1. HOME
  2. ブログ
  3. Blog
  4. VPN(仮想プライベートネットワーク)AUP(利用規約)

Info.

お知らせ

Blog

VPN(仮想プライベートネットワーク)AUP(利用規約)

VPN(仮想プライベートネットワーク)AUP(利用規約) のページ写真 1

トピック: コロナウィルス(COVID-19)リモートワーク、VPN(仮想プライベートネットワーク)

2020年5月28日、Christine Barry

リモートワークは新しいものではありませんが、リモートワークが過去数か月間にわたって大幅に拡大していることに誰も異論はないでしょう。4月のCNBCとChange Researchの合同調査によると、米国人の42%は完全に、19%は初めて在宅勤務しています。

また、従業員の44%は、引き続き在宅勤務したいと考えているか、オフィスに戻りたいかどうかがわかっていません。Twitterは自社の従業員がオフィスに戻る必要はないことをすでに発表しています。また、ガートナーが3月30日に企業経営者を対象に実施した調査によると、ほとんどの企業はパンデミック前のオフィス勤務者の5%以上が永久的な在宅勤務者になることを期待しています。

企業は従業員をオフィス勤務から在宅勤務に性急に移行させました。ビジネス継続性と従業員の健康が優先したため、IT部門は機器の入手およびセキュアなリモートアクセスの設定を性急に行いました。今回、自社がVPNによるリモートアクセスの大規模な使用を初めて導入または許可している場合は、VPN AUPを評価することもできます。

VPN AUPが必要な理由

VPNは暗号化された接続によってオフサイトユーザを企業ネットワークに接続します。理想的には、ユーザは、最小権限の原則に従って、必要なリソースにアクセスできます。VPNが適切に導入されると、オフサイトユーザは企業のローカルネットワーク上でオンサイトのように操作を行うことができます。

企業のAUPは、VPNの使用に十分に適用できますが、別のポリシーとして管理することもできます。

VPN AUPの内容

VPN AUPに必要な特定のドキュメントはありません。オンラインには、使用されている実際のポリシーと着手に役立つカスタマイズ可能なテンプレートの両方を含むVPN AUPの複数の例があります。自社を最適に保護するためのすべての項と文言を含む特定のニーズを満たすドキュメントを作成する必要があります。

VPN AUPの目的: この項では、自社にAUPが必要な理由について説明します。また、米国の連邦と州のデータプライバシーおよびセキュリティの法律、HIPAA(Health Insurance Portability and Accountability Act、医療保険の携行性と責任に関する法律)などの規制、およびオンラインの行動を規制するすべての法律に言及することもできます。

適用対象/適用性/例外/拘束力: この項では、AUPの適用対象など、下記の一般的な問題に対処します。

  • AUPが適用されるユーザ: AUPが従業員、契約従業員など、承認済みのすべてのユーザのいずれに適用されるかを指定することもできます。
  • AUPの下で条項の例外を許可しているかどうか : この項はベストプラクティスではありませんが、例外を許可する場合は、この項で定義します。
  • AUPが適用されるシステムとネットワーク: この項はサイト間VPNまたはリモートアクセスVPNです。
  • AUPに従わなかった場合の罰則 : この項は、「契約終了以下の懲戒処分」などの文言で簡潔に説明できます。

下記の「目的」と「適用対象」の項には、特定のルールがありません。たとえば、下記のとおり、米国ノースカロライナ州立大学のポリシーでは、このような項を簡潔に説明しています。

  1. 目的

本ポリシーの目的はノースカロライナ州立大学のネットワークにリモートアクセスVPNで接続するためのガイドラインを提供することです。

  1. 適用対象

本ポリシーはノースカロライナ州立大学のネットワークにVPNでアクセスするノースカロライナ州立大学のすべての教職員と学生に適用されます。また、ノースカロライナ州立大学のネットワークへの直接アクセスを許可するVPNの導入に適用されます。

下記のとおり、米国ノースイースタン大学は「目的」と「適用対象」を1つの項にまとめています。

  1. 目的と適用対象

ノースイースタン大学の情報システムは、学術および管理業務を行うコミュニティの正規のメンバーが使用することを目的としています。また、ネットワーキング、コンピューティング、および通信のすべての配線、機器、ネットワーク、セキュリティデバイス、パスワード、サーバ、コンピュータシステム、コンピュータ、コンピュータラボの機器、ワークステーション、インターネット接続、ケーブルテレビの設備、大学が所有するモバイル通信デバイス、および他のすべての中間的な機器、サービス、および設備で構成されています。このような資産はノースイースタン大学の財産です。本ポリシーではノースイースタン大学の情報システムの使用条件について説明しています。

本ポリシーは上記のリソースのすべてのユーザに適用されます。

VPN/リモートアクセスの目的: この項は、「職責を果たすという独占的目的」と同様、簡潔に説明できます。また、上記に定義されたAUP自体の目的とは異なります。

定義/頭字語/専門用語: この項は、よく理解されていない可能性がある用語をユーザが理解するために役立ちます。ドキュメントに業界用語を追加する場合は、わかりやすくするために、この項の追加を検討します。SANS Instituteのテンプレートでは、この項が、ドキュメントの最後に記載されており、SANSの用語集にリンクするように使用されています。一方、一部の例では、ドキュメントの初めの方、「適用対象」の前に記載されています。

使用ポリシー: この項では、AUPについて詳細に説明しており、複数のサブトピックがあります。下記のとおり、特定の状況に具体的に対処することが適切です。

  • ユーザはVPNの不正使用を防止する責任を負っている。一部の企業は、パスワードとハードウェアセキュリティに関する指示など、緻密にこの問題に対処している。
  • 企業のコンピュータが接続する必要があるか、企業と個人の両方のコンピュータの両方が接続できる。
  • 個人のコンピュータが接続できる場合、設定はIT部門が定義した仕様を満たす必要がある。
  • すべての企業は企業のVPNおよびネットワークポリシーに従う必要がある。
  • 承認済みのVPNクライアントのみをVPNへのアクセスに使用できる。
  • 承認済みのVPNユーザのみが、VPNにアクセスでき、企業のVPNおよびネットワークポリシーに従う必要がある。

必要な可能性がある特定のセキュリティに関する考慮事項を忘れずに追加してください。たとえば、分割トンネリングを禁止することも、リモートアクセスデバイスがエンドツーエンドの暗号化を使用するように要求することもできます。下記のとおり、米国トルーマン州立大学はネットワークへの接続に関する詳細情報を追加しています。

ユーザはネットサーフィンにVPNを使用しないものとします。VPNは通常のWebアクセスには不要です。つまり、ユーザは、トルーマン州立大学のイントラネットへのアクセスを完了したら、通常のWebアクセスを行う前に、VPNセッションを終了する必要があります。

30分間のアイドル時間が経過すると、VPNユーザはトルーマン州立大学のネットワークから自動的に切断されます。ユーザは、ネットワークに再接続するために、再度ログオンする必要があります。Pingなどの人工的なネットワークプロセスは、接続を開いたままにするには、使用しないでください。

導入/接続の手順: 一部の企業は、この項を使用して、インターネットサービスの責任者、VPN認証の動作、およびテクニカルサポートの連絡先について説明しています。ノースカロライナ州立大学のポリシーは、このすべて、および関連する他のポリシードキュメントへのリンクを含んでいます。NCSS(National Cybersecurity Society)のテンプレートは、11の項目で構成されており、さらに短いポリシーを採用しています。

適用/コンプライアンス: この項では、企業がVPN AUPを適用する方法について説明することもできます。下記のとおり、Calvin Universityは、この項を使用して、コンプライアンスを監視する方法について説明しています。

定期的なウォークスルー、ファイアウォールレポート、内部監査と外部監査、およびさまざまなセキュリティツールによるインスペクションを含むが、これらに限定されないさまざまな方法

この文言は多くのテンプレートと公開済みのポリシーでよく使用されています。

前の項でこの項に言及していない場合は、コンプライアンス違反の罰則を追加します。

関連するポリシー: VPNの使用に関連する他のポリシーがある場合は、この項で追加します。このようなポリシーはパスワードポリシー、AUP、情報セキュリティポリシーなどです。簡潔にするために、すべてのITポリシーのリストへのリンクを追加することもできます。

AUPの利点は自社に完璧に適合するように調整できることです。SANSNCSSの無料のテンプレートなど、多くの例があります。別のドキュメントを作成するのではなく、VPNポリシーを既存のAUPに追加することもできます。重要なことはVPNアクセスに適用されるポリシーがあることです。VPNによる接続は、ネットワークの拡張であり、LAN(ローカルエリアネットワーク)より少し多い要素で構成されています。明確なVPN AUPによって、自社のセキュリティを強化し、従業員が誤解によってトラブルに巻き込まれないようにすることができます。

リモートワークに関する他のブログについては、Remote Workをご参照ください。

原文はこちら:

Do you have an acceptable use policy for your VPN?

May 28, 2020 Christine Barry

https://blog.barracuda.com/2020/05/28/do-you-have-an-acceptable-use-policy-for-your-vpn/

関連記事