利用規定:主な要素と例

ブログ

許容される使用に関するポリシーで、ネットワークとシステムの明確なルールを定義しましょう。なぜ必要なのか、何を盛り込むべきか、実際の例をご覧ください。

マイサム・アル・ラワティ

最終更新日:
読書時間 7
利用規定:主な要素と例
目次-

主なポイント

  1. 許容される使用に関する方針は、通常、正社員、パートタイマー、請負業者、 コンサルタント、時にはゲストや訪問者など、会社のシステムにアクセス できるすべての個人に適用される。
  2. AUPは、ドメインの完全性を保護し、不正な電子メールの使用を防止するために、組織がSPF、DKIM、DMARCなどの電子メール認証プロトコルをどのように実装するかを説明すべきである。
  3. 組織は、AUPテンプレートを既製の答えとして頼るのではなく、慎重なカスタマイズを必要とする適応可能なフレームワークとして捉えるべきである。

従業員は毎日、社内ネットワークにアクセスし、電子メールを送信し、インターネットを閲覧し、さまざまなデジタルツールを使用して仕事をこなしている。このような接続性は生産性を高める一方で、以下のような重大なリスクへの扉を開くことにもなります。 サイバー犯罪やデータ漏洩、法的問題やネットワーク・スローダウンなど、重大なリスクへの扉も開いています。

利用規定(AUP)は組織のデジタル・ルール・ブックの役割を果たし、会社のテクノロジー・リソースを利用する際に許可されるものと禁止されるものを定義します。AUPは、単なる制限事項のリストではなく、組織と従業員の両方を保護し、テクノロジーが生産性を高めるツールであり続けるための枠組みを確立します。

このガイドでは、利用規定とは何か、なぜ利用規定がセキュリティ強化に不可欠なのか、そして組織のニーズに合った利用規定を策定する方法を紹介する。

利用規定とは?

利用規定とは、従業員、請負業者、その他のユーザーが、組織のテクノロジーや情報リソースにどのようにアクセスし、利用できるかを規定するルールやガイドラインをまとめた正式な文書である。その主な目的は、組織を潜在的なリスクから守りつつ、明確な期待事項を定めることである。

このポリシーは通常、正社員、パートタイマー、契約社員、コンサルタント、時にはゲストや訪問者など、会社のシステムにアクセスできるすべての個人に適用されます。コンピューターやモバイル機器からインターネットアクセスに至るまで、幅広い技術資産を対象とする、 メールセキュリティシステム、クラウドアカウント、ネットワークリソースに至るまで、広範な技術資産を対象とする。

組織に利用規定が必要な理由

組織は、セキュリティ、法的地位、および業務効率に直接影響するいくつかの重大な理由から、受諾可能な使用ポリシーを必要とする。

セキュリティ は、最も直接的なメリットである。AUPは、組織のシステムを危険にさらす危険な行為を防ぐのに役立つ。何が許可され、何が許可されないかを明確にすることで、従業員は会社を次のような危険にさらす行為に従事する可能性が低くなります。 サイバーセキュリティ侵害データ漏えいやマルウェア感染に会社をさらすような行為をする可能性が低くなります。このように、ポリシーはインサイダーの脅威に対する予防策であると同時に、偶発的なミスに対するセーフガードとしても機能する。

法的な観点からは、包括的なAUPを持つことは、次のような問題から組織を保護するのに役立つ。 法的責任問題から組織を守ることができる。従業員が会社のリソースを違法行為や不適切な行為に悪用した場合、組織は、明確な方針を定め、そのような悪用を防ぐために合理的な手段を講じたことを証明できる。

この方針はまた、次のことにも貢献する。 ネットワークの安定性と生産性.ストリーミングやゲームなど、帯域幅を大量に消費する個人的な活動を制限することで、組織は、ネットワークが必要不可欠なビジネス・タスクのために利用可能であることを保証できます。同時に、個人的なインターネット利用の境界を明確にすることで、職場の効率を妨げる可能性のある注意散漫を減らすことができます。

さらに、AUPは以下のことを確立するのに役立ちます。 一貫した期待を確立するのに役立ちます。テクノロジー利用を個人の解釈に委ねるのではなく、全員に平等に適用される明確で統一された基準を示す。

利用規定(Acceptable Use Policy)の主な要素

強力な容認使用方針は、テクノロジー使用の包括的な枠組みを作成するために連携するいくつかの重要な要素の上に構築される。各要素は、許容される慣行についてユーザーを導きながら、組織を保護するという特定の目的を果たす。

許容使用ポリシー要素

ポリシーの範囲

ポリシーを効果的なものにするためには、適用範囲を明確に定義することが 不可欠です。正社員、パートタイマー、契約社員、コンサルタント、派遣社員、リモートワーカーなど、誰に適用されるのかを明確にする必要があります。また、BYOD(Bring Your Own Device:私物デバイスの持ち込み)環境における私物デバイスにも適用されるかどうかも明確にする必要があります。

スコープには、対象となる技術資産も記載する。これには、デスクトップおよびラップトップコンピュータ、モバイルデバイス、タブレット、ネットワークアクセスポイント、クラウドベースのサービスなどが含まれる、 電子メール認証メール認証システム、組織が提供するソフトウェアやアプリケーションなどが含まれる。

リモートワーク体制や柔軟な勤務方針を採用する組織においては、ポリシーの適用範囲を明確化し、自宅ネットワーク、個人用インターネット接続、および混合用途デバイスへの適用方法を規定すべきである。これに関連し、チームは分散型エンドポイントにおける企業活動の安全性を確保するため、集中管理型のリモートアクセス制御を導入することがある。

許可された使用と禁止された使用

このセクションは、許容される使用ポリシーの中核をなすもので、従業員が会社のテクノロジー・リソースを使ってできること、できないことについて具体的な指針を示すものです。

許可された使用には通常、職務に直接関連する活動、休憩時間中の個人的な使用(合理的な範囲内)、会社が承認したウェブサイトやアプリケーションへのアクセス、業務連絡のための電子メールの使用などが含まれます。ポリシーは、会社のリソースが主に業務目的であることを強調する必要があります。

禁止行為は、参照しやすいように明確なカテゴリーに分類する:

  • 違法行為: 許可なく著作物をダウンロードする、制限されたコンテンツや違法なコンテンツにアクセスする、詐欺行為を行うなど、違法な目的で会社のリソースを使用すること。
  • セキュリティ違反: 不正なソフトウェアのインストール、セキュリティプロトコルの回避、パスワードの共有、適切な権限なしに制限されたシステムへのアクセスを試みること。
  • 不適切な内容: 敵対的または安全でない職場につながる可能性のある、攻撃的、差別的、または不適切なコンテンツへのアクセス、保存、または配布。
  • 個人的な商業活動: 個人的な事業、オンライン販売、または組織と関係のないその他の商業活動のために会社のリソースを使用すること。

セキュリティとデータ保護

セキュリティとデータ保護のセクションでは、組織のセキュリティを維持し、機密データを保護するためのユーザーの責任を概説する。セキュリティはIT部門だけの責任ではなく、すべての人の責任であることを強調する必要があります。

主な義務には、強固でユニークなパスワードの使用、フィッシングの疑いがある電子メールの報告 フィッシングメールソフトウェアやシステムを常に最新の状態に保つこと、機密情報や極秘情報の適切な取り扱い手順に従うこと。

ポリシーは、以下のような電子メール認証プロトコルを組織がどのように実装するかを説明する必要があります。 SPF, DKIMおよび DMARC を使用して、ドメインの完全性を保護し、不正な電子メールの使用を防止します。ユーザーは、適切な電子メール慣行に従い、疑わしいメッセージを報告することで、これらの保護を維持する役割を理解する必要があります。

さらに、ポリシーは、ユーザーが無許可のソフトウェアをインストールしたり、ログイン認証情報を共有したり、セキュリティ対策を迂回しようとしたりすることを禁止すべきである。ユーザーは、これらの制限が個人と組織の両方のセキュリ ティを保護するために存在することを理解すべきである。

監視と執行

効果的なAUPは、コンプライアンスを確保し、セキュリティを維持するために、組織がシステム利用を監視する権利を留保することを明確にしなければならない。これには、ネットワーク・トラフィックの監視、電子メールのレビュー、システム・アクセス・ログなどの方法が含まれる。

このポリシーは、違反に対する潜在的な結果を概説するものでなければならない。通常、軽微な違反に対する口頭による警告から、重大なセキュリティ違反に対する解雇まで、その範囲は多岐にわたる。段階的な対応システムは、違反の重大性に応じた結果を保証するのに役立ちます。

組織はまた、ポリシー違反の疑いを報告するためのプロセス(誰に連絡すればよいか、どのような情報を提供すればよいかなど)を説明すべきである。これにより、従業員が報復を恐れずにセキュリティ上の懸念を報告できるようになります。

利用規定テンプレート

テンプレートは、受諾可能な使用ポリシーを作成するための実用的な出発点となり得ますが、決して画一的なソリューションとして使用すべきではありません。すべての組織には、独自のテクノロジー環境、業界の要件、文化的な考慮事項があり、それらをポリシーに反映させる必要があります。

組織は、テンプレートを既製の答えとして頼るのではなく、慎重なカスタマイズを必要とする適応可能なフレームワークとして捉えるべきである。業界特有の規制、社内の文化、特定の技術基盤などの要因はすべて、ポリシーをどのように構成し、何を含めるべきかに影響を与える。

AUP テンプレートの信頼できる情報源としては、SANS Institute のような専門組織、テクノロジー法を専門とする法律事務所、定評のあるサイバーセキュリティ・コンサルティング会社などがあります。ただし、どのようなテンプレートであっても、導入前に法務部、人事部、IT 部で十分に検討する必要があります。

重要なのは、組織固有のニーズや要件をコンテンツに正確に反映させながら、構成や表現に関するインスピレーションを得るためにテンプレートを使用することです。

アクセプタブル・ユース・ポリシーの例

利用規定(Acceptable Use Policy)は、組織のニーズや複雑さに応じて、さまざまな形をとることができる。テクノロジー使用のすべての側面をカバーする単一の包括的な文書を好む組織もあれば、特定の領域について個別の文書を作成するモジュール式のポリシーを作成する組織もある。

主なAUPに付随または補完する特殊なポリシーの一般的な例には、以下が含まれます。 インターネット使用ポリシー、電子メールポリシー、BYODポリシー、ソーシャルメディアポリシー、リモートワークテクノロジーポリシー。

テクノロジー企業や教育機関では、しばしばその利用規定を公表しており、さまざまな組織がどのように規則を構成しているかを示す好例となっている。これらは、明確さ、適用範囲、実施方法に関する貴重な参考資料となります。

事例を検討する際には、組織が複雑な概念をどのように平易な言葉で説明しているか、禁止事項リストをどのように構成しているか、セキュリティ要件とユーザーフレンドリーな表現とのバランスをどのようにとっているかに注目してください。内容をそのままコピーするのではなく、構成やトーンに関するインスピレーションを得るために、これらの例を参考にしてください。

利用規定作成のベストプラクティス

使用許可ポリシーの作成

効果的な容認使用ポリシーの作成には、文書の内容と作成方法に等しく注意を払う必要があります。いくつかのベストプラクティスは、ポリシーがその目的を確実に達成するのに役立ちます:

  • 明確で簡単な言葉を使う: 方針は、専門外の従業員にも理解できる言葉で書かれるべきである。混乱や誤解を招きかねない密な法律用語や過度に専門的な表現は避ける。
  • 主要な利害関係者を最初から参加させる: これにより、政策が現実のニーズに対応しつつ、法的に健全で実施可能なものとなる。
  • 正式な承認を求める: 方針が更新されるたびに、新入社員の入社時や既存の従業員を含め、全従業員に正式な承認を求めるべきである 。文書化された承認は、責任が伝達されたことの証拠となる。
  • ポリシーは生きた文書として扱う:新しい脅威、ツール、ビジネス要件に対応するために、定期的な見直しと更新が必要である。通常、年1回の見直しが推奨され、重要な変更が発生した場合は直ちに更新する。
  • より広範なセキュリティ対策と統合する:AUP は、以下のような技術的な保護手段を補完する必要があります。 DMARCドメインアナライザ SPFレコードチェッカーなどの技術的な安全対策を補完する必要がある。

最終的な感想

受諾可能な使用ポリシーは、組織のセキュリティ、生産性、および法的保護のための基礎文書として機能します。適切に作成され、実施されることで、従業員に明確な期待を持たせるとともに、組織をさまざまなリスクから守ることができます。

よく設計されたAUPは、包括的なセキュリティ戦略の一要素に過ぎないことを忘れないでください。セキュリティで保護されたネットワークを セキュリティで保護されたネットワークを保護し、ドメインの完全性を確保する技術的なソリューションは、明確で強制力のあるポリシーによって強化されたときに最も効果を発揮します。これらの対策を組み合わせることで、重層的で信頼性の高い保護が実現します。

このアプローチをさらに強化するために、組織はドメインが適切に設定されたDMARCポリシーによって悪用から保護されていることを確認する必要があります。PowerDMARCの DMARCソリューションソフトウェアは、包括的な電子メール認証を可能にし、受諾可能な使用ポリシーを補完し、全体的なセキュリティ体制を強化します。

よくある質問 (FAQ)

許容範囲使用ポリシーと公正使用ポリシーの違いは何ですか?

一方、公正使用ポリシーは、教育、論評、批評などの目的で著作権で保護された素材を限定的に使用することに関する法的概念です。

受諾可能な使用ポリシーを実施する責任は誰にあるのか?

施行には通常、IT部門(システムの監視)、人事部門(懲戒処分)、管理部門(日常的な監督)など複数の部門が関与し、具体的な役割はポリシー自体に定義されている。

受諾可能な使用ポリシーはどれくらいの頻度で更新されるべきか?

ほとんどの組織は、AUPを毎年見直し、更新しており、新しい技術が導入されたり、重大なセキュリティ脅威が出現したり、ビジネス要件が変更されたりした場合は、直ちに更新する。

最新記事 by Maitham Al Lawati(全て見る)
最終更新日:
知っておくべき9種類のパスワード攻撃M&A-サイバーセキュリティ--ディールを守る仮想データルームの役割M&Aのサイバーセキュリティ:ディールを保護する仮想データルームの役割