セキュリティ　ポリシー

こんばんは。 システム管理部門や管理者としての（実際に提案を行ったり行動を起こされることを想定した）ご質問ですか？　それとも一般的な参考知識のためですか？ 正直ご質問の真意（焦点）がわかりかねるので、少し困惑しています。 企業のネットワーク・セキュリティーのハナシにおいては、まず明確なセキュリティー・ポリシーがあって、その中でメールのシステムをどのような強度で運用していくかという風に考えていくのが基本で、個々のリスク（ケース）からポリシーを決定するわけではありません。 個々のケースに対する対応やルールづくりは、全社的な方向性の決定と担当部署（または委託先）による具体的なセキュリティー（システム）設計を行う中で、現場との運用面での調整を行いながら決めていくべきことです。 個々のケースについて、場当たり的に対応しようとしても、しっかりしたセキュリティー・システムと運用が出来ていなければ、必ず限界があるからです。（想定されるケースは数限りなくあるためです。） というわけで、なるべく一般的（普遍的）な考え方をもとに、説明してみたいと思います。 >>１．企業はセキュリティーポリシーの中に、SCAMについの項目をいれるべきでしょうか？また、それはなぜですか？ ↓ ？ SPAMのことでしょうか？（間違っていたら下記は読み飛ばしてください。） Yesであれば、ポリシー云々のハナシではなく、メールシステムの運用上の問題ですね。 自社あてに入ってくるスパム・メールは当然好ましくないものですから、業務に支障をきたすほどの量なら、何らかの対策を施さなくてはならないとおもいます。 具体的には、スパム遮断用のゲートウェイやソフトウェアの導入などがあげられます。 また、自社でメールサーバを運用している場合は当然「不正中継（オープンリレー）対策」を施し、スパム発信の踏み台とならないような基本的対策も必要になります。（当たり前の話ですが…。） >>２．ある企業に投資をしてください、というSPAMメールが来て、社員の一人が騙されて投資したとします。その場合、警察に届けたほうが良いのでしょうか？ ↓ ポケットマネーでやったのなら個人の問題ですから本人が解決すべき問題です。 ただし、会社のアカウントを使ってプライベートな内容のメールをやりとりしたことになりますから、それ以前の問題です。 警察より前に、まず上長に報告しますよね。（バレれば、会社に居にくくなるか、リストラの口実になるだけですね。） また、当たり前の話ですが、勝手に（決済なしに）会社の財産を流用していたなら、立派な横領（背任）罪ですから、マトモな経営者なら普通は警察に突き出すでしょうね。（会社にとってそれが損なら、クビにして終わりでしょうが。） もしも稟議が通り、決済がおりていたなら、単なる会社のミスと言うことになります。（事の重大さと処分対象者は、決済のレベルで変わるでしょうね。） 会社に話しが通っていて、全くの詐欺（犯罪）の確証があれば、被害届の提出など、刑事事件として扱うかもしれませんし、契約上のトラブルなら、民事になるかもしれません。（もちろん、企業イメージを損なうような内容なら、隠蔽するでしょうね。） >>３．企業は、そのメールがどこから届いたか調べるために特別なプロジェクトを作るべきですか？ ↓ 相手が身元を隠そうとしていた場合、メールの送信者を割り出すのは非常に大変です。（民間人ではほぼ不可能です。） というわけで、そのようなプロジェクトを作ってもあまり意味がありませんし、その必要も無いと思います。 実害があった場合は、被害届を提出し、捜査機関による解決を目指すしかありません。（もちろん、捜査協力のためになるべく多くの証拠保全と提出ができるよう、ログ保全や社内調査（経緯の記録）などを行うといった活動は必要でしょう。） しかし、その前にウィルス対策や従業員教育など、メールに関するトラブルや被害（もちろんその他のリスクについても）を防ぐことに力を注ぐべきだと思います。（事後対応になる可能性を極力低くする必要があります。） というわけで、一般的な”べき論”と現場の社員としての心がけとしては、一人一人が基礎的なセキュリティー意識をもてるように教育を徹底することが最も大切でしょう。 セキュリティーで最も大切なのは高度（高価）な仕組みや細かいルールづくりよりも、「全社的な計画に基づいた組織づくり。」「従業員の意識と教育。」「継続的で正しい運用とメンテナンス。」といった要素です。 しっかりとしたポリシーをもとに、こうした要素をクリアしていけば、おのずと個々のリスク（ケース）への対応力も上がってくるものだと思います。 以上、参考になればよいのですが…。 それでは。