脆弱性スキャンポリシー

1. 目的

本ポリシーは、まとまるEC店長システムに対して定期的かつ継続的に脆弱性スキャンを実施し、セキュリティリスクを早期に把握・是正することで、情報資産の機密性・完全性・可用性を維持することを目的とします。

2. 適用範囲

本ポリシーは、以下の環境を対象とします。

• 本番環境（Production）

• 社内環境（Internal）

• 外部公開環境（External / Internet-facing）

• クラウド環境（IaaS / PaaS / SaaS）

• OS、ミドルウェア、Webアプリケーション、ネットワーク機器

※ 開発環境・検証環境については、リスクに応じて任意実施とします。

3. 脆弱性スキャンの実施頻度

当社は、以下の頻度で脆弱性スキャンを実施します。

• 月次スキャン：全対象環境に対して毎月1回以上実施

• 臨時スキャン：以下の場合に追加実施

  • 重大な脆弱性情報（CVSS高リスク以上）が公開された場合

  • システム構成の大幅な変更後

  • セキュリティインシデント発生時

これにより、継続的な脆弱性管理を行います。

4. スキャン方法および手順

脆弱性スキャンは、以下の手順に従って実施します。

1. 対象システム・IP・URLの確認

2. 認証情報の設定（必要な場合）

3. 脆弱性スキャンツールの実行

4. スキャン結果の取得・保存

5. 結果の内容確認およびリスク評価

使用するツールは、信頼性のある自動脆弱性スキャンツールまたは同等の手法とします。

5. 結果の評価および対応

スキャン結果については、以下の基準で対応します。

• 高リスク（Critical / High）
  → 優先的に対応し、速やかに修正計画を策定・実施

• 中リスク（Medium）
  → 業務影響を考慮し、計画的に対応

• 低リスク（Low / Informational）
  → 必要に応じて対応または監視継続

修正後は、再スキャンを行い是正確認を実施します。

6. レポートおよび記録管理

当社は、脆弱性スキャンの実施証跡および結果を記録・保管します。

• スキャン実施日

• 対象システム

• 検出された脆弱性一覧

• 対応状況（未対応／対応中／対応完了）

これらの記録は、12か月以上保管し、監査・取引先からの要請に応じて提示可能な状態を維持します。

7. コンプライアンスおよび監査対応

本ポリシーの遵守状況については、定期的に確認を行い、
月次スキャンが継続的に実施されていることを証跡により担保します。

必要に応じて、内部レビューまたは第三者監査により、本ポリシーの有効性を確認します。

8. 継続的改善

当社は、脆弱性スキャンの結果や最新の脅威動向を踏まえ、本ポリシーおよび運用手順を定期的に見直し、継続的な改善に努めます。