電子メール/インターネット使用ポリシー 実践的作成ガイド クリアスウィフトToolkitシリーズ 電子メール/インターネット使用ポリシー 実践的作成ガイド 目次 はじめに.............................................................................................2 電子メール インターネット パーソナルコンピュータの 使用ポリシー......................................................................................3 電子メールの使用 ..............................................................................4 Webおよびインターネットの使用...................................................14 機密データの取り扱い .....................................................................20 違法行為への措置 ............................................................................22 法的面責条項....................................................................................23 2 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド はじめに クリアスウィフトは、10年以上にわたって、 ポリシー ベースのセキュリティを提唱して きました。 コンテンツ セキュリティにおいて、第一に 必要なのは、ビジネス ニーズを満たす明確 かつ明示的なポリシーを備え、そのポリ シーを全スタッフに周知することです。こ のような条件が整ってこそ、ポリシーの実 行において、人、プロセス、技術がそれぞ れの役割を果たすことができるのです。 この数年間、クリアスウィフトは、お客様 が自社のポリシーを作成または改善できる よう支援する手引書を作成してきました。 しかし、実際に「懐を開き」、クリアスウィ フトの社内ポリシーをお客様と共有したこ とはありません。 今回は違います。この文書の内容は、クリ アスウィフトの全従業員が同意し、電子 メール、Web、IM使用の際にMIMEsweeper を介して実施されているのと同じポリシー です。このポリシーは、何年にもわたって 社内で使用しているもので、許容される使 用方法の明確化、許容されない行動の抑止、 MIMEsweeperの導入推進の役割を果たして います。これにより、「知らなかった」とい う言い訳の余地がなくなりました。 セキュリティ ポリシーに関する問題点を明 確にするため、法律に関するヒント、実用 面のヒント、技術面のヒントとして、ポリ シーに注釈をつけました。 この文書が、お客様のポリシー強化に役立 つことを願っております。また、この文書 またはセキュリティの問題について、お客 様のご意見をお待ちしております。 Jon Lee CEO クリアスウィフト ヒントの表記 法律に関するヒント 3 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 実用面のヒント 技術面のヒント 電子メール/インターネット使用ポリシー 実践的作成ガイド 電子メール インターネット パーソナル コンピュータの 使用ポリシー このポリシーの目的は、クリアスウィフト のコンピュータ、電子メールおよびイン ターネット設備を、従業員、下請契約者、 その他のコンピュータ ユーザ(以下「ユー ザ」とする)が使用する際の、許容される 使用方法を明確にすることです。ここに示 すポリシーのルールは、ユーザの勤務場所 にかかわらず、クリアスウィフト(以下 「弊社」とする)の電子メール、インター ネットおよびコンピュータ設備の全ユーザ に適用されます。 重要:ここに示すポリシーのガイドライン はきわめて重要であり、順守されない場合 は、重い懲戒処分の対象となるおそれがあ ります。 このポリシーは、定期的に改正または修正 される場合があります。 法律に関するヒント ポリシーに日付を付け、更新内容を 全従業員に配布して、共通のポリ シーが確実に全員に行き渡るように します。更新する場合は、変更箇所 と変更理由をハイライトして、全員 に配布します。最新の文書かどうか を明確にするためのバージョン番号 の追加、ポリシーのバックアップや アーカイブを正確に行うためのソー ス管理システムも検討してください。 また、PDF文書など、改ざんのおそ れのない形式でポリシーを配布する ことも検討しましょう。 ポリシー配布の際には、全員が受け 取ったかどうかだけでなく、全員が ポリシーを読んだかどうかを確認で きるように工夫しましょう。ポリシー 管理製品を使うと、ポリシーの同意 書への「チェック」が従業員に要求 されるため、便利かもしれません。 法律に関するヒント このポリシーは本質的に法的な文書 であり、懲戒委員会の聴聞や法廷で 使用可能なものであることを、従業 員に徹底しておきましょう。 4 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 電子メールの使用 1. 業務利用と個人利用 技術面のヒント ポリシーの強制及びモニタリングの 仕組みは、ポリシーの有効性を維持 するために不可欠です。 MIMEsweeperを利用すれば、従業員 によるメールの送受信量をモニタリ ングし定期的なレポートを自動作成 し、メールの不適正な利用を早期に 発見することが可能となります。 企業の電子メール・システムは本来業務目 的で使用するためのものです。 私的な使用も許可されていますが、許容レ ベルを超えた使用については制限される場 合があります。また、業務・私用にかかわ らず、電子メールやイントラネットの掲示 板などでやりとりされるメッセージはモニ タリングされており、プライバシーは期待 できません。 法律に関するヒント 会社のネットワーク上では、個人のプ ライバシーが保護されない事をあらか じめユーザーに理解させましょう。 2. 電子メール・メッセージの作成 電子メールによる不適切なメッセージの送 信は、個人及び企業に不利益となる可能性 があります。また、電子メールは一度送信 されると修正できず、すぐに転送され、送 信先で保存されます。メッセージの作成に は細心の注意を払う必要があります。下書 きをし、内容の確認を行ってから送信して ください。クリアスウィフトでは以下の内 容を含むメッセージの送信を禁じています。 ■ 人種、性別、国籍、出身地、年齢、性 的指向、宗教または障害に基づく差別。 実用面のヒント クリアスウィフトでは、上記の項目に 対応するテキスト分析辞書を提供して います。MIMEsweeperを導入すれば、 こうした辞書を使って簡単に不適切な メッセージの配信を防止することが可 能です。 ■ 脅迫、ハラスメント、中傷、罵倒また は悪意のあるもの。 ■ 違法行為に関わるもの。 ■ 個人事業の経営や、個人的利益を目的 とした資金集めに関連したもの。 ■ チェーンメールの作成や送信、または スパム行為。 実用面のヒント ポリシーを社内に浸透させるため、社 員向けのシンプルな「電子メール・ Web使用ガイド」の作成を検討しま しょう。社員研修時にこれを配布し、 説明するのも効果的です。ガイドの形 態は、印刷物でもオンライン版でもか まいません。 5 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. ■ サードパーティの著作権を侵害する内 容を含むもの。 ■ ポルノなど、違法または不快な内容を 含むもの。 ■ 守秘義務や知的所有権の保護につい て、弊社のポリシーに違反するもの。 電子メール/インターネット使用ポリシー 実践的作成ガイド 技術面のヒント サイズ制限を越えるファイルが添付さ れたメッセージを、容易に保留でき、 自動的に送信者に通知できるコンテン ツセキュリティソリューションを選択 してください。自動通知により、ユー ザが同じ過ちを何度も繰り返すことが なくなります。 3. メッセージの容量 33MBを超えるファイルの送受信を禁じま す。また、10MBを超えるファイルの送受信 は午前8時から午後7時までの間保留され、 その後配信されます。このルールについて はニーズの変化に応じて見直される可能性 があります。 また、大容量ファイルのやり取りが必 要な部署や個人に対して、容易に例外 規定を設定できる事も必要な機能とな ります。 実用面のヒント 帯域幅の使用を監視することは、使用 量のもっとも多いユーザに目を配り、 リソースの割当てを計画するために重 要です。 定期的に大きなファイルを送ることの 多い部署がないかどうか考えてくださ い。クリアスウィフトでは、特定の部 署向けの補足ポリシーを作成し、それ に従ってMIMEsweeperのフィルタを 設定します(きめ細やかなポリシー管 理に役立ちます) 。 4. 電子メールの法的リスクへの注意 技術面のヒント 著作権のあるコンテンツや、持ち出し を禁じられた会計報告書、未承認の価 格見積書の社外流出を防ぐため、コン テンツの分析機能が有効です。 MIMEsweeperを使用すれば、電子 メールを分解して隠れたデータを識別 し、テキスト分析やパターンまたは フィンガープリント情報を使って、ポ リシー違反を検知することができま す。MIMEsweeperでは、コンテンツ 分析エンジンで収集された情報に基づ いて、違反のタイプに応じて異なる管 理者を指名し、通知メールを送ること ができます。たとえば、価格見積書の 流出については、営業部長に通知する ことができます。 電子メールによるメッセージは、口頭、書 面または文書によるメッセージと同様の法 的拘束力を持つ場合があります。そのため、 あるサービスの価格について電子メールで 同意する、ある製品の価格を見積もるなど、 契約に関わる、または拘束力を持つ行動ま たは文章を扱う際には、注意が必要です。 5. 著作権のあるコンテンツの取り扱い 著作権のあるコンテンツを電子メール内で 使用する場合は、著作権所有者の承認を書 面で得た上で、正確に記載してください。 こうしたコンテンツの使用に関して疑問が 生じた場合には上司に相談してください。 6. 不適切な電子メールの取り扱い 不適切な電子メールまたは不快な電子メー ルを受け取った場合や、気づいた場合、た だちに上司に報告してください。但し技術 やマーケティングに関する活動上こうした メールの収集を行う必要がある場合を除き ます。 6 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 実用面のヒント 署名を使うことで、業務上のコミュ ニケーションを個人的なメッセージ と区別することができます。これは、 コンプライアンスの問題では重要視 される場合があります。 7. 注意義務 すべての従業員は、本ポリシー遵守に関す る注意義務を負っています。ポリシーへの 違反に気づいた場合には、IT管理者や、上 司、人事担当者にただちに報告して下さい。 8. 署名ポリシー 実用面のヒント 適 切 な レ ポ ー ト 作 成 ツ ー ル (MIMEsweeperのツールなど)を使用 すれば、アーカイブ中の電子メール データの量を監視できるので、スト レージの需要に関する計画が立てら れます。 MIMEsweeperの ポ リ シ ー ベ ー ス の アーカイブ機能を使うと、関連する 電子メールだけをアーカイブするこ とにより、ストレージの使用を抑え ることができます。費用をかけてス パムを保存するというような無駄が なくなります。 7 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 弊社から社外に送信される電子メールには、 送信時に、弊社規定に沿ったスタイルの署 名を添付する必要があります。スタイルの テンプレートは、イントラネット上で参照 できます。ただし、この署名は、個人的な 電子メールに付加する事を禁じます。 9. アーカイブ 電子メールでやりとりされる内容は、弊社 の業務記録であり、クリアスウィフトに帰 属します。それらは、弊社の裁量で保存お よびアーカイブされ、使用されます。メー ル保存の目的は、バックアップではありま せん。必要なバックアップは各自で実施し て下さい。この方法について助言が必要な 場合は、地域のIT担当者に相談してください。 電子メール/インターネット使用ポリシー 実践的作成ガイド 法律に関するヒント 事業の分野や地域によって、関連法に 基づく固有の免責条項が必要な場合が あります。一例として、下記サイトで 英国のCompanies Actの概要を参照し てください。電子メールの免責条項に 関する法規が掲載されています。 www.pwclegal.co.uk/images/uk/ eng/home/CSec003%20%20Newslette r%20Nov2006v2.pdf 技術面のヒント 適切なコンテンツ フィルタリング ソ リューションを使用すれば、メール グループやユーザ グループごとに異 なる免責条項を割り当てることがで きます。 10. 送信メールの免責条項 弊社が社外に送信するすべての電子メール には、自動的に、以下の免責条項(または 類似の表現)が記載されます。 「このメールの内容は機密情報であり、送付 先アドレス以外には知られてはならない部 外秘の情報が含まれる可能性があります。 送信された目的以外に使用または開示する ことは禁じられています。対象とする受信 者でない方は、このメールを複製または配 布することも、このメールの内容に基づい ていかなる行動を起こすことも禁じられて います。明示的に規定されている場合を除 き、このメッセージに含まれる意見は送信 者個人のものであり、クリアスウィフトの 意見ではありません。また、このメールを 間違って受信された場合は、サポート・ チーム宛てに送信者を示す電子メールをご 送付のうえ、メッセージおよび添付文書は すべて削除してください。クリアスウィフ トは、クリアスウィフトのドメインから発 信された電子メールおよび添付ファイルの 転送または使用に対して、一切の責任を負 いません。 この脚注は、この電子メールのメッセージ が、 MIMEsweeper により、コンピュータ ウィルスを含むコンテンツ セキュリティの 脅威に対してスキャン済であることを示し ています。 クリアスウィフトは、クリアスウィフト製 品を使って、同社の電子メール ポリシーに 従い、すべてのメッセージ トラフィックを 監視、管理および保護しています。 クリアスウィフト、同社のソリューション およびサービスの詳細については、 http://www.clearswift.com を参照してく ださい。」 8 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 技術面のヒント インバウンド、アウトバウンドのトラ フィックと同様に、社内メールの管理 を行うことも重要です。 社内メールは、 企業のトラフィックの大部分を占めて おり、特に、従業員が個人のデバイス や記憶媒体で悪質なコードを持ち込ん だ場合には、電子メールに添付され、 拡散する危険性があります。 MIMEsweeper for SMTPにExchange managerを追加することで、ゲート ウェイ・フィルタと同じ管理コンソー ルから社内メールも処理できるように なります。このことにより、一貫性の ある、集中型のポリシーを確実に実施 できます。 11. 私用メール 私用で社外に電子メールを送信する場合、 件名欄に「Personal(私用)」と記入し、業 務外の電子メールであることを明確に示す 必要があります。 12. 社内向け免責条項 すべての社内メールには、自動的に、以下 の免責条項(または類似の表現)が記載さ れます。 「この社内メールは、最新の『電子メール、 インターネットおよびパーソナル・コン ピュータ使用ポリシー』に従って、セキュ リティ違反、コンプライアンス、風評によ る損失、業務のパフォーマンス、法的責任 に対して、MIMEsweeper for Exchangeによ りスキャン済です。 」 13. マルウェアに対する防御 ウイルス、脆弱性、マルウェアからシステ ムを保護するため、弊社では、数多くのシ ナリオを組み合わせて、こうした脅威の侵 入を防御しています。この中には、アンチ ウィルス チェック、スパムのチェック、実 行ファイル、スクリーン セーバー、バッチ ファイルなど各種ファイルのブロックも含 まれます。 9 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 技術面のヒント 過激な表現による悪口などのチェック は、IT部門の本来の職務ではないため、 こうしたるルールに関する違反につい ては人事部門など適切な部門に管理責 任を委譲する企業が増えています。そ の場合にはこうした管理ニーズに対応 可能な柔軟なソリューションが必要と なります。また、過激な表現は日本語 以外のメールにも出現しますので、多 言語対応も重要な要素となります。 MIMEsweeperではルール毎に異なる 管理権限、違反通知の受信者を設定可 能、また、多様な言語で記載された過 激な表現を検出できます。 技術面のヒント MIMEsweeperでは、ポリシー違反へ の対処方法を自由に定義することがで きます。ブロック、保留、管理者への 警告、ユーザへの警告、違反の記録、 またはこれらを任意の組合せで設定で きます。 14. 過激な表現 過激な表現とは、侮辱につながるおそれの ある言葉を指しています。クリアスウィフ トは、過激な表現について、電子メールの スキャンおよび監視を積極的に行っており、 検出時には、以下のようなメッセージが届 く場合があります。 受信時: 「あなた宛ての電子メールが過激な表現を含 むと判断されたため、弊社の電子メールポ リシー違反になるおそれがあります。当該 メールは<件名>に関するもので、<送信者> によって送信されたものです。 この電子メールが正規の業務のためのもの で、内容に過激な表現が含まれないと考え られる場合は、確認のため IT ヘルプデスク までご連絡ください。 保留された電子メールは、5日以内に開放の 要求がない場合削除されます。 」 送信時: 「あなたの<件名>に関する<受信者>宛ての電 子メールには過激な表現が含まれ、弊社の 電子メール・ポリシー違反になるおそれが あるため、<保留エリア名>に保留されてい ます。この電子メールは保留されており、 受信者宛てに送信されていません。 この電子メールが正規の業務のためのもの で、内容に過激な表現が含まれないと考え られる場合は、確認のため IT サポートまで ご連絡ください。メッセージは<地域の MIMEsweeper>によって保留されました。 」 弊社の電子メールでユーザが過激な表現を 使用したり流布したりすることは禁じられ ています。ただし、その電子メールが、ソ フトウェアのパフォーマンス検証のため、 承認のうえ実施される試用またはテストの 一部であり、事前に『補足ガイドライン』 に署名済であるか、過激な表現を含む電子 メールがポリシー違反の証拠として上司に 転送される場合は除きます。電子メール内 で過激な表現を濫用することは、懲戒処分 の対象と見なされます。 10 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 技術面のヒント ポルノ関連のコンテンツを検出するに は画像のフィルタリングが有効です。 MIMEsweeperには、ポルノなどの画像 を検出するプラグインIMAGEmanager を統合することが可能です。 実用面のヒント IMAGEmanagerはポルノ画像のみな らず、機密情報である設計図や、新 製品、パッケージ、キャンペーンに 関する画像などについても、登録し 検出することが可能です。 技術面のヒント 保留されたスパムを、受信者が各自で 管理できれば、管理者の負荷が大幅に 削減されます。但し違反に対する監査 のため、全ての活動を記録することを お勧めします。 11 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 15. 不適切なコンテンツ クリアスウィフトは、ポルノまがいのコン テンツに対して、電子メールやインター ネットの情報のスキャンおよび監視を積極 的に行います。ポルノまがいのコンテンツ が検出された場合削除されます。ポルノや 差別的なコンテンツ(種族的出身、性別、 性的指向、宗教、人種、障害、年齢などに 基づく差別など)をユーザが所有または流 布することは、違法行為と見なされます。 受信した電子メールにこのようなコンテン ツが含まれ、ユーザに配布されている場合 は、地域のIT管理者に報告してください。 どのようにしてネットワークに侵入したか、 発信源はどこかを特定します。 16. PMM(保留メールの個人管理ツール) スパムメールは、MIMEsweeperによって、 受信拒否または保留されます。保留された メールはPMM(保留メールの個人管理ツー ル)にアクセスすることにより閲覧し、必 要に応じて個人のメールボックスに配信す ることが可能です。 PMMにメールが保留された場合、1日1度 受信者あてに通知メールが送信されます。 電子メール/インターネット使用ポリシー 実践的作成ガイド 17. 個人用電子メールID 私用・業務如何に関わらず他人のメールIDを 使って電子メールを送受信することは禁じら れています。『補足ガイドライン』に署名済 みのユーザであれば、テストのために、架空 のIDの使用を認められる場合があります。 18. メールボックスへのアクセス 自分の不在中や雇用期間終了後に、会社の 他の人が自分のメールボックスへのアクセ スが必要になる場合があること、自分が利 用できないときのために、業務目的による メールボックスへのアクセス権を同僚に持 たせるのは妥当であるということを認識し て下さい。 こうしたアクセスの必要性については人事 部長が判断し、IT部門と必要な調整を行い ます。 19. 暗号化された文書およびファイル 技術面のヒント 暗号化されたファイルは、あらゆる種 類の脅威を運ぶ可能性があります。 MIMEsweeperではポリシーによって 暗号化を制限できます。特定のグルー プや特定の種類のファイルのみに使用 を限定し、暗号化されたトラフィック をすべて追跡します。また、法務部門 から暗号化サーバーに送信し、そこか ら弁護士に送信というルーティングを 自動化できます。 暗号化された文書やファイルを、送信する 電子メールに添付してはなりません。特別 な事情により暗号化が必要な場合には、関 係役員の承認が必要になります。暗号化さ れたメッセージが送信された場合は、以下 の通知メッセージが送信者に送信されます。 「あなたが送信した電子メールは、暗号化さ れた情報が含まれていると判断され、弊社 の電子メール・ポリシー違反のおそれがあ ります。電子メールは<件名>に関するもの で、<受信者>宛てに送信中です。 この電子メールが正規の業務のためのもの で、この形式で送信することが必要と考え られる場合は、関係役員に連絡し、当該役 員から IT サポートに、そのメールの配信を 依頼してもらってください。 保留された電子メールは、5日以内に配信の 要求がない場合削除されます。」 12 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 20. 機密の電子メール 正当な業務上の理由がある場合を除いて、 機密の電子メールを、送信者の明示的な許 可なく他者または組織に転送してはなりま せん。著作権が作成者に属していることを 念頭に置き、電子メールが転送されること について作成者が反対しないかどうか考慮 すべきです。ユーザは、電子メールで転送 されるクリアスウィフトの機密情報に対し て、機密を保持し、機密を損なうような行 動をとらないためにあらゆる措置を講じる よう、常に意識しておくことが必要です。 21. 社内におけるスパム行為 技術面のヒント ウイルス スキャンは、コンテンツ セ キュリティに不可欠です。しかし、アン チウイルス スキャナは既知のウイルス しか識別できません。MIMEsweeper は、コンテンツ フィルタリング機能に より、アンチウイルス スキャナを補 完することでゼロデイ攻撃に対する防 御を提供し、定義ファイルが発行され る前にウイルスやワームをブロックす ることができます。MIMEsweeperは、 メッセージを構成要素のレベルまで再 帰的に分解し、悪意の疑いのあるコー ドを特定します。その後、アンチウイ ルス スキャナに送り、既知のマル ウェアをチェックします。 13 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 同僚に対して、チャリティ・イベント、商 品の販売などに関する個人的な電子メール を一斉配信するといった、スパム行為を禁 じます。ただし、誕生日や結婚式など、特 別な機会に関する電子メールは許容されて います。クリアスウィフトのイントラネッ トには、特にこのようなコミュニケーショ ンのために設計された領域が用意されてい ます。 22. 悪質なコードおよびウイルス 事前に書面による同意を得ている場合を除 いて、悪質なコードやウイルスを含む電子 メールを他社その他の外部に送信してはな りません。書面による同意は電子メールに よるものでもかまいません。 電子メール/インターネット使用ポリシー 実践的作成ガイド 法律に関するヒント 従業員の電子メール・トラフィック は監視可能であり、監視下に置かれ ることを、全従業員が認識すること が不可欠です。 23. スキャンおよびモニタリング クリアスウィフトは、(個人的な電子メール も含めて)あらゆる電子メールをスキャン し、弊社の利益を保護するため、ランダム にモニタリングを実施します。これは、こ のポリシーを実施し、弊社のネットワーク の実効性、完全性およびセキュリティを維 持するために行われるものです。弊社では、 特に、以下のような状況で、ユーザの電子 メールをモニタリングする場合があります。 ■ 従業員が不在、または従業員の雇用期間 が終了し、業務の円滑な運営のために メールをチェックする必要があるとき。 ■ ユーザが、人種差別用語やヌードを含 むコンテンツなど、不快または違法な コンテンツを表示または送信したこと が疑われるとき(ユーザがうっかりその ようなコンテンツを受信する可能性が あることは理解しているので、そのよう な場合は説明の機会が与えられます) 。 ■ ユーザが私用メールを大量に送信また は受信したことが疑われるとき。 ■ ユーザが、弊社に不利益な電子メール を送信または受信していることが疑わ れるとき。 ■ このポリシーに対する違反が疑われる とき。 ■ 当局または法規上の指示により必要な とき。 14 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド Webおよび インターネットの 使用 1. インターネットへのアクセス クリアスウィフトは、ユーザの業務を目的 として、クリアスウィフトのコンピュータ・ システムを介してインターネットへのアク セスを提供しています。ユーザの勤務時間 外や所定の休憩時間中の、これ以外の目的 のインターネットの使用は、このポリシー に準拠した正当な理由による使用を例外と して、厳しく禁じられています。あらゆる 接続は、MIMEsweeper Web Applianceによ り監視およびスキャンされ、これを回避す ることはできません。ただし、事前にIT部 門による明示的な許可を得ているか、『補足 ガイドライン』に署名済である場合を除き ます。 2. 好ましくないサイト 以下のサイトへのアクセスはほとんどの場 合、許容できない行為と見なされます。下 品、不快(人種差別用語や性差別用語、 ヌードを含むものなど) 、ポルノ、わいせつ、 人種差別または違法行為に該当する、また はその可能性のあるサイトへのアクセス。 犯罪の手法やギャンブル、違法ドラッグに 関するサイトも含まれます。ここに挙げて いるものがすべてではありません。しかし、 ブロックを保証することはできないため、 不適切または不快なサイトにアクセスする ことは可能です。もしアクセスしてしまっ たら、詳細調査のため、ただちにIT部門に 報告してください。 実用面のヒント Webを利用したコミュニケーション が拡大する中で、企業は新世代の Webベースの攻撃、スパイウェア、 アドウェア、ウイルス感染などのリ スクも拡大しています。こうしたリ スクを回避するには、効果的なセ キュリティポリシーの策定とポリ シーに沿った使用制限が必要となり ます。 実用面のヒント 電子メールの場合と同様に、単に禁 止サイトを指定するだけでなく、ど のようなサイトが望ましくないのか 「定義」を明確にしましょう。 実用面のヒント Webメールは、人気が高まりつつあ る媒体ですが、電子メールフィルタ では対処できません。多くの企業で はWebメールの使用を禁止していま せん。私用と業務のメールトラ フィックを分ける手段として、Web メールを私用メールに使うよう積極 的に勧めている場合も見られます。 Webメールの使用を許可しながら、セ キュリティを確保するにはMIMEsweeper Web ApplianceのようなWebフィルタ リングが効果的です。 Web 2.0サイトの使用は、いまや職場 で広く行われています。企業は、不 注意によるデータ流出や不適切また は中傷的な言葉の使用から自社を防 御すると同時に、このようなサイト の安全な使用を実現するポリシーを 導入することが必要です。 15 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 3. ブログ 弊社は、ブログに対するすべての投稿を監 視およびスキャンします。ユーザが、人種 差別用語や中傷的な文章、ポルノなど、不 快または違法な内容を投稿していることに 弊社が気づけば、懲戒処分の対象と見なさ れる可能性があります。また、弊社の評判 を損なうコメントの投稿や、弊社、従業員 または取引先に関する機密情報の暴露が行 われた場合も、懲戒処分の対象となる可能 性があります。 4. 企業のリソース ユーザが通常の勤務時間外に企業のリソー スからインターネットを個人利用すること は許可されていますが、弊社のインター ネット・アクセスのパフォーマンスを低下 させるおそれがあるため、大容量データの ダウンロードには注意が必要です。 技術面のヒント 電子メールと同様、Webフィルタリン グ製品にも、ユーザを認識しユーザに 合わせたポリシーを適用する機能が必 要です。たとえば、ドライバやアプリ ケーションのダウンロードを原則禁止 する場合でもIT部門では、それが必要 である場合もあります。 技術面のヒント URLブロックは、包括的なWebセキュ リティ戦略の最初のレイヤーにすぎま せん。MIMEsweeperのWebソリュー ションは、アップロードまたはダウン ロードされる全てのコンテンツを監視 するコンテンツ フィルタリング エン ジンを備えています。URLフィルタリ ング機能と連携し、より高精度なWeb セキュリティを実現します。 実用面のヒント ブログ、Wiki、SNSなどのWeb 2.0ア プリケーションによるコミュニケー ションの増加は、企業にとって新たな リスク要因となっています。こうした コミュニケーションのビジネス上の利 点を損なうことなく、リスクを最小化 するようなポリシーが必要です。 技術面のヒント MIMEsweeper Web Applianceでは、完 璧な監査証跡およびレポート機能が提 供されるため、企業全体にわたって Webの使用状況およびセキュリティ実 施状況の把握が可能です。 16 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 5. ソフトウェアのダウンロード 技術面のヒント MIMEsweeperでは、Webサイトへのア クセスをブロックした際に、どのポリ シーに違反したのかを表示させること ができます。従業員があらためてポリ シーを参照する事により日常的にポリ シーの認知向上を図る事が可能です。 実用面のヒント フリーウェアやシェアウェアに関する ポリシーも重要です。特にスパイウェ アやアドウェアは、セキュリティ問題 の主要な発生源となります。しかし、 情報システム部門にとっては、シェア ウェアのダウンロードを行うことが必 要な場合もあります。こうした場合、 原則的にダウンロードを禁止するファ イルタイプでも、必要な部署には許可 できるような現実的なポリシー設定が 必要となります。 インターネットからの情報のダウンロード には、きわめて注意が必要です。ユーザは、 以下の事項を検討しなければなりません。 ■ 情報/画像/ソフトウェアをダウン ロードして自分の好きなように使用し てよいという、所有者の明示的な許可 を得ているでしょうか? 所有者の許可 なくダウンロードすると、著作権の侵 害になる場合があります。 ■ ソフトウェアを使用またはダウンロー ドするためにソフトウェア・ライセン スが必要でしょうか? 業務のためにラ イセンスが必要な場合は、インストー ルやライセンス条項の承諾を行う前 に、情報システム部門に連絡して承認 を得る必要があります。ユーザには注 意義務があります。ライセンス条項へ の適合性を確認せずに、弊社のシステ ム上でソフトウェアの評価やインス トールを行うべきではありません。ラ イセンスを得ずにソフトウェアを使用 すると、企業に責任が生じる場合があ ります。 一般的にフリーウェアやシェアウェアは個 人利用では無料ですが、商用利用の場合ラ イセンスが必要になるということに、注意 する必要があります。そのため、通常の職 務に役立つ所定のフリーウェアやシェア ウェアのダウンロードおよびインストール は、このようなインストールがプロバイダ のライセンス条項に従って行われる場合の み、ユーザに許可されます。ライセンス条 項が不明な場合や、ライセンス条項の中に 弊社が許容できない内容が含まれると考え られる理由がある場合は、条項への同意や ソフトウェアのダウンロードを行う前に情 報システム部門に連絡する必要があります。 業務上妥当な理由により使用するソフト ウェアを購入する必要がある場合、ユーザ は、弊社の所定のポリシーに従って、購入 の承認を得る必要があります。 17 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 6. 過激な表現 技術面のヒント ウィルスは、多くの場合、一般に広く使 用されている種類のファイルの中に潜 み、Webからダウンロードされるのを 待っています。既知のウィルスをスキャ ンすることも重要ですが、不正コード のあらゆる特質を備えた未知の人工物 を検知するため、ファイル全体をフィ ルタリングすることも重要です。 クリアスウィフトでは、過激な表現につい て、インターネットへのアクセスを積極的 にスキャンおよび監視しています。検知さ れた場合には、以下のようなメッセージが 届く場合があります。 「要求されたURLは、過激な表現に関する弊社 Webポリシーに違反するため、MIMEsweeper Web Applianceによりブロックされました。 このページを弊社ポリシーの対象外にすべ きである、またはこのページが業務に不可 欠であると判断される場合は、 IT サポート までお問い合わせください。」 誤ってブロックされたと思われる場合は、情 報システム部門までお問い合わせください。 クリアスウィフトでは、犯罪手法、差別発 言、暴力、ポルノなど、特定分野のWebサ イトを積極的にブロックしています。この ようなWebサイトにアクセスしようとする と、以下のような警告が表示される場合が あります。 「要求されたURLは、弊社Webポリシーに違 反するため、MIMEsweeper Web Appliance によりブロックされました。 このページを弊社ポリシーの対象外にすべ きである、またはこのページが業務に不可 欠であると判断される場合は、 IT サポート までお問い合わせください。」 そのURLが業務に関係すると思われる場合 は、確認のため情報システム部門までお問 い合わせください。 7. 添付ファイル MIMEsweeper Web Applianceは 、 以 下 の ファイルを含む特定の種類のファイルの アップロードをブロックします。 ■ Word ■ Excel ■ PDF Webブラウザを介して、これらのファイル のどれかを電子メールに添付しようとする と、以下のような警告が表示される場合が あります。 「要求された以下のファイルは、アップロー ドが認められていない種類のファイルであ るため、MIMEsweeper Web Applianceによ りブロックされました。」 8. 登録 業務に関係のないWebサイトの個人利用は 許容されています。ただし、連絡先として 登録する電子メール・アドレスはクリアス ウィフトのアカウントではなく、従業員個 人の電子メール・アカウントを利用してく ださい。 実用面のヒント ポリシーでは、禁止事項を特定する だけでなく、許容できるものを明確 化することもできます。 18 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 実用面のヒント 従来の多くのポリシーには、ワイヤ レスのネットワーク、PCおよびラッ プトップの使用に関する規定があり ません。ここに示す最適なポリシー を使用すれば、将来的にWebまたは 電子メールの使用時に浮上する多く の問題を回避することができます。 技術面のヒント USBメモリからのファイルのアップ ロードに対する保護などのエンドポイ ント・セキュリティは、コンテンツ・ セキュリティの重要な部分です。 MIMEsweeperによる新世代のエンド ポイントへの取り組みについては、 クリアスウィフトにお問い合わせく ださい。 9. 監視 クリアスウィフトは、Webブラウザによる すべてのインターネット・アクセスを監視 およびスキャンしています(Webブラウザ による私用メールも含みます)。これは無作 為に実行されるか、または実施すべき正当 な理由があると弊社が判断した場合に実行 されます。以下のような場合が含まれます (ただし限定されません) 。 ■ 従業員が、人種差別用語やヌードを含 むコンテンツなど、不快または違法な コンテンツを表示していたと疑われる とき(ユーザがうっかりそのようなコ ンテンツを表示する可能性があること は理解しているので、そのような場合 は説明の機会が与えられます) 。 ■ 従業員が、業務と関係のないWebサイ トの閲覧に過剰に時間を費やしている ことが疑われるとき。 ■ 従業員が、インターネットを使って、 私用メールを大量に送信および受信し ていることが疑われるとき。 ■ このポリシーに対する違反が疑われる とき。 19 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 機密データの 取り扱い 1. 機密データ クリアスウィフトの従業員に関連するデー タはすべて機密情報と見なされます。以下 のものが含まれます(ただし限定され ません) 。 ■ 従業員名、自宅住所、個人の詳細な連 絡先 技術面のヒント MIMEsweeperのパターンマッチング は、特定のデータを認識するように設 定可能で、これにより、不注意および 故意による社会保障番号、 顧客データ、 クレジットカード番号などの漏えいを 防止することができます。 ■ 社会保障番号や国民保険番号、または 類似のもの ■ 年齢、生年月日 ■ 銀行取引の詳細 ■ 健康管理歴 ■ 諸手当を含む人事ファイル 2. 従業員データ 権限を持つ担当者のみ、従業員データの参 照または共有が許可されます(自分に権限 があるかどうかについては契約内容を確認 してください) 。 3. フィルタリングおよび監視 弊社は、従業員データの不正流出を検知す るため、コンテンツ フィルタリングを用い て、すべての電子メール、WebおよびIMの トラフィックを監視します。 技術面のヒント MIMEsweeperでは、フィンガープリ ンティングおよびパターンマッチング 技術を用いて、社会保障番号、国民保 険番号、従業員または顧客関連の情報 など、既知の構造を持つデータを識別 し、偶然または故意による情報漏えい を防止します。 20 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 法律に関するヒント 業務を展開する地域のデータ保護法を 調べ、ポリシーが適合しているかどう か確認してください。 技術面のヒント すべてのWebおよび電子メールのト ラフィックで、パターンマッチング技 術を用いて弊社のクレジットカード番 号を検出します。指定されたリストの サプライヤのWebサイトでのみ、弊 社のカードによる取引が行えるよう、 ポリシーを設定することが可能です。 4. 顧客データ クリアスウィフトの顧客に関連するデータ はすべて機密情報と見なされ、データ保護 に関する法規によって保護されます。弊社 は、これらの法規に対するいかなる違反に ついても、起訴や罰金の対象となる可能性 があります。顧客データには、以下のもの が含まれます(ただし限定されません) 。 ■ 顧客名、住所、詳細な連絡先 ■ 購入履歴、好み、取引データ ■ クレジットカードや銀行口座の詳細情 報など、支払に関する情報 クリアスウィフトの従業員は、いかなる顧 客データも、社外の受信者に送信すること を許可されていません。弊社は、違反を検 知および起訴するため、コンテンツフィル タリングを用いて、すべての電子メール、 WebおよびIMのトラフィックを監視します。 従業員が顧客データをリムーバブル・メ ディアに複製することは許可されていませ ん。ラップトップ、CD、ハード・ドライブ、 PDA、MP3プレーヤー、USBキーなどがこ れに含まれます。 ■ 詳細については、クリアスウィフト のデータ保護ポリシーを参照してく ださい。 ■ クリアスウィフトは、承認されたサイ トを除いて、オンライン購入に弊社の クレジットカードを使用することを許 可していません(付録参照) 。 ■ 弊社は、許可されていないサイトで弊 社のクレジットカードが使用されるこ とを防ぐため、Web取引を監視します。 21 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 違法行為への措置 このポリシーのいかなる部分に対する違反 も、重大な規律違反と見なされ、相応の処 分が下されます。甚だしい違法行為と見な されるおそれのある違反行為(このリスト に含まれるものがすべてではありません) や、即時解雇につながるおそれのある違反 行為は以下のとおりです。 ■ 暴力的、下品、違法または中傷的な メッセージやコンテンツの送信または 転送。 ■ いじめ、ハラスメント、脅迫につなが る可能性のあるメッセージの送信また は転送。 ■ 無許可による、弊社の機密情報の送信 または転送。 法律に関するヒント 違反発覚時の処分は、ポリシーのもっ とも重要な部分の1つです。懲罰また は起訴を行う権限があることを明確に しておきましょう。 ■ 通常の勤務時間内に、私用メールや、 業務に関連のないWebサイトの閲覧が 多すぎる。 ■ ディスク、CDまたはDVDを、ウィル ス チェックを行わずに弊社のコン ピュータに挿入する。電子メール経由 やWeb経由でのファイルのダウンロー ドにより、弊社のコンピュータ システ ムにウィルスを持ち込む。 ■ 弊社に対するクレームにつながる、電 子メールまたは弊社のコンピュータ シ ステムの不正使用。 ■ インターネット上のポルノやその他の 違法なコンテンツへのアクセス、その ようなコンテンツの流布。 ■ 著作権のあるコンテンツの、無許可に よる複製または修正。 ■ ソフトウェアまたはファイルの、無許 可によるダウンロード。 ■ 犯罪行為を目的としたインターネット の使用。 ■ ハッキング、その他1990年コンピュー タ不正使用法(Computer Misuse Act 1990)に対する違反行為。 重大性の比較的低いケースでは、そのユー ザの、コンピュータからインターネットへ のアクセス権が剥奪されるなどの懲戒処分 が行われます。 法律に関するヒント 全従業員にポリシーに署名および日付 を記入させることが不可欠です。この ポリシーは単なる勧告的な文書ではな く、契約です。 承認 私は、クリアスウィフトのコンピュータ、 電子メールおよびインターネット・システ ムの使用について規定する、クリアスウィ フトの『電子メール、インターネットおよ びコンピュータ使用ポリシー』 (2005年12月) の規則および条件を読み、理解したうえで 準拠することに同意しました。このポリ シーに対する違反は、懲戒処分または法的 措置につながる可能性があることを理解し ています。 署名: .......................................................... 氏名(活字体)............................................. 日付: .......................................................... 22 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド 法的免責条項 クリアスウィフトは、法的助言を提供しま せん。この文書で提供されている法律に関 するヒントはすべて情報提供のみを目的と しており、法律に関するヒントを採用する 際には、事前に正規の法律顧問に適切な助 言を求める必要があります。この文書は、 単なるサンプル文書です。この文書は、ク リアスウィフトのポリシー文書とは異なる 可能性があります。クリアスウィフトのポ リシー文書に変更が加えられても、この文 書は変更されない場合があります。この文 書の全体または一部を使用する場合は、い かなる部分または全体についても、クリア スウィフト株式会社、または、親会社、関 連企業、子会社、相続人、権利継承者に責 を負わせることはできません。この文書は、 社内使用の場合に限って使用および複製が 認められています。料金や利益の有無にか かわらず、サードパーティに提供すること や、サード・パーティに提供されるサービ スに関連して使用することはできません。 23 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved. 電子メール/インターネット使用ポリシー 実践的作成ガイド クリアスウィフトへのコンタクト 米国 スペイン オーストラリア 100 Marine Parkway, Suite 550 Cerro de los Gamos 1, Edif. 1 Ground Floor, 165 Walker Street, North Sydney, Redwood City, CA 94065 28224 Pozuelo de Alarcon, Madrid New South Wales, 2060 電話:+1 800 982 6109 | ファックス:+1 888-888-6884 電話:+34 91 7901219 / +34 91 7901220 | ファックス:+34 91 電話:+61 2 9424 1200 | ファックス:+61 2 9424 1201 7901112 英国 日本 1310 Waterside, Arlington Business Park, Theale, ドイツ 〒105-0011 東京都港区芝公園1-2-9 ハナイビルディング7F Reading, Berkshire, RG7 4SA Amsinckstrasse 67, 20097 Hamburg 電話:+81 (3) 5777 2248 | ファックス:+81 (3) 5777 2249 電話:+44 (0) 11 8903 8903 | ファックス:+44 (0) 11 8903 9000 電話:+49 40 23 999 0 | ファックス:+49 40 23 999 100 2007 Clearswift Ltd. 本内容の無断転載を禁じます。Clearswiftのロゴ、およびMIMEsweeperTM、MAILsweeperTM、e-SweeperTM、IMAGEmanagerTM、REMOTEmanagerTM、SECRETsweeperTM、ENTERPRISEsuiteTM、ClearPointTM、 ClearSecureTM、ClearEdgeTM、ClearBaseTM、ClearSurfTM、DeepSecureTM、BastionTM II、X.400 FilterTM、FlashPointTM、ClearDetectTM、ClearSupportTM、ClearLearningTMおよびSpamLogicTMを含むClearswiftの製品名は、Clearswift Ltd.の商標 です。その他のすべての商標は、各所有者に帰属します。Clearswift Ltd.(登録番号3367495)は、英国にて下記の住所で登録されています:1310, Waterside, Arlington Business Park, Theale, Reading, Berkshire RG7 4SA, England 24 Clearswift Toolkit Series © 2007 Clearswift Limited. All rights reserved.
© Copyright 2024 Paperzz