許容利用ポリシの基本と実践事例
著者: Maitham Al Lawati
翻訳: 東條 百々朱
この記事はPowerDMARCのブログ記事 Acceptable Use Policy: Key Elements and Examples の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
主なポイント
- 規制対象業界のCISOにとって、堅牢なAUPは、複数ドメイン環境におけるコンプライアンス確保とリスク低減に不可欠です。
- AUPには、ドメインの整合性を保護し、不正利用を防止するために、組織がSPF、DKIM、DMARCなどのメール認証プロトコルをどのように実装しているかを明記する必要があります。
- AUPテンプレートは完成版としてそのまま利用するのではなく、組織ごとの要件に合わせて十分にカスタマイズするためのひな形として活用するべきです。
- PowerDMARCの一元管理ダッシュボードは、すべてのドメインにおけるAUPの適用状況を統合的に可視化し、分かりやすいレポートと迅速な問題検出機能を提供します。
概要
許容利用ポリシ(AUP)は、テクノロジ利用に関するルールを定め、セキュリティリスクから組織を保護し、コンプライアンスを確保するための指針です。
AUPには、適用範囲、許可される利用と禁止される利用、セキュリティとデータ保護、監視および執行などの要素が含まれます。
また、PowerDMARCは認証およびレポート機能を通じてAUPの実装を支援します。
従業員は日々、企業ネットワークへアクセスし、メールを送受信し、インターネットを利用し、さまざまなソフトウェアを業務に活用しています。
この高い接続性は生産性向上の原動力となる一方で、サイバー犯罪やデータ侵害、法的問題、ネットワークパフォーマンスの低下など、多くのリスクを招く可能性があります。
そのため、許容利用ポリシ(AUP)は、人的リスクを防ぐための重要な防御策として機能します。
企業の技術リソースを利用する際に、何が認められ、何が禁止されるのかを明確に定義します。
つまり、ファイアウォールが不正なネットワーク通信を遮断するのと同様に、AUPは内部リスクや不適切な利用を抑制する役割を果たします。
しかし、AUPは単なる禁止事項の一覧ではありません。
組織と従業員の双方を保護するための運用ルールと管理の枠組みを構築するものです。
本ガイドでは、許容利用ポリシとは何か、その重要性、そして組織のニーズに適したAUPの設計方法について解説します。
また、特に規制対象業界のCISO、ITマネージャ、MSPにとって、AUPがPCI DSSやGDPRなどのコンプライアンス要件への対応にどのように役立つかについても説明します。
該当する方は、ぜひ最後までご覧ください。
許容利用ポリシ(AUP)とは?
許容利用ポリシ(AUP)とは、従業員、契約社員、その他の利用者が組織のITリソースへアクセスし利用する際のルールとガイドラインを定めた正式な文書です。
このポリシは、パートタイム従業員、コンサルタント、場合によってはゲストや訪問者を含む、企業システムへのアクセス権を持つすべての人に適用されます。
対象となる資産には、コンピュータやモバイルデバイスだけでなく、インターネット接続環境、メールセキュリティシステム、クラウドアカウントなども含まれます。
許容利用ポリシの目的
許容利用ポリシの主な目的は、テクノロジ利用に関するルールを明確にしながら、組織の資産を保護し、コンプライアンスを確保することです。
先ほどのファイアウォールの例はここでも当てはまります。
ファイアウォールが許可された通信のみを通過させ、有害な通信を遮断するように、AUPも適切な利用を認め、不適切な行為を防ぎます。
許容利用ポリシの主な目的は以下の通りです。
- 資産保護
- デジタルインフラ、データ、知的財産を不正利用から保護する
- コンプライアンス確保
- PCI DSS、GDPR、および業界要件への適合を実現する
- リスク低減
- セキュリティ上の脆弱性や法的リスクを最小化する
- 行動指針の提供
- 適切かつ責任あるテクノロジ利用を定義する
グローバル小売企業での事例
あるグローバル小売チェーンのCISOは、従業員が個人向けクラウドストレージサービスを利用して顧客データを共有していることを発見しました。
これにより、重大なコンプライアンス違反とセキュリティリスクが発生していました。
そこで、データ取り扱いガイドラインと定期的なトレーニングを含む包括的なAUPを導入した結果、ポリシ違反は6か月以内に85%削減されました。
組織に許容利用ポリシ(AUP)が必要な理由
組織が許容利用ポリシ(AUP)を必要とする理由は数多くあり、それらはセキュリティ、法的責任、業務効率に直接関わります。
最も分かりやすいメリットは、セキュリティの向上です。
AUPは、企業システムを危険にさらす可能性のある行為を未然に防ぐ役割を果たします。
何が認められ、何が禁止されるのかを明確にすることで、従業員がサイバー攻撃やデータ漏洩、マルウェア感染につながる行動を取るリスクを低減できます。
このように、AUPは内部脅威に対する予防策として機能すると同時に、偶発的なミスによる被害を抑える役割も果たします。
法的な観点から見ると、包括的なAUPを整備することで組織を法的リスクから保護できます。
企業リソースが違法行為や不適切な目的に利用された場合でも、組織が明確なポリシを定め、適切な対策を講じていたことを示す根拠となります。
また、このポリシはネットワークの安定性や生産性の向上にも貢献します。
動画配信サービスの利用やオンラインゲームなど、過度に帯域幅を消費する私的利用を制限することで、業務に必要なネットワーク資源を確保できるほか、業務中の注意散漫を防ぐことにもつながります。
さらに、AUPは組織全体で共通の利用基準を確立する役割を果たします。
テクノロジ利用を各個人の判断に委ねるのではなく、全員に適用される明確で統一されたルールを提供します。
MSP向け:複数顧客の管理
複数の顧客を管理するMSPは、一貫したセキュリティ基準を維持しながら、顧客ごとに調整可能な標準化されたAUPを必要とします。
PowerDMARCの一元管理ダッシュボードを利用すれば、MSPは単一のインターフェースからすべての顧客ドメインにおけるポリシの監視と適用を行うことができます。
許容利用ポリシの構成要素
強力な許容利用ポリシは、テクノロジ利用に関する管理体制を構築する複数の要素で構成されています。
各要素には、組織を保護するとともに、利用者へ適切な利用方法を示す役割があります。
ポリシの適用範囲
効果的なポリシを策定するためには、適用範囲を明確に定義することが重要です。
文書には、コンサルタントや臨時スタッフを含め、誰に適用されるのかを明記する必要があります。
また、対象となるデジタル資産も明確に示さなければなりません。
これには、コンピュータ、モバイルデバイス、タブレット、ネットワーク機器、メール認証システムなどが含まれます。
リモートワークを導入している組織では、このポリシが家庭内ネットワークや業務・私用兼用デバイスにどのように適用されるかについても明確にする必要があります。
また、必要に応じて、一元管理されたリモートアクセス制御を導入し、分散したエンドポイント上でも安全な業務環境を維持することが求められます。
許可される利用と禁止される利用
このセクションは、許容利用ポリシの中核となる部分です。
従業員が企業の技術リソースを利用する際に、何が認められ、何が禁止されるのかを具体的に示します。
許容される利用と禁止される利用の比較
| リソース | 許可される利用 | 禁止される利用 |
|---|---|---|
| インターネット | 業務調査、承認済みWebサイトの利用、業務に支障のない範囲での私的利用 | 動画ストリーミング、オンラインゲーム、違法ダウンロード、不適切なコンテンツの閲覧 |
| メール | 業務連絡、承認済みの外部連絡先との通信 | スパム送信、チェーンメール、個人事業への利用、不快または不適切なコンテンツの送信 |
| デバイス | 業務関連作業、承認済みソフトウェアの利用、セキュリティポリシの遵守 | 未承認ソフトウェアの導入、セキュリティ対策の回避、個人的な商業利用 |
許可される利用には通常、職務に直接関係する活動が含まれます。
ポリシでは、企業リソースは主として業務目的で利用されることを明確に定める必要があります。
- インターネット利用
-
- 業務に関連する調査およびコミュニケーション
- 承認済みクラウドサービスおよびアプリケーションへのアクセス
- 業務に支障のない範囲での私的利用
- スキル向上や研修のための学習リソース利用
- ソーシャルメディア利用
-
- 承認を受けた場合の会社公式アカウントの利用
- 業務に関連するネットワーキング活動
- 企業のソーシャルメディア利用ガイドラインの遵守
- ソフトウェアのインストールと利用
-
- ソフトウェアカタログに掲載された事前承認済みアプリケーションの利用
- 適切なライセンスのもとでIT部門が導入したソフトウェアの利用
- 承認済みの方法によるセキュリティアップデートおよびパッチ適用
- メールおよび電子コミュニケーション
-
- 顧客や同僚との業務連絡
- プロジェクト共同作業および文書共有
- SPF、DKIM、DMARCなどのメール認証プロトコルの運用
- 不審なメールやセキュリティ上の問題の報告
禁止事項は業界によって異なりますが、一般的には以下の4つのカテゴリに分類されます。
- 違法行為
- 企業リソースを違法目的で利用すること、不正行為への関与、違法コンテンツへのアクセス
- セキュリティ違反
-
- 未承認ソフトウェアの導入、セキュリティ対策の回避、不正なシステムアクセスの試行
- セキュリティ違未承認ソフトウェアの導入、セキュリティ対策の回避、不正なシステムアクセスの試行
- 不適切なコンテンツ
-
- 攻撃的、差別的、または不適切なコンテンツの閲覧・保存・配布
- セキュリティ違未承認ソフトウェアの導入、セキュリティ対策の回避、不正なシステムアクセスの試行
- 個人的な商業活動
- 個人事業やオンライン販売などのために企業リソースを利用すること
セキュリティとデータ保護
このセクションでは、組織のセキュリティ維持と機密データ保護に関する利用者の責任を定義します。
セキュリティはIT部門だけの責任ではなく、組織全体で取り組むべき課題です。
- データ保護と機密保持
- GDPR、HIPAA、PCI DSSなどの規制への準拠を維持するためには、データ保護要件が欠かせません。
利用者は機密情報の取り扱いに関する責任を理解する必要があります。
データ分類と取り扱い
- 公開情報
- 自由に共有できる情報
- 社内情報
- 社内利用に限定される情報
- 機密情報
- 保護が必要な重要業務情報
- 制限情報
- 限られた担当者のみがアクセス可能な高度機密情報
プライバシコンプライアンス要件
- データ収集時に適切な同意を取得する
- 権限に応じたアクセス管理を実施する
- フィッシング攻撃やデータ侵害を速やかに報告する
- データ保持および削除の仕組みを整備する
- 認証とパスワード管理
-
- すべてのアカウントで強力なパスワードを使用する
- 利用可能な場合は二段階認証を有効化する
- 認証情報を他者と共有しない
- アカウント侵害が疑われる場合は直ちに報告する
- アクセス管理
-
- 業務上必要なシステムおよびデータのみにアクセスする
- 利用しないときはシステムからログオフする
- アクセス権の変更は正式な手続きを通じて申請する
- 不正アクセスの試みを発見した場合は報告する
組織によっては、SPF、DKIM、DMARCなどのメール認証プロトコルの運用方針をAUPで詳細に定めるケースもあります。
利用者は定められたメール利用ルールを遵守することで、こうした保護策の維持に貢献する必要があります。
- セキュリティ教育と意識向上
- 継続的なセキュリティ教育により、利用者は進化する脅威やポリシの更新内容を把握できます。
定期的な教育は、組織全体で強固なセキュリティ文化を維持するために重要です。
教育要件
- 全利用者を対象とした年1回以上のセキュリティ教育
- 高い権限を持つ利用者向けの役割別研修
- ポリシ更新や新たな脅威発生時の追加研修
- フィッシングシミュレーションおよび対応訓練
- 監視と執行
- 効果的なAUPでは、セキュリティ確保とコンプライアンス維持のために、組織がシステム利用状況を監視できることを明確に定めます。
これには、ネットワークトラフィックの監視、メールの確認、システムアクセスログの分析などが含まれます。 - 監視とプライバシ
- 組織は、セキュリティ上の監視ニーズと従業員のプライバシ保護とのバランスを取る責任があります。
監視方針を明確に伝えることで、信頼関係を維持しながらセキュリティを確保できます。
監視範囲
- セキュリティ脅威を検出するためのネットワークトラフィック分析
- マルウェアおよびポリシ違反を検出するためのメールスキャン
- システムアクセスログおよび監査証跡の記録
- コンプライアンス目的でのアプリケーション利用状況の監視
プライバシ保護
- 監視は業務目的およびセキュリティ目的に限定する
- 監視データへのアクセスを権限保有者に限定する
- 監視ログを定期的に確認し、適切に管理する
- 各国の労働法および関連法規を遵守する
ポリシでは、違反時の対応についても定義します。
内容は口頭注意から雇用契約の解除まで、違反の重大性に応じて異なります。
段階的な責任体制を導入することで、ポリシの重要性を周知するとともに、違反内容に応じた適切な対応を実施できます。
ポリシの確認と見直し
他の社内規程と同様に、許容利用ポリシも定期的な確認と見直しが必要です。
利用者が常に最新のポリシ内容を理解し、遵守できるようにするためです。
また、改訂や更新が行われた際には、対象者へ周知し、内容を確認したことを記録する仕組みを設けることが望まれます。
許容利用ポリシテンプレート
実務上、テンプレートは許容利用ポリシ(AUP)を作成する際の出発点として有用です。
ただし、そのまますべての組織に適用できる万能な解決策ではありません。
企業ごとに業務の進め方は異なります。
そのため、各組織のデジタル環境、業界要件、組織文化をポリシに反映する必要があります。
テンプレートを完成版として使うのではなく、自社向けに調整するための柔軟なひな形として捉えることが重要です。
AUPテンプレートの信頼できる入手先としては、SANS Instituteのような専門機関、テクノロジ法に詳しい法律事務所、実績のあるサイバーセキュリティコンサルティング企業などがあります。
ただし、導入前には必ず法務部門、人事部門、IT部門による十分なレビュを実施してください。
重要なのは、テンプレートを最終版として使うのではなく、構成や表現の参考資料として活用することです。
許容利用ポリシの例
許容利用ポリシは、組織のニーズや要件に応じてさまざまな形式を取ります。
多くの組織では、テクノロジ利用に関するルールを1つの文書にまとめています。
一方で、BYOD、ソーシャルメディア、リモートワークなど、用途ごとに個別のポリシを設ける組織もあります。
こうした個別ポリシの例としては、BYOD(私物端末利用)ポリシ、ソーシャルメディアポリシ、リモートワーク向けテクノロジポリシなどがあります。
テクノロジ企業や教育機関では、許容利用ポリシを公開しているケースも多く見られます。
これらは、他の組織がどのように利用ルールを整理しているかを理解するうえで参考になります。
事例を確認する際には、複雑な概念をどのように分かりやすく説明しているか、禁止事項をどのように整理しているか、そしてセキュリティ要件と利用者の利便性をどのように両立させているかに注目してください。
以下は、中規模のテクノロジ企業向けに許容利用ポリシを構成する場合のサンプルです。
サンプルAUP構成
- 1.目的と適用範囲
-
- すべての従業員、契約社員、第三者利用者に適用する
- 会社所有デバイスおよび業務利用される個人所有デバイスを対象とする
- BYOD、メールシステム、クラウドサービスを含む
- 2.許可される利用ガイドライン
-
- 業務活動および業務上のコミュニケーション
- 業務に支障のない範囲での私的利用(1日30分まで)
- スキル向上および研修リソースの利用
- 3.禁止事項
-
- 著作権で保護されたコンテンツを外部へ共有すること
- 未承認のソフトウェアまたはアプリケーションを利用すること
- 不適切または攻撃的なコンテンツへアクセス、保存、共有すること
- 個人的な利益のために会社リソースを利用すること
- 4.セキュリティ要件
-
- 多要素認証を利用し、パスワードを定期的に変更すること
- セキュリティインシデントを速やかに担当部門へ報告すること
- ドメインの信頼性を維持するため、メール認証プロトコルを遵守すること
- 5.執行および処分
-
- 初回違反:口頭注意および是正研修の受講
- 2回目の違反:人事部門への正式報告および評価への反映
- 重大または繰り返しの違反:雇用契約の解除および法的措置の可能性
このサンプルはあくまで参考例です。
次のセクションで紹介する専門家推奨のベストプラクティスやチェックリストに従い、自社の業務内容、リスク、法的要件に合わせて調整してください。
許容利用ポリシ作成のベストプラクティス
効果的なAUPを作成するには、ポリシの内容だけでなく、策定プロセスにも十分な注意を払う必要があります。
以下のベストプラクティスを参考に、実効性のあるポリシを整備しましょう。
- 明確で分かりやすい言葉を使用すること
- 技術に詳しくない従業員でも理解できる表現を心掛けましょう。
混乱や誤解を招く可能性のある難解な法律用語や過度に専門的な表現は避けるべきです。 - 初期段階から関係部門を巻き込むこと
- 利用者や管理者を計画段階から参加させることで、実際の業務ニーズと法的・運用上の要件とのギャップを埋めることができます。
- 正式な同意を取得すること
- 書面または電子署名による承認は、ルールや義務が利用者へ適切に周知されたことを示す証拠となります。
- ポリシを継続的に見直し、更新すること
- 組織や技術環境の変化に対応するため、定期的な見直しと更新が必要です。
多くの組織では年1回のレビュを実施しています。 - より広範なセキュリティ対策と連携させること
- AUPは、DMARCドメイン分析ツールやSPFレコードチェッカなどの技術的なセキュリティ対策を補完し、フィッシングやなりすまし攻撃への防御を強化する役割を担うべきです。
以下のチェックリストは、AUPを円滑に導入するために役立ちます。
AUP導入チェックリスト
- 計画フェーズ
- ☐部門横断チーム(IT、人事、法務、事業部門)を編成する
☐リスク評価およびコンプライアンスレビュを実施する
☐ポリシの適用範囲と対象者を定義する
☐業界のベストプラクティスやテンプレートを調査する - 開発フェーズ
- ☐分かりやすい言葉でポリシを作成する
☐必須要素(適用範囲、利用規定、セキュリティ、執行)を盛り込む
☐法務部門によるコンプライアンスレビュを実施する
☐代表的な利用者グループによる確認・テストを行う - 導入フェーズ
- ☐影響を受けるすべての利用者へポリシを周知する
☐トレーニングおよび啓発セッションを実施する
☐すべての利用者から正式な同意を取得する
☐監視および運用体制を整備する - 維持管理フェーズ
- ☐年次レビュを実施する
☐有効性および遵守状況を監視する
☐新しい技術や脅威に合わせてポリシを更新する
☐継続的な教育および啓発活動を実施する
なぜメール認証にPowerDMARCを選ぶのか
PowerDMARCは、グローバル企業やMSPから信頼される包括的な可視化機能、AUPの運用管理を支援する仕組み、そしてリアルタイムの脅威検知機能を提供します。
PowerDMARCと一般的なソリューションの比較
- 一元管理ダッシュボード
- 単一の画面から複数ドメインおよび複数顧客環境を管理できます。
- SPFフラットニング
- SPFのDNSルックアップ回数制限(10回)への対応を容易にします。
- 24時間365日のグローバルサポート
- メール認証の専門家によるリアルタイムサポートを受けられます。
- コンプライアンス対応
- PCI DSS、GDPR、各種業界規制への対応を支援するレポート機能を提供します。
- 優れた操作性
- CISO、IT管理者、MSP向けに設計された直感的なインターフェースを提供します。
まとめ
許容利用ポリシは、組織のセキュリティと法的保護を支える重要な基盤です。
適切に設計・導入されたAUPは、利用者に明確な行動指針を示し、さまざまなリスクから組織と利用者の双方を守ります。
ただし、AUPは包括的なセキュリティ戦略の一要素に過ぎません。
安全なネットワーク環境やドメインの信頼性を維持するための技術的対策と組み合わせることで、より高い効果を発揮します。
これらを組み合わせることで、多層的で信頼性の高いセキュリティ体制を構築できます。
さらにこの取り組みを強化するために、組織は適切に構成されたDMARCポリシによってドメインを不正利用から保護する必要があります。
PowerDMARCのDMARCソリューションは、包括的なメール認証を実現し、許容利用ポリシを補完するとともに、組織全体のセキュリティ体制を強化します。
一般的なメールセキュリティツールとは異なり、PowerDMARCはAUPの運用管理、コンプライアンス監視、実用的なレポーティング機能を統合プラットフォーム上で提供します。
一元化されたダッシュボードにより、すべてのドメインにわたるポリシの監視と運用を行いながら、規制要件への準拠状況も把握できます。
15日間の無料トライアルを開始し、包括的な可視化とコンプライアンス対応を実現しましょう。
PowerDMARCでAUP運用とメール認証を一元管理しましょう。
よくある質問
- 許容利用ポリシの例にはどのようなものがありますか?
- 一般的な許容利用ポリシには、以下の要素が含まれます。
- 目的および適用範囲
- 許可される利用
- 禁止事項
- セキュリティ要件
- 違反時の対応手順
- 優れた許容利用ポリシの5つの主要要素は何ですか?
-
- 適用範囲と対象者
- 許可される利用と禁止される利用
- セキュリティおよびデータ保護要件
- 監視および執行手続き
- ポリシへの同意および見直しプロセス
- NISTではAUPについてどのような指針を示していますか?
- NISTは、許容利用ポリシに許可される利用、禁止事項、違反時の対応、利用者の責任を明確に記載することを推奨しています。
また、情報システムの保護とコンプライアンス維持のために、定期的なポリシ更新、利用者教育、そして包括的なサイバーセキュリティ対策との連携を重視しています。 - 許容利用ポリシとフェアユースポリシの違いは何ですか?
- 許容利用ポリシは、組織の技術リソースをどのように利用するかを定める社内ルールです。
一方、フェアユースは、教育・評論・批評などの目的で著作物を限定的に利用できる著作権法上の概念です。 - 許容利用ポリシの運用責任者は誰ですか?
- 通常はIT部門、人事部門、管理職など複数の部門が関与します。
それぞれの役割と責任はポリシ内で明確に定義されるべきです。 - 許容利用ポリシはどのくらいの頻度で更新すべきですか?
- 多くの組織では年1回の見直しを実施しています。
ただし、新しい技術の導入や重大なセキュリティ脅威の発生、業務要件の変更があった場合には、速やかに更新することが推奨されます。