Eメールは、多くの組織で主要な通信手段となっているため、使用方法に関する規則を設定することが不可欠となっています。
ダウンロード Four Easy Steps to Email Compliance
Chief Information Officers and IT managers in the highly regulated health and financial industries or in large, publicly traded organizations are usually well aware of what is required for email compliance. For privately held or smaller companies and non-regulated industries, email compliance is often unclear and the apparent complexity and serious consequences for violators can make the task of complying seem daunting. 今すぐダウンロード
厳格に規制される健康・保健業界や金融業界、また大規模な株式公開企業では、CIO (最高情報責任者) や IT 管理者は、通常、メールポリシー準拠に必要となる事柄を熟知しています。しかし、株式非公開企業や中小企業、および規制の少ない業界では、メールポリシーは、しばしば明確に規定されておらず、複雑に見える作業内容や違反者に対する深刻な処罰など、ポリシー準拠のタスクは骨の折れるものと受け止められています。
しかし、この懸念は、おおむね正当ではありません。ほとんどの組織にとって、ポリシー準拠は、正規に定められた規約と、一般に受け入れられている倫理基準と対策方法への準拠を共に保証するよう、明確に定義された正規のガイドラインの下で活動することにより達成されるものです。これらのガイドラインにはまた、過失によるものかどうかに関わらず、基準からの逸脱に対する処置も含まれていなければなりません。ガイドラインが存在しない場合、 監査 (または電子的情報開示 - eディスカバリ)、また事態がより深刻な場合は法的調査に対する、明確かつ有効な対処がきわめて難しくなります。ここでは、Eメールに関連するコンプライアンスついて考察し、メールインフラ* の管理に必要な、わかりやすくシンプルなガイダンスを提供します。
1. メール使用に関する明確なルールを設定する
Eメールは、組織にとって中核を成すコミュニケーションツールであり、組織内外の通信を行うにあたり日常業務の大部分がこのツールに依存しています。Eメールには、企業の業務記録が 80% も含まれることがあるため、その使用方法に関するルール設定は必須です。
まず、メール使用の行為に対する明確でわかりやすいフレームワークを定義し、許容される行為とそうでないものを取り決めることから始めます。ポリシー使用の監査とルールの施行が可能で、明確に設定された組織規模の Acceptable Use Policy (AUP) は、 規約遵守の意思表示を示す第一歩であり、法的責任の追求を避ける上で大いに役立ちます。以下に、一般的なルールの例を示します。
- ポルノ画像を含むメールを転送・送信しない
- 添付ファイルの容量を 5MB 以下とする
AUP が存在することにより、それが、メール通信に関わる地域レベル、地方レベル、国家レベル、そして国際レベルでの幅広い法規に確実に準拠しているかの確認に集中することができます。
多様なポリシーのサンプルは、Forrester や IDC、Gartner といった業界アナリストによってオンラインで提供されています。
2. メールによるデータ損失を防ぐ
ご使用のシステムに保存されているデータは、貴重なビジネス情報です。機密情報が、外部または時として組織内部へ、偶発的または故意に漏洩しないよう、データを注意深く保護する必要があります。 AUP で保護プロセスの一部を提供することはできますが、新規や離職間近の従業員、注意散漫または不満のある従業員などは皆、不注意に (あるいは悪意をもって) データのセキュリティを脅かす危険性を抱えています。
従業員の意図や善意にかかわらず、データの損失を防ぐためには、一括管理できる自動システムを導入することが不可欠といえます。このソリューションには、以下の機能が必要とされます。
- 添付ファイルの種類により、メールをブロックする
- メッセージ内で特定のキーワードを検索する
- 送受信メールすべてに免責事項とバナーを追加する
- メッセージを暗号化して、意図した受信者のみが読めるようにする
- メールシステムが、未知の悪意あるユーザーによって悪用されていないことを確認する
3. 過去・現在のトラフィックに対する可視性とアクセスを維持する
組織全体で受信するメール、送信されるメール、および回覧されるメールについて把握し、責任を持てる必要があります。これはすなわち、次のことを意味します。
送信者、受信者、送信内容、送信日時が記録されたログ情報を含む、適切なメール通信のアクセス可能な記録を保持することです。
- 外部・内部の機密内容のメッセージをコピーまたはアーカイブする
- 違反行為を犯しているメッセージに割り込み、ルール施行の責任者に転送することにより、損失が引き起こされる事態を避け、回復のための努力が行われるようにする
すべてのメールに機密情報が含まれているわけではないため、すべてのメールをアーカイブ/暗号化する必要がはないことを認識することは重要です。お客様の管轄範囲により、メール通信のコピーを保存しなければならない期間にも制約があります。
事実、大量のメールの保存とアクセスに掛かる費用を考えると、アーカイブ/暗号化をする必要のあるメールや、それを保存する期間の決定には適切な判断が必要となります。
4. スパム、フィッシング詐欺、マルウェアを削除する
ウイルス作成者が、ユーザーのコンピュータや組織のシステムにマルウェアを送り込む主な手段の 1つは、メールを経由することです。スパムは、検出を避け、企業や個人の機密情報を盗むために、キーログ型トロイの木馬をドロップしたり、悪意ある Web サイトにリンクするなど、多様な方法を使用して急速に変化します。
マルウェア、ウイルス、スパイウェア、およびシステムやデータの整合性に対する他の脅威から、ご使用のメールインフラを確実に保護し、またそれを実証できることが大切です。そのためには、マルウェア、スパム、サービス拒否 (DoS) 攻撃、そしてメールアドレスの取得などをブロックするソリューションが必要となります。
メール受信の地点から 内部メールサーバーおよびクライアントマシンに至るまで、あらゆる地点で脅威をブロックすることにより、データ損失に関わる外部リスクのほとんどが除去されます。お客様の AUP は、残る内部リスクを防ぐ上で、大いに役立ちます。
*免責事項: この文章は、各組織が直面すると考えられるポリシー準拠関連問題に対する、専門的または法的なアドバイスを置き換えるものではありません。ソフォスは、各組織で必要となる事柄を確立するため、認定されたポリシー準拠専門家にご相談されることを強くお勧めしています。