2020.04.23

アメリカ国防総省のテレワークセキュリティガイド日本語訳

COVID-19

テレワークセキュリティガイド

概要

 

アメリカ合衆国国防総省(DoD)のテレワークに関するガイドラインが良く出来ていると、セキュリティ関係者の間で話題になっています。

 

ガイドラインは「Do’s and Don’ts Network Utilization and Cybersecurity」(訳:ネットワーク利用とサイバーセキュリティに関するDoとDon’t)と題された文章。アメリカの国防情報システム局が支援するウェブサイト「DoD CYBER EXCHANGE PUBLIC」(URL : https://public.cyber.mil/covid19/)に掲載されています(2020年4月23日現在)。

 

内容は「他人が覗き見できる環境で作業しない」「私用で業務端末を利用しない」「電話会議が終わったら通話はすぐに切る」など、一見すると基本的なことが多く、「国防総省の」という文言を各機関や企業に置き換えれば、様々な組織で通用するものです。

 

同ガイドラインの優れた点は、注意事項が「Do」「Don’t」の二つに分類されて分かりやすいこと、分量がPDF1枚と簡素であることです。明快で簡潔なマニュアルを策定することで、セキュリティ関連のガイドラインが、組織のメンバーへとより浸透しやすくなるでしょう。

 

以下、ガイドライン全文の日本語訳を掲載します。二部構成で前半が「ネットワークの利用」、後半が「サイバーセキュリティ」となっています。

 

自社のテレワーク環境を再確認する機会として活用いただければ幸いです。

 

1 ネットワークの利用

すること(Do)

・1日の業務が終わったらVPN接続をログオフする
・接続に問題があったら、職場のITサービス担当に電話する前に、ローカルインターネット接続を確かめる
・他社とファイルを共有する時は、組織が認めたファイル共有サービス/機能を使う
・公用では組織が認めた通信手段、および共同作業の手段を使う
・大容量のファイルや動画(例えば10MBを超えるもの)を国防総省や外部と共有する際は「DoD SAFE」を使用する
・業務に不要なあらゆる活動(例えば、ソーシャルネットワーキング、オーディオや動画ストリーミング、個人的な買物)を、業務端末(*1)を使用して行うことを慎む
・政府の電子メールには署名する
・政府システムの「許容される使用についての指針」(*2)をよく読み、遵守する
・ITヘルプデスクに電話する前に、知識のある同僚に助言を求め、支援を要請する
・テレワーク期間中、電子メールを返信する時や、職場を離れている時の返信、ボイスメールなどでは、自分の職場での電話番号を教えるのではなく、代わりの電話番号を教えるよう配慮する
・可能な時はオフラインで仕事をする
・電話会議の時間をずらして、いつも0分や30分に開始するのを回避する
・音声やその他の共同作業ツールを使用し、可能であれば携帯電話を使った共同作業は慎む
・電話会議は、通話が終わったらすぐに接続を切る

 

してはならないこと(Don’t)

・業務端末を業務に不要な活動に使うこと(例えば、ソーシャルネットワーキング、オーディオや動画ストリーミング、個人的な買物)
・インターネット上で、非公式のオーディオや動画をオンデマンドやストリーミングで視聴したり、非公式のウェブサイトを閲覧したりすること
・大容量のファイルや動画をメール添付すること
・使用していないのにビデオ会議ツールを接続したままにすること
・職場の電話を、組織が特定できない職場外の番号に自動転送すること
・ネットワーク制限が業務に影響を与える場合に、I Tヘルプデスクに電話するのをためらうこと
・招待されていないのに、電話やビデオの会議に参加すること
・使用中でないアプリケーションを起動したままにすること(例えば、電子メール、動画、音声など)

 

2 サイバーセキュリティー

すること(Do)

・機器を再起動した後にVPN接続をする
・業務端末が最新のものへアップデートされているか確認する
・可能であれば業務端末を利用する
・個人で所有する機器が最新のOSとセキュリティパッチにアップデートされているか確認する
・業務端末の使用方法および取扱手順を遵守する
・政府が支給する物品を紛失・盗難した場合は、速やかにITサービスデスクに報告する
・使用中でないアプリケーションは全て閉じる
・自宅のWifiを最善の利用法に準じて設定する。例えば、パスワードを変更し、暗号化を可能にする
・「機密情報」(*3)、「機密情報以外の重要情報」(*4)および機密情報以外の情報の区別をよく調べて理解する
・敵対者の攻撃手法(コロナウイルスマップ、コロナウイルスピアフィッシング攻撃など)を理解する
・不審な活動や行動を指揮命令系統に報告する
・組織固有のサイバーセキュリティガイダンスを遵守する
・public.cyber.mil(*5)で使用可能なパソコンには、アンチウイルスソフト「McAfee Total Protection」(国防総省職員には無料配布)をインストールする

 

してはならないこと(Don’t)

・コンピュータをロックせず離席すること
・信頼できないインターネットやWifi接続を利用すること
・機密情報、機密情報以外の重要情報、公共空間で特定可能な情報(*6)、健康に関する秘密情報(*7)を、公式メールアカウントから私用メールアカウントへ自動または手動で転送すること
・不審なメールを開くこと
・私用メールアカウントを業務で使用すること
・私用のクラウド/ファイル共有アカウントを業務で使用すること
・国防総省の情報を共有するために、省非公認のインスタントメッセージアプリケーションを使用すること
・機密情報、機密情報以外の重要情報、公共空間で特定可能な情報、健康に関する秘密情報を、業務端末以外に投稿、記録、および送信すること
・暗号化しないまま、公共空間で特定可能な情報、健康に関する秘密情報を送信すること
・他人が盗み見できる公共空間で仕事すること
・業務端末でセキュリティーアラートや警告ポップアップをクリックすること

 

 


参考
訳者注

*1 原文では「government-furnished equipment」。直訳は「政府支給備品」。

*2 原文では「Acceptable Use Policy」。

*3 原文では「For Official Use Only」。直訳は「私用禁止」。

*4 原文では「Controlled Unclassified Information」。

*5 ウェブサイト「DoD CYBER EXCHANGE PUBLIC」のURLを指す。

*6 原文では「Publicly Identifiable Information」。

*7 原文では「Protected Health Information」。

 

英語原文はこちら(外部サイト):

https://dl.dod.cyber.mil/wp-content/uploads/covid19/pdf/unclass-cyber_and_networking_dos_and_donts.pdf

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。