利用規定:主な要素と例

最終更新日:
11 読了時間:11分
利用規定:主な要素と例

主なポイント

  1. 規制対象業界のCISOにとって、複数のドメインにまたがる環境全体でのコンプライアンス遵守とリスク低減には、堅牢な利用規定(AUP)が不可欠です。
  2. AUPでは、ドメインの完全性を保護し、不正使用を防止するために、組織がSPF、DKIM、DMARCといった電子メール認証プロトコルをどのように実装しているかを常に説明すべきです。
  3. 組織は、AUPテンプレートを既成の解決策として頼るのではなく、詳細なカスタマイズが必要な柔軟な枠組みとして捉えています。
  4. PowerDMARCの一元化されたダッシュボードは、すべてのドメインにわたるAUPの適用状況を統合し、明確なレポート機能と即時的な問題検知を提供します。

要約: 利用規定(AUP)とは、テクノロジーの利用、セキュリティリスクへの対策、およびコンプライアンスの確保を定めたデジタル上のルールブックです。これには、規定の適用範囲、許可および禁止される利用、セキュリティとデータ保護、監視と実施などの要素が含まれます。PowerDMARCは、その認証およびレポート作成ツールを活用して、AUPの導入を支援します。

従業員は毎日、業務のために社内ネットワークにアクセスし、メールを送信し、インターネットを閲覧し、さまざまなソフトウェアを使用しています。こうしたネットワークへの接続は生産性を高める要因ですが、同時に サイバー犯罪 やデータ漏洩から、法的問題やネットワークの速度低下に至るまで、多くのリスクへの入り口ともなっています。

このため、利用規定(AUP)は、組織における「人的行動に対するファイアウォール」としての役割を果たします。これは、会社の技術リソースを利用する際に何が許可され、何が許可されないかを明確に定めたものです。要するに、ファイアウォールが不正なネットワークトラフィックを遮断するように、AUPは内部からの脅威を最小限に抑える役割を果たすのです。

しかし、これは単なる制限事項のリストではありません。AUPは、組織と従業員の双方を守るための枠組みを確立するものです。

本ガイドでは、適正利用ポリシー(AUP)とは何か、セキュリティ強化におけるその必要性、そして組織のニーズに合ったポリシーをどのように策定すべきかについて解説します。また、特に規制業界のCISO、ITマネージャー、MSPの方々に向けて、AUPがPCI DSSやGDPRといった基準への準拠維持にどのように役立つかについても改めて説明します。該当する立場の方には、ぜひ一読をお勧めします。

利用規定とは?

利用規定とは、従業員、契約業者、およびその他のユーザーが組織のITリソースにアクセスし、利用する方法について定めた規則や指針をまとめた正式な文書である。

本ポリシーは、パートタイム従業員、コンサルタント、場合によっては来客や訪問者を含め、会社のシステムにアクセスするすべての個人に適用されます。対象となる資産は、コンピュータやモバイル端末からインターネットアクセス、 電子メールセキュリティ システム、クラウドアカウントに至るまで、幅広い資産を対象としています。

利用規定の目的

利用規定の主な目的は、組織の資産を保護し、コンプライアンスを確保しつつ、テクノロジーの利用に関する明確な指針を示すことにあります。先程挙げたファイアウォールの例は、これに見事に当てはまります。なぜなら、ファイアウォールは「許容される行為」と定義されたもののみを通し、害を及ぼす可能性のあるものはすべて遮断するからです。

利用規定の主な目的は以下の通りです:

  • 資産保護: デジタルインフラ、データ、および知的財産を不正利用から守る
  • コンプライアンスの確保: PCI DSS、GDPR、および業界の規制要件などのコンプライアンス要件への対応
  • リスク軽減: セキュリティ上の脆弱性と法的リスクの低減
  • 行動指針: テクノロジーの適切かつ責任ある利用の定義

世界的な小売企業の実際の事例

あるグローバル小売チェーンのCISOは、従業員が個人のクラウドストレージを利用して顧客データを共有していることを発見した。これにより、深刻なコンプライアンス違反やセキュリティリスクが生じた。データ取り扱いガイドラインを定めた包括的な利用規定(AUP)の導入と定期的な研修の実施により、6か月以内にポリシー違反が85%減少した。

組織に利用規定が必要な理由

組織には、セキュリティ、法的立場、および業務遂行能力に影響を与えるいくつかの理由から、利用規定が必要となります。

セキュリティ は間違いなく最も直接的なメリットです。AUP(利用規定)は、会社のシステムを危険にさらす可能性のあるリスクの高い行動を防ぐのに役立ちます。何が許可され、何が許可されないかを明確にすることで、従業員が サイバーセキュリティ侵害、データ漏洩、またはマルウェア感染につながるような活動を行う可能性が低くなります。このように、このポリシーは内部脅威に対する予防策として機能するだけでなく、不注意によるミスに対する緩衝材としての役割も果たします。

法的観点から見ると、本格的な利用規定(AUP)を策定しておくことは、組織を 法的責任 から組織を守るのに役立ちます。違法行為や不適切な行動のために会社のリソースが不正に使用された場合でも、明確な方針が策定されており、合理的な措置が講じられていたことを証明できるからです。

この方針は、 ネットワークの安定性と生産性の向上にも寄与します。ゲームなどの帯域幅を大量に消費する個人的な活動を制限することで、重要な業務タスクのためにネットワークを確保できるだけでなく、同時に業務の妨げとなる要素も減らすことができます。

さらに、AUPは 組織全体で一貫した期待 を確立するのに役立ちます。テクノロジーの利用を個人の解釈に委ねるのではなく、このポリシーは、すべての人に平等に適用される明確かつ統一された基準を提供します。

MSP向け:マルチクライアント管理

複数のクライアントを管理するMSPには、安定したセキュリティ基準を維持しつつ、各クライアントに合わせてカスタマイズ可能な標準化された利用規約(AUP)が必要です。PowerDMARCの一元化されたダッシュボードを利用すれば、MSPは単一のインターフェースからすべてのクライアントドメインにわたるポリシーを監視・適用することができます。

利用規定の構成要素

適切な利用規定は、テクノロジーの利用に関する適切な枠組みを構築するために相互に連携するいくつかの要素に基づいて構成されています。各要素は、組織を保護し、ユーザーに許容される利用方法を示すという特定の役割を果たしています。

許容使用ポリシー要素

ポリシーの範囲

適用範囲を明確に定義することが、効果的な方針策定への近道です。文書には、コンサルタントや派遣社員など、具体的に誰に適用されるのかを明記する必要があります。

また、ポリシーには対象となるデジタル資産を明記する必要があります。これには、コンピュータ、携帯電話、タブレット、ネットワークアクセスポイント、および 電子メール認証 システムなどが含まれる。

柔軟なリモートワーク体制を導入している組織は、その方針が自宅のネットワークや業務用・私用兼用のデバイスにどのように適用されるかを明確にする必要があります。その一環として、各チームは 集中管理型のリモートアクセス制御 を導入し、分散したエンドポイント上での業務活動を安全に保つことになるでしょう。 

許可された使用と禁止された使用

このセクションは、利用規定の中核をなすものであり、従業員が会社の技術リソースを用いて何ができるか、何ができないかについて具体的な指針を示しています。 この比較表は、適正利用ポリシーの適用範囲に含まれるデジタルリソースの例を示しています。

許容される用途と許容されない用途の比較

リソース利用規約許容されない利用
インターネットビジネス調査、承認済みのウェブサイト、休憩時間中の限定的な私的利用ストリーミングメディア、ゲーム、違法ダウンロード、不適切なコンテンツ
電子メールビジネスコミュニケーション、承認済みの外部連絡先スパム、チェーンメール、私的な用件、不適切な内容
デバイス業務上のタスク、承認済みソフトウェア、セキュリティコンプライアンス無許可のソフトウェア、セキュリティの回避、個人的な商用利用

許可された利用には、通常、職務内容に直接関連する活動が含まれます。このポリシーでは、会社のリソースは主に業務目的で使用されるものであることを明確にすべきです。 インターネット、ソーシャルメディア、ソフトウェア、電子メールなどの適切な利用について、詳しく見ていきましょう。

インターネットの利用状況

  • ビジネス関連の調査およびコミュニケーション
  • 承認済みのクラウドサービスおよびアプリケーションへのアクセス
  • 休憩時間中の個人的な使用は限定的です
  • 専門能力開発および研修リソース

ソーシャルメディアの利用

  • 企業の公式ソーシャルメディアアカウント(承認されている場合)
  • ご自身の職務に関連するプロフェッショナルな人脈作り
  • 会社のソーシャルメディアガイドラインの遵守

ソフトウェアのインストールと使用方法

  • ソフトウェアカタログに掲載されている事前承認済みのビジネスアプリケーション
  • IT部門によって適切なライセンスに基づきインストールされたソフトウェア
  • 承認されたチャネルを通じたセキュリティ更新プログラムおよびパッチ

電子メールおよび電子通信

  • クライアントや同僚とのビジネスコミュニケーション
  • プロジェクトの共同作業とドキュメントの共有
  • メール認証プロトコル(SPF、DKIM、DMARC)の設定
  • 不審なメールやセキュリティ上の問題の報告

業界によって大きく異なりますが、参考までに、禁止されている活動を4つの一般的なカテゴリーに分類することができます。それらは以下の通りです:

  • 違法行為: 会社のリソースを違法な目的で使用すること、制限されているコンテンツや違法なコンテンツにアクセスすること、または不正行為を行うこと
  • セキュリティ違反: 許可されていないソフトウェアのインストール、セキュリティプロトコルの回避、または適切な権限なしに制限されたシステムへのアクセスを試みること
  • 不適切なコンテンツ: 不快、差別的、または不適切な素材へのアクセス、保存、または配布
  • 個人的な営利活動: 会社のリソースを、個人の事業、オンライン販売、またはその他の商業活動に利用すること

セキュリティとデータ保護

本利用規定(AUP)のこのセクションでは、組織のセキュリティを維持し、機密データを保護するためのユーザーの責任について定めています。これは、セキュリティ維持がIT部門だけの責任ではなく、全員の責任であるという認識を浸透させるべきものです。

データ保護および機密保持

データ保護の要件は、GDPR、HIPAA、PCI DSSなどの規制への準拠を維持するために不可欠です。ユーザーは、機密情報の取り扱いに関する自らの義務を理解する必要があります。これには、以下の事項が含まれます:

データの分類と取り扱い
  • 一般公開: 自由に共有できる情報
  • 社内向け: 社内限定情報
  • 機密: 保護が必要な機密性の高い事業情報
  • 制限付き: 機密性の高いデータ。アクセスできるのは限られた人数のみ
プライバシーに関するコンプライアンス要件
  • データを収集する際は、適切な同意を得る
  • 権限に応じてアクセスを管理する
  • 報告 フィッシング攻撃 フィッシング攻撃やデータ漏洩は速やかに報告してください
  • データの保持および削除の仕組みを実装する

認証とパスワード管理

  • すべてのアカウントで強固なパスワードを使用してください
  • 利用可能な場合は、多要素認証を有効にしてください
  • ログイン情報を他人と共有しないでください
  • 不正アクセスを受けたアカウントは直ちに報告してください

アクセス管理

  • 職務遂行に必要なシステムおよびデータのみにアクセスする
  • 使用していないときはシステムからログオフしてください
  • 適切な手続きを経て、アクセス権限の変更を申請してください
  • 不正アクセスの試みを報告する

その好例として、組織が次のような電子メール認証プロトコルをどのように実装しているかを詳細に定めたポリシーが挙げられます。 SPFDKIM、および DMARC。ユーザーは、定められたメール運用手順に従うことで、これらの保護策を維持する役割を果たす必要があります。

セキュリティ研修と意識向上

継続的なセキュリティ研修を実施することで、変化し続ける脅威やポリシーの更新について、全員が常に最新の情報を把握できるようになります。定期的な教育を通じて、組織全体で強固なセキュリティ文化を維持することができます。

研修要件
  • 全ユーザーを対象とした年次セキュリティ意識向上研修
  • 特権権限を持つユーザー向けの役割別トレーニング
  • ポリシーの更新や新たな脅威に関する即時トレーニング
  • フィッシング模擬演習および対応訓練

監視と執行

効果的な利用規定(AUP)は、セキュリティの維持およびコンプライアンス遵守のため、組織がシステムの利用状況を監視する権利について明確にします。これには、ネットワークトラフィックの監視、電子メールの確認、システムアクセスログの確認などの手法が含まれます。

監視とプライバシー

また、セキュリティや監視の必要性と従業員のプライバシー権とのバランスを取ることも、組織の責任です。監視の取り組みについて明確に伝えることは、セキュリティを確保しつつ、信頼を維持するのに役立ちます。このバランスを保つために、監視の範囲と、それに対する保護策について理解しておきましょう。 

監視範囲
  • セキュリティ上の脅威に対するネットワークトラフィック分析
  • マルウェアおよびポリシー違反の検出を目的としたメールスキャン
  • システムへのアクセスログと監査証跡
  • コンプライアンスのためのアプリケーション使用状況の監視
プライバシー保護
  • 監視は業務上の目的およびセキュリティ上の必要性に限定されます
  • 監視データへのアクセスは、権限のある担当者に限定されています
  • 監視ログの定期的な確認と処理
  • 郡の労働法および規制の遵守

また、本ポリシーでは違反に対する処分についても定めており、セキュリティ侵害の重大度に応じて、単純な口頭注意から即時解雇に至るまで様々な措置が講じられます。多層的かつ段階的な責任体制により、ポリシー指針が常に最優先され、違反の程度に見合った現実的な処分が確実に実施されるようになっています。

方針の確認と検討

他のポリシーと同様、利用規定についても、ユーザーが常にその内容を把握できるよう、正式な承諾と定期的な見直しが必要です。また、文書の改訂や更新については、その適用対象となる人々に周知し、承諾を得る必要があります。

利用規定テンプレート

実際には、利用規定を作成する際、テンプレートはよく使われる出発点ですが、万能な解決策として用いることはできません。企業の運営体制はそれぞれ異なります。各社固有のデジタル環境、業界の要件、そして文化的な配慮が、その規定に反映されなければなりません。

テンプレートを既成の答えとして頼るのではなく、慎重にカスタマイズが必要な、柔軟に活用できる枠組みとして捉えるべきです。 

AUPテンプレートの信頼できる情報源としては、SANS Instituteのような専門機関、IT法に特化した法律事務所、そして定評のあるサイバーセキュリティコンサルティング会社などが挙げられます。 ただし、導入前には、法務、人事、ITの各チームによる徹底的なレビューを必ず行ってください。

重要なのは、テンプレートを完成形そのものではなく、構成や表現のヒントとして活用することです。

利用規約の例

利用規定は、作成者のニーズや要件に応じて様々な形態をとることがあります。多くの組織では、技術の利用に関するあらゆる側面を網羅した、1つの簡潔な文書を好む一方、別々の文書で構成し、改訂の余地を残した、より複雑な規定を作成する組織もあります。

こうした専門的なポリシーの代表的な例としては、 BYODポリシー、ソーシャルメディアポリシー、およびリモートワーク技術ポリシーなどが挙げられます。

テクノロジー企業や教育機関は、利用規約をしばしば公開していることがわかります。これらは、さまざまな組織がどのようにルールを定めているかを示す優れた事例です。

事例を検討する際は、複雑な概念をいかに平易な言葉で説明しているか、禁止事項のリストがどのように構成されているか、そしてセキュリティ上の懸念とユーザーフレンドリーなガイドラインのバランスがどのように取られているかに注目してください。

中規模のテクノロジー企業における利用規定がどのように構成されるか、その一例として、綿密に調査された事例をご紹介します:

AUPの構成例

1. 目的および適用範囲

  • すべての従業員、契約業者、および第三者ユーザーに適用されます
  • 自社所有のデバイスおよび業務に関連する個人所有のデバイスをすべて対象とします
  • BYOD、メールシステム、クラウドサービスなどが含まれます

2. 利用ガイドライン

  • 事業活動およびコミュニケーション
  • 休憩時間中の個人利用は制限されています(1日30分まで)
  • スキルアップと研修のリソース

3. 禁止事項

  • 著作権で保護された素材を第三者に提供すること
  • 無許可のソフトウェアやアプリケーションの使用
  • 不適切または不快なコンテンツへのアクセスや保存
  • 会社の資源を私利私欲のために利用すること

4. セキュリティ要件

  • 多要素認証を用いた月次パスワード変更
  • セキュリティインシデントは直ちに人事部に報告すること
  • ドメインの評判維持のための電子メール認証プロトコルの遵守

5. 執行と結果

  • 初回違反の場合は、口頭での注意と是正セミナーの受講となります
  • 2回目の違反については、人事部への苦情報告および業績評価が行われます
  • 重大な違反や繰り返しの違反があった場合、即時解雇および法的措置の対象となる可能性があります

この例を参考にして、次のセクションに記載されている専門家による実践方法とチェックリストに従ってください。

利用規定作成のベストプラクティス

使用許可ポリシーの作成

効果的なAUPを作成するには、その内容だけでなく、作成方法にも同等の注意を払う必要があります。収集されたベストプラクティスを活用し、ポリシーが確実にその目的を達成するようにしましょう:

  • 明確でわかりやすい言葉を使いましょう: 専門知識のない従業員にも理解できる言葉で記述してください。混乱を招いたり誤解を招いたりする可能性のある、難解な法律用語や過度に専門的な表現は避けてください。
  • 当初から主要なステークホルダーを巻き込む: 計画段階からユーザーや監督者を巻き込むことで、現実のニーズと法的に強制力のある政策との間のギャップを埋める。
  • 正式な受領確認を要する: 書面またはデジタル署名による受領確認は、規則や義務が伝達されたことを示す法的証拠として機能します。
  • この方針を「生き物」のように捉えてください: 方針は常に変化し続けるものであるため、開発やビジネス要件の変化に対応するために、定期的な見直しと更新が必要です。一般的に、年次レビューが採用されるケースが多いです。
  • より広範なセキュリティ対策と連携する: AUPは、次のような技術的な保護策を補完するものであるべきです: DMARCドメインアナライザーSPFレコードチェッカーなど、現在導入されている技術的な保護策を補完し、フィッシングやスプーフィングに対する防御を強化する必要があります。

以下のチェックリストは、AUPをより確実に導入するための参考になります。

AUP実施チェックリスト

計画段階

  • ☐ 部門横断的なチーム(IT、人事、法務、事業部門)を編成する
  • ☐ リスク評価およびコンプライアンス審査の実施
  • ☐ ポリシーの適用範囲と適用対象を定義する
  • ☐ 業界のベストプラクティスやテンプレートを調査する

開発段階

  • ☐ わかりやすい言葉を使って方針案を作成する
  • ☐ 必要な要素をすべて含める(適用範囲、用途、セキュリティ、実施)
  • ☐ 法令遵守の観点から、弁護士と協議する
  • ☐ 代表的なユーザーグループを対象にポリシーをテストする

実施段階

  • ☐ 影響を受けるすべてのユーザーに方針を周知する
  • ☐ 研修および啓発セッションの実施
  • ☐ すべてのユーザーから正式な承諾を得る
  • ☐ 監視および執行の仕組みを導入する

維持管理段階

  • ☐ 年次方針見直しを実施する
  • ☐ 有効性と順守状況を監視する
  • ☐ 新技術および脅威に関するポリシーの更新
  • ☐ 継続的な研修と啓発活動を実施する

なぜメール認証にPowerDMARCを選ぶのか?

PowerDMARCは、完全な可視性、一元化されたAUP(利用規約)の適用、および脅威の即時検知機能を提供しており、世界中の企業やMSPから信頼されています。 

PowerDMARC 対 一般的なソリューション

  • 一元化されたダッシュボード: 単一の画面から、マルチドメインおよびマルチクライアント環境を管理できます。
  • SPFのフラット化 SPF 10の検索制限を簡単に克服できます。
  • 24時間365日のグローバルサポート: メール認証の専門家によるリアルタイムのサポートをご利用いただけます。
  • コンプライアンス対応状況: PCI DSS、GDPR、および業界の規制要件に対応した組み込みレポート機能。
  • 使いやすさ: CISO、ITマネージャー、およびMSP向けに設計された直感的なインターフェース。

最終的な感想

利用規定は、組織のセキュリティと法的保護にとって不可欠な基本文書です。適切に策定・実施されれば、ユーザーに対して適切な期待値を示すとともに、多岐にわたるリスクからユーザーを保護し、ユーザーの行動を後押しすることになります。

適切に策定された利用規定(AUP)は、包括的なセキュリティ戦略の一部に過ぎません。 ネットワークを保護し を保護し、ドメインの完全性を確保する技術的なソリューションも、正しい方向で機能するためにはポリシーが必要です。これらが一体となって、多層的で信頼性の高い保護を実現します。

この取り組みをさらに強化するため、組織は、適切に設定された DMARCポリシーによって保護されていることを確認する必要があります。PowerDMARCの DMARCソリューションソフトウェア は、包括的なメール認証を実現し、利用規定を補完するとともに、組織全体のセキュリティ体制を強化します。

一般的なメールセキュリティツールとは異なり、PowerDMARCは、包括的なAUP(利用規約)の適用、コンプライアンス監視、実用的なレポート機能を、単一の統合プラットフォーム上で提供します。その一元化されたダッシュボードにより、組織はすべてのドメインにわたってポリシーを監視・適用しつつ、規制要件への準拠を維持することができます。

15日間の無料トライアルを開始 – 完全な可視性とコンプライアンスを実現

PowerDMARCを活用して、AUPの適用管理とメール認証を一元化しましょう。

よくあるご質問

利用規定の例にはどのようなものがありますか?

利用規定の例には、通常、以下の内容が含まれます。(1) 対象となる人物や範囲を定義する「目的と適用範囲」。(2) 業務上の通信や限定的な私的利用などの「許容される利用」。(3) 違法なダウンロードや無許可のソフトウェアインストールなどの「禁止行為」。(4) 強固なパスワードの設定やインシデントの報告を含む「セキュリティ要件」。(5) 違反に対する明確な処分を定めた「実施手順」。

適切な利用規定における5つの重要な要素とは何ですか?

効果的なAUP(利用規定)の5つの主要な要素は、次のとおりです。(1) 適用範囲と対象を定義するもの、(2) 具体的な事例を交えた許可・禁止事項、(3) セキュリティおよびデータ保護に関する要件、(4) 監視および実施手順、(5) 規定の確認および見直しプロセス。これらの要素が相互に連携することで、包括的な技術利用ガイドラインが構築されます。

NISTの適正利用ポリシーに関する基準とは何ですか?

NISTのガイドラインでは、適正利用ポリシーには、許可される利用範囲、禁止される活動、違反時の措置、および利用者の責任について明確に規定することを推奨しています。NISTは、情報システムの効果的な保護とコンプライアンスを確保するため、ポリシーの定期的な更新、利用者への教育、およびより広範なサイバーセキュリティ・フレームワークとの統合の重要性を強調しています。

許容範囲使用ポリシーと公正使用ポリシーの違いは何ですか?

一方、公正使用ポリシーは、教育、論評、批評などの目的で著作権で保護された素材を限定的に使用することに関する法的概念です。

受諾可能な使用ポリシーを実施する責任は誰にあるのか?

施行には通常、IT部門(システムの監視)、人事部門(懲戒処分)、管理部門(日常的な監督)など複数の部門が関与し、具体的な役割はポリシー自体に定義されている。

受諾可能な使用ポリシーはどれくらいの頻度で更新されるべきか?

ほとんどの組織は、AUPを毎年見直し、更新しており、新しい技術が導入されたり、重大なセキュリティ脅威が出現したり、ビジネス要件が変更されたりした場合は、直ちに更新する。