許容される利用に関する方針(AUP)
許容される利用に関する方針は、Coltの情報、ネットワーク、システム、サービス、ウェブサイトおよび製品の責任ある利用を促進するために策定されています。
1. 目的
本許容使用方針は、ベンダー、サプライヤーおよびその他の第三者(総称して「利用者」)によるコルトの情報、ネットワーク、システム、サービス、ウェブサイトおよび製品(総称して「コルト情報システム」)の責任ある利用を促進し、コルトが安全で信頼性のある生産的なサービスを提供できるようにするために策定されています。
本許容使用方針は以下を定めます:
利用者がコルト情報システムを利用する際に要求される最低限の行動基準。
利用者による禁止行為。
利用者がこれらの最低基準を満たさない場合にコルトがとるべき措置。
利用者のコルトのサービス利用が第三者に対して不適切または損害を与えるものであるとの第三者からの請求に対する、利用者およびコルト双方の保護。
禁止される行為およびポリシーに記載された最低基準は完全な一覧ではないことに注意してください。
サービスを利用することにより、利用者は本ポリシーに拘束されることに同意したものとみなされます。
2. 範囲と適格性
許容使用方針 – 外部文書は、コルト情報システムの許容される利用水準およびこれら資産の保護確保に関するガイドラインを、コルトのベンダー、サプライヤーおよびその他の第三者を含む外部利用者向けに提供します。
本書で定義されたセキュリティポリシーは、コルトが全拠点およびサイトで使用する情報、データ、ソフトウェア、ハードウェアおよびネットワークを対象として確立されています。コルトに直接雇用される全職員およびコルトのあらゆる形態の契約で働く者が対象です。
以下に記載するポリシー声明は、すべてのコルトの外部企業ウェブサイトに掲載されるものとします。また、新規または更新された顧客契約にも参照されるものとします。
本ポリシーの違反を知っている、または疑う者は、自身のマネージャーまたはコルトのセキュリティチームに電子メールで報告することができます: [email protected].
3. ポリシー声明
コルト情報システムは、その意図された目的と整合する方法で使用されるものとし、合法的な目的のみに使用されるものとします。利用者は以下のような資料を送信、配布または保存するためにコルト情報システムを使用してはなりません:
適用される法令または規制に違反するもの;
他者の著作権、商標、営業秘密その他の知的財産権、または他者のプライバシー、パブリシティその他の人格権を侵害する方法であるもの;
詐欺的、わいせつ、中傷、名誉毀損、脅迫、虐待的または憎悪的な内容、あるいはウイルス、ワーム、トロイの木馬、ランサムウェアその他の有害な要素を含むもの;
商品の詐欺的な提供や虚偽、欺瞞的または誤解を招く陳述、主張または表示を含むプロモーション資料を含むもの;または
コルトまたはその従業員を刑事または民事責任にさらす可能性のある方法であるもの。
4. 許容される使用
1. 資源の合法的な使用
1. コルトは利用者に対し、コルトの指示および彼らが事業を行う各国におけるシステム、ネットワークおよび提供する可能性のあるサービスに関連するすべての法的・規制上の要件を順守することを求めます。
2. 顧客がそのような法的・規制上の要件を満たさない場合、当該顧客はそれに関連してコルトが被るまたは被る可能性のあるすべての損失、費用(弁護士費用を含む)または損害についてコルトを補償することに同意するものとします。
3. 適用法により要求される場合、コルトは警察および法執行機関に実行可能な範囲で協力する方針です。
4. コルトはそのような機関に情報を開示する権利、またはコルトのネットワークやシステムを通じて実行される潜在的な違法活動に関する懸念を明らかにする権利を留保します。
2. 電子メッセージの使用
1. 利用者は、その資源があらゆる種類の未承諾の大量メール(スパム)を送信するため、またはコルトネットワーク上にあるサイトを宣伝するために未承諾の大量メールを使用させるために利用されないようにするものとします。
2. コルトネットワークに接続されたメールサーバーは、許可されていない大量メールの送信に使用され得るオープンリレーから保護されるよう設定されるものとします。もしそのようなことが発生した場合、その送信は利用者から発信されたものと見なされます。
3. 利用者は、ヘッダー情報が改変されている、虚偽、不正確または意図的に誤ったヘッダー情報を含むメールを送信するためにコルトネットワークやシステムを使用してはなりません。
4. 会議の録画は、後日会議の内容を参照する必要がある以下の状況に限り許可されます:
業務上の必要がある場合
手順/プロセスを説明するため
研修/教育目的のため
上記のいずれかの目的でセッションを録画する場合、セッションを開始する前に参加者全員の同意を得ていることを確認してください。
3. 資料の使用
1. 利用者は、コルトがインターネット上のコンテンツを制御できないこと、また責任を負わないことを承認するものとします。コルトネットワーク上にないシステムまたはネットワークのコンテンツに関する懸念は、コルトではなく該当するシステムまたはネットワークの所有者に対して向けられるべきです。
2. 利用者はインターネットプロトコルおよび標準に従うものとします。
3. 利用者は、著作権所有者による許可がない限り、コルトのネットワークまたはシステムを使用して著作権資料を配布してはなりません。利用者は、コルトの情報および情報システムに対する適切なアクセス権および特権を得るために、コルトの認可プロセスに従わなければなりません。
4. 利用者は、コルトのネットワークまたはシステムを適切かつ合法的な目的のために使用し、合理的な判断において攻撃的でない、品位を欠かない、わいせつでない、悪意のない、または名誉毀損的でないメッセージの送受信に使用するか、または他者の知的財産権(商標、著作権、ドメイン名に関する権利を含むがこれらに限定されない)を侵害しないようにし、他者が侵害することを許さないものとします。
5. コルトは、コルトによって投稿されたものでもコルトの要求によるものでもないコルト情報システム上またはそれを通じてアクセス可能な資料について一切の責任を負いません。コルトはそのような資料を監視したり編集的管理を行ったりしませんが、適用法が許す範囲でこれを行う権利を留保します。コルトはコルトのウェブサイト以外のウェブサイトの内容について責任を負いません。リンクはインターネットのナビゲーション手段としてのみ提供されます。
4. 人員のセキュリティ
1. 利用者は、コルト情報システムへのアクセスを提供される人員に対してバックグラウンド確認を実施するものとします。セキュリティ意識向上の内容は少なくとも年に一度見直し、更新されるものとします。
2. コルト情報システムへの物理的および論理的アクセスを有する人員は秘密保持契約に署名するものとします。
3. 人員はコルト情報システムにアクセスする前にセキュリティ意識向上のトレーニングを受けるものとします。
5. システムセキュリティ
1. 利用者は、自身の利用を意図されたデータのみにアクセスし、アクセス権のないサーバーやアカウントにログインしてはなりません。
2. 利用者は、適切な許可なくコルトシステムの脆弱性を探査、スキャンまたはテストしようとしてはなりません。
3. 利用者は、過負荷、"フラッディング"、"メールボミング"または"クラッシュ"などの手段を含むがこれに限定されない方法によって、いかなるユーザー、ホストまたはネットワークへのサービスを妨害、中断または無効化しようとしてはなりません。
4. 利用者は、TCP/IPパケットヘッダーやメールやニュースグループ投稿のヘッダー情報のいかなる部分も偽造してはなりません。
5. 利用者は、自身が権利を有さないサービスを取得するためにいかなる行為も行ってはなりません。
6. 利用者によるコルトのシステムまたはネットワークセキュリティの違反は民事または刑事責任を招くことがあります。コルトはそのような違反を含む可能性のある事象を調査し、関与する利用者の起訴に際して法執行機関と関与し、協力することがあります。
7. 利用者は、ユーザー名、パスワードまたはセキュリティ証明書の不正な開示を防止するために、合理的な組織的および技術的対策をすべて講じるものとします。
8. 利用者は、コルトの情報および情報資産に影響を与え得るマルウェア攻撃を検出、防止、除去および修復する制御を実装し維持するものとします。
6. ネットワークセキュリティ
1. 利用者は、いかなるシステムへの不正アクセスを得るため、または得ようとするためにコルト情報システムを利用してはなりません。
2. 受け入れがたいと見なされる行為には以下が含まれますが、これらに限定されません:
ネットワークプロービング
ネットワークマッピング
3. 事前の許可なく、不正アクセスを得る意図またはその他の目的でシステムやネットワークの脆弱性スキャンや脆弱性や設定ミスの悪用を行うことは禁止されています。
4. 利用者がコルトネットワークに送信または横断させる任意のパケットは、発信システムの正しい送信元アドレスを含むものとします。これに該当しないパケットは、追加の通知なしにコルトネットワークを通過できない場合があります。
5. 利用者のネットワークは外部のブロードキャストトラフィックを受け付けないように構成されるものとします。
6. 利用者は、他者の正当なサービス利用を妨害または阻止する意図でいかなるプロトコルやサービスも利用してはなりません。
7. 利用者は、ウイルスを送信するためにコルトのネットワークやシステムを使用してはなりません。
8. 利用者は、システム所有者の事前許可なく、直接的または間接的にいかなるシステムへの無許可のソフトウェアまたはその他のシステム変更をインストールしてはなりません。
9. 利用者は、コルトネットワークを通過するトラフィックを傍受、試みて傍受、または変更してはなりません。
10. 利用者は、業務上の必要性および当該ユーザーの同意がない限り、コルトの利用者の個人情報を収集してはなりません。
11. コルトは、そのネットワーク上を移動するデータのセキュリティについて何ら保証を行いません。コルトはそのようなデータを保護するためにあらゆる実用的措置を講じますが、データの安全性および完全性を確保する責任は通信当事者にあります。
12. コルトはコルトネットワークに接続された利用者システムのセキュリティについて責任を負いません。そのようなセキュリティは利用者の責任であり、当該サービスを提供する契約がない限りコルトは責任を負いません。
7. 情報/データセキュリティ
1. 利用者は、自らが取り扱うコルト情報の保護に責任を負うものとします。
2. 利用者は、コルトの個人データが不法または不正なアクセス、偶発的な紛失または破壊、損傷、不法または不正な使用または開示から保護されるようにするものとします。
3. 利用者は、コルトの個人データ保護に関連するすべての適用される法令・規制およびコンプライアンス要件に従うものとします。
4. 利用者は、法的および規制上の要件に沿ったコルトの個人データの保持ポリシーに従うものとします。
5. 利用者は、コルトが要求するのと同等のレベルで情報を保護することに契約上合意するものとします。
6. 利用者は、以下のコルトの情報分類に精通するものとします
高度に機密: アクセス、使用および管理が重要な事業上の要件に基づかなければならない制限された内部コルト利用者のみに意図された情報であり、したがって厳格なアクセス制御機構の対象となるもの。
機密: アクセス、使用および管理が重要な事業上の要件に基づかなければならない、広範な内部コルト利用者に制限された情報であり、したがって厳格なアクセス制御機構の対象となるもの。
内部: アクセスに対する制限が低く、内部および外部の利用者によって管理される情報。
公開: 公開されており、アクセスおよび管理に制限を必要としない情報。
7. 高度に機密および機密に分類された情報は、明確な業務上の必要があり、情報所有者からの必要な承認がある場合に限り利用者と共有または伝達されます。
8. 高度に機密および機密情報へのアクセスおよび管理のために、利用者はコルトとNDA(秘密保持契約)に署名するものとします。
9. 高度に機密および機密情報にアクセスする利用者は、保存時および転送時に情報が暗号化されていることを確認するものとします。
10. 利用者は、コルトの個人情報および分類情報に対して、コルトによって許可されていない方法または目的で不正な関係者がアクセスするのを防ぐために必要なすべての措置を講じる責任を負います。
8. アクセス制御
1. 利用者は、コルト情報が個別の物理サーバーを使用するか、あるいは代替として論理的アクセス制御を使用して他の顧客情報から分離されていることを保証するものとします。
2. 利用者は、コルト情報を保持するシステムへのアクセスを必要とする利用者に対して、固有のIDおよび秘密の認証キーによる安全な認証プロセスが実施されることを保証するものとします。
3. 利用者は、コルト情報を保持するシステムにアクセスできる特権利用者の数が限定されていることを保証するものとします。
4. 利用者は、コルト情報にアクセス、処理、管理するために使用されるシステムへのアクセスを不正アクセスを除去するために少なくとも四半期ごとにレビューおよび承認する適切な所有者を特定し、要求するものとします。
5. 利用者は、コルト情報を管理するシステムにアクセスを要求するユーザーに対して最小権限の原則を適用するものとします。
6. 利用者は、コルトの個人情報がローカルハードドライブにコピー、移動または保存されるのを防ぐために必要な技術的およびプロセス上のセキュリティ対策が実施されていることを保証するものとします。
7. 利用者へのコルト情報システムへのアクセスは、業務要件に基づいて提供されるものとします。
8. 利用者は、コルト情報システムにアクセスする際にコルトのアクセス制御要件が遵守されることを保証するものとします。
9. コルト情報システムにアクセスする利用者は、それぞれのアカウントに対してコルトが定義したパスワード要件が遵守されることを保証するものとします。
10. サービスとしてのソフトウェア(SaaS)を提供する利用者は、認証要件を含むコルトが定めたセキュリティ要件をソフトウェアが満たしていることを保証するものとします。
9. 脆弱性およびパッチ管理
1. 利用者は、明確に定義された脆弱性およびパッチ管理プロセスを有するものとします。
2. 利用者は、コルト情報を管理するシステムの潜在的なセキュリティ脆弱性を特定するために適切な行動(例:スキャン)を行うものとします。
3. 利用者は、すべての関連ベンダーのパッチリリースを監視するものとします。
4. 利用者は、脆弱性の重大度評価および下記に示すアプリケーションのコルト事業上の重要度に従って、標準の指定された期間内にすべての適用可能なパッチを展開することを保証するものとします:
重大なパッチ:CVSS評価 9.0-10.0
重要なパッチ:CVSS評価 7.0-8.9
その他のパッチ:CVSS評価 7.0未満
資産タイプ
重大
重要
その他
インターネット向け(外部公開)
1週間
2週間
1か月
コルトのミッションクリティカルな内部アプリケーション
1か月
45日
90日
内部アプリケーションをサポートするコルト事業
1か月
90日
180日
5. 利用者は、ベンダーパッチを本番環境ではない環境でテストし、意図しない結果がないことを確認するものとします。
10. セキュアな監視
1. 利用者は、コルト情報へのアクセスおよび管理に関するログが保持されることを保証するものとします。
2. 利用者は、コルト情報システムに影響を与える悪意のある事象を検出するためにログを監視する仕組みを有するものとします。
3. 利用者は、すべてのログが不正アクセスから保護され、法令および規制上の要件に従って保持されることを保証するものとします。
4. 利用者は、定義されたセキュリティインシデント管理プロセスを有するものとします。
5. 利用者は、以下の事項を認識した場合、直ちにコルトに通知するものとします:
サービスに関連していかなるセキュリティ侵害が発生した場合;
利用者、コルトの機器またはサービスに関連していかなる詐欺が発生した場合;または
コルトが利用者に発行したパスワードのいずれかが不正な利用者に知られてしまった場合。
6. 利用者は、自身の側で保存および管理されているコルトの個人情報に対するいかなるセキュリティ侵害も、規制上の要件に従って関係当局に報告することを保証するものとします。
11. リスク管理とサービス継続性
1. 利用者は、コルトに提供するサービスに対するリスクを評価および軽減するための定義されたリスク管理プロセスを有するものとします。
2. 利用者は、合意されたSLAを契約に従って満たすレベルでサービスを提供するために、バックアップおよび回復対策、継続性および災害復旧計画を含むレジリエンシーを確保するものとします。
3. 利用者は、SLAレポートおよび情報を月次でコルトに共有するものとします。
4. 利用者は、コルトとの契約の一部として実施されるすべてのプロジェクトおよび活動においてセキュリティのベストプラクティスが遵守されることを保証するものとします。
5. 利用者は、コルト情報システムに影響を与える可能性のあるセキュリティインシデントを監視する適切な仕組みを有していることを保証するものとします。
6. 利用者は、コルト情報システムに影響を及ぼす可能性のあるセキュリティインシデントについて認識した場合、直ちにコルトに通知する義務を負います。
7. 利用者は、自身の側で保存および管理されているコルトの個人情報に対するいかなるセキュリティ侵害も、規制上の要件に従って関係当局に報告することを保証するものとします。
12. 情報の削除、破壊および保持
1. 契約終了時には、利用者は契約で特に許可されている場合を除き、すべてのコルト情報を読み取り、解読または再構築できない状態になるまで物理的に破壊するか安全に削除するものとします。
2. コピー機、プリンターおよびその他の技術機器に電子的に保存されたコピーを含む、利用者のシステム、記憶媒体および紙の文書上のすべてのコルト情報は破壊されるものとします。
3. 利用者は、すべての情報が破壊され安全に削除されたことをコルトに書面で証明するものとします。
13. 情報の削除、破壊および保持
1. 利用者は、コルト情報システムを通じて検索エンジン、購読型ウェブサービス、チャット領域、掲示板、ウェブページ、Usenet、またはそれらの使用を支配する規則、ガイドラインまたは契約を広めるその他のサービスにアクセスする場合があります。
2. 利用者は、そのような規則、ガイドラインおよび契約に従うものとします。
3. Usenetニュースグループに投稿する利用者は、当該ニュースグループの利用を支配する書面による憲章またはFAQに精通し、それに従う責任を負います。
4. そのようなポリシーに関わらず、
Usenet施設は関連するUsenetグループの規則に従ってのみ使用されるものとします。
バイナリはバイナリUsenetグループにのみ投稿されるものとします。
商業的または広告的メッセージは複数のニュースグループに投稿してはなりません。
14. Usenetニュース施設の使用
1. 利用者は、コルト情報システムを通じて検索エンジン、購読型ウェブサービス、チャット領域、掲示板、ウェブページ、Usenet、またはそれらの使用を支配する規則、ガイドラインまたは契約を広めるその他のサービスにアクセスする場合があります。
2. 利用者は、そのような規則、ガイドラインおよび契約に従うものとします。
3. Usenetニュースグループに投稿する利用者は、当該ニュースグループの利用を支配する書面による憲章またはFAQに精通し、それに従う責任を負います。
4. そのようなポリシーに関わらず、
Usenet施設は関連するUsenetグループの規則に従ってのみ使用されるものとします。
バイナリはバイナリUsenetグループにのみ投稿されるものとします。
商業的または広告的メッセージは複数のニュースグループに投稿してはなりません
15. 監査の権利
1. コルトは、セキュリティ実務に関する保証を提供できない場合、利用者およびその下請業者に対して「監査」を行う権利を保有します。
2. コルトは監査を実施する前に利用者に書面による通知を行うものとします。
3. 監査には、利用者のポリシー、プロセス、手順のレビュー、物理的セキュリティ管理、ネットワーク、システム、データプライバシーおよび脆弱性評価(SaaSの場合)に関する現地評価を含めることができます。
5. ポリシー遵守要件
本標準は公表時に効力を発します。関連性を確保するため、少なくとも2年に1回見直されるものとします。遵守は定期的に評価され、関連する運用チームに情報要求が行われる場合があります。遵守が実現不可能な場合は、セキュリティポリシー例外プロセスを通じて例外を申請する必要があります。
6. バージョン履歴および管理
バージョン番号
公開日
作成者
承認者
説明
2.0
28.09.2020
セキュリティ&レジリエンス
Venkatesh Ravindran、VP セキュリティ&レジリエンス
フォーマットを更新し、追加のセキュリティドメインを含めました
3.0
28.06.2022
セキュリティ&レジリエンス
Venkatesh Ravindran、VP セキュリティ&レジリエンス
新しいポリシーテンプレートに従って文書を更新しました
3.1
24.07.2025
セキュリティ&レジリエンス
VP、エンタープライズ セキュリティ&レジリエンス
2年ごとの見直し - 会議録音に関する記載を削除しました
最終更新
役に立ちましたか?