接続されることがありますが、個人データが送信されることはありません。
• データ収集なし：
アプリケーションは、ユーザーデータ、映像、テレメトリを収集または送信しません。
• セキュアなコードベース管理（ISO 27001 A.9, A.12）：
ソースコードは、ロールベースのアクセス制御、ログ記録、定期的な監査によって保護されたDevOpsリポジトリで管理されています。
• 署名付きビルド（SOC 2 – システムの完全性）：
すべてのアプリケーションビルドは、HSMまたはYubikeyなどのハードウェアトークン上に安全に暗号化された形式で保存された証明書を用いてデジタル署名されています。
• セキュアな開発ライフサイクル（SDLC）：
DeskCameraは、セキュアな設計、コードレビュー、静的コード解析、年1回以上のペネトレーションテストを含む安全な開発プロセスに従っています。
• アップデートの完全性（SOC 2 – 変更管理）：
すべてのアップデートは、変更管理プロセス、リグレッションテスト、整合性の検証を経てリリースされます。変更はバージョン管理システムで記録・追跡されます。

4. アクセス制御
• ソースコードやビルドインフラへのアクセスは、認可された担当者のみが可能です。
• アクセスは四半期ごとに見直されます（ISO/IEC 27001 A.9.2.5）。
• すべての管理操作は記録され、監査目的で保持されます。

5. サプライヤーおよび第三者リスク管理（ISO 27001 A.15）
• すべてのサードパーティ製ライブラリと依存関係は追跡・監視されています。
• セキュリティアドバイザリは毎週確認され、パッチは定期的に適用されます。
• 高リスクまたはサポートされていないコンポーネントは使用されないか、サンドボックス化されます。

6. インシデント対応準備（ISO 27001 A.16, SOC 2）
• 脆弱性やインシデント報告のための専用窓口が設けられています。
• セキュリティインシデントは、検知、分類、封じ込め、修正、根本原因の分析という構造化されたプロセスに従って対応されます。
• 今後の対応を改善するために、得られた教訓は再評価されます。

7. 顧客の責任
• DeskCameraの公式ウェブサイトから提供されるソフトウェアのアップデートを適用すること。
• システム構成を安全に保ち、DeskCameraのエンドポイントへのネットワークアクセスを制限すること。

8. 準拠および見直し
このポリシーは毎年、またはシステムや環境に重大な変更があった場合に見直されます。

9. セキュリティに関するお問い合わせ先
セキュリティに関する問題は、以下のメールアドレスにご連絡ください：[email protected]