自社に合った「メールセキュリティポリシー」を作る5つの手順：メールセキュリティポリシーに必要なこと【後編】

自社事情を考慮した上でメールセキュリティポリシーを定めるには、何に気を付けるべきか。5つの手順に沿って検討してみよう。

[Andrew Froehlich，TechTarget]

　どのような企業にも、ビジネスや文化の独自性はある。それでも基本的なメールセキュリティポリシーは、企業によらず同一でなければならない。メールが活用する技術とそれに伴う脅威は、企業の規模や業種、成熟度に関係なく共通しているからだ。ただしポリシーの詳細な内容は、企業が自社に合わせて検討する必要がある。企業は以下の手順を踏むことで、自社に合ったポリシーを策定できる。

手順1．既存のセキュリティポリシーテンプレートを使う

　例えばセキュリティトレーニングを手掛けるEscal Institute of Advanced Technologies（SANS Instituteの名称で事業展開）は、メールセキュリティに特化したセキュリティポリシーテンプレートを提供している。同社のテンプレートには、メール保管や企業での適切なメール利用に関する項目がある。

手順2．メールセキュリティポリシーのテンプレートをカスタマイズする

併せて読みたいお薦め記事

連載：メールセキュリティポリシーに必要なこと

• 前編：「メールは危ない」と何度でも伝え続ければいけない理由と、正しい伝え方

メールセキュリティを強化する

• 「詐欺メール」がフィルタリングしても届き続ける原因は「加工画像」にあった？
• 「メールフィッシングテスト」の効果を上げる7つの要素
• 「BEC」かどうかを見分ける“怪しいメール”7つの特徴とは？

　メールセキュリティポリシー策定者は、企業のニーズに合わせてテンプレートを調整する。企業文化や規模、成熟度を理解した上で、従業員にもたらす利益が最大化するように調整するとよい。

手順3．メールセキュリティを実現する技術がポリシーに沿っているかどうかを確認する

　従業員を脅威から守る一助にできるメールセキュリティ機能は、メールセキュリティ専用ツールだけでなく、マルウェア対策ツールや暗号化ツールなどさまざまなセキュリティ製品が搭載する。企業は明文化したメールセキュリティポリシーに従って、そうしたツール／機能を導入しなければならない。

手順4．従業員がポリシーについて合意、確認するための計画を立てる

　メールセキュリティポリシーには、従業員がポリシーのガイドラインを読んで受け入れたことを確認する手段を盛り込むべきだ。これは一般的に、メールセキュリティに関する教育の実施状況把握と併せて、ポリシーの末尾に署名を求める形式で実施する。

手順5．従業員訓練とインシデント対処手順を確立する

　従業員に適切なメール利用を徹底させる。セキュリティチームが従業員からの質問への回答やインシデント対処を迅速に実行できるようにするための手順を確立させる。

企業に応じたメールセキュリティポリシーの根付かせ方

　企業の成熟度によって、メールセキュリティポリシーを根付かせるために必要な過程には大きな差がある。メールセキュリティ以外でもポリシー順守の文化が根付いている企業ならば、メールセキュリティポリシーについても従業員に理解してもらいやすい。

　ポリシー順守の文化が根付いていない企業の場合は、たとえメールセキュリティポリシーを策定したとしても、従業員がそれを厳格に守らない可能性がある。そのためポリシーの徹底にかける時間を増やさなければならない。その場合は、頻繁なメールセキュリティ研修を義務付けることが成果につながる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。