見出し画像

COVID-19テレワーク中の、米国国防総省ネットワーク活用とサイバーセキュリティのガイドを翻訳してみた

課題:テレワークするワーカー向けのセキュリティガイド

米国国防総省(Department of Defence:通称DoD)の、公開しているウェブサイトには、サイバーセキュリティ関連の対応について扱っているものがあります。COVID-19 TELEWORK INFORMATION のページに、Do's and Don'ts Network Utilization and Cybersecurity というリンクがあり、そこに "Telework Dos and Donts White Full SheetV2" というPDF1枚モノの、よくまとまった資料が公開されていますので、ざっと翻訳してみました。
以下は、今回翻訳したガイドのスクリーンショットです。リンクにしてありますので直接ダウンロードしてください。

画像1

活用のヒント

とてもコンパクトで実践しやすい形にまとめられており、自組織にとっても参考になります。手っ取り早く活用するには、DoD固有な部分に太字にしておきましたのでその部分を中心に、自分の組織にあわせるところからやってみてください。

もっとも、DoDと自組織ではリスクプロファイルが異なると思いますので、あてはまらないこと/他の注意点もありますが、そのあたりを考えるのにも良いきっかけになると幸いです。

翻訳部分は以下より。

国防総省の情報ネットワークを守れ

国防総省の情報ネットワークを守れ
テレワークをしている間も、国防総省の情報ネットワークを保護するため、自分の役割を果たせ

NETWORK UTILIZATION - ネットワーク活用

DO - すべし

・作業終了時や終業時にはVPN接続からログオフする
・接続に問題がある場合は、ITサービスデスクに連絡する前に、自分が接続しているインターネット接続を確認する
・組織が承認したファイル共有サービス/機能を使用して、他の人とファイルを共有する
公務には、組織で承認されたコミュニケーションやコラボレーション手段を使用する
DoDやDoD以外の受信者と大容量ファイル/動画(10MB以上)を共有する場合はDoD SAFEを使用する
政府支給の機器(GFE)を職務上必要ないの活動に使えないように制限する (例:SNS、 オーディオ・ビデオストリーミング、個人的な買い物)
政府のメールには電子署名する
行政システムの利用規約を理解し、遵守する
・ITヘルプデスクに電話する前に、知識の豊富な同僚に助けを求める
・テレワーク時に連絡を取れるよう、オフィスの電話番号以外の、代替の電話番号をメールに記載することを検討する - メールの自動返信、不在通知、あわせて/あるいはボイスメールなど
・可能な限りオフラインで作業する
・電話会議の開始時間に変化をもたせ、いつも区切りのよい時刻(13:00とか13:30など)に開始するのを避ける
・音声や他のコラボレーションツール(Jabber、Defense Collaboration Service [DCS]など)を使用して 携帯電話での共同作業を可能な限り制限する
・会議が終了したらすぐに電話会議を切断する

DON'TS - べからず


政府支給の機器(GFE)を職務上必要ない活動に使ってはいけない
(例:SNS、 オーディオ・ビデオストリーミング、個人的な買い物)
・インターネットを利用した非公式のオーディオおよびビデオのオンデマンドおよびストリーミングサービスやウェブサイトを利用してはいけない
・大きなファイルや動画をメールで送ってはいけない
・使用していないときは、ビデオコラボレーションツールを接続したままにしてはいけない
・組織からの指定や許可なくオフィスの電話を社外の番号に自動転送してはいけない
・ネットワークの制限がミッションを阻害しているときは、ITヘルプデスクに電話するのをためらってはいけない
・招待されていないのに、電話やビデオ会議に参加してはいけない
・いつも使用していないアプリケーションを起動したままにしてはいけない(メール、動画、音声など)

CYBERSECURITY - サイバーセキュリティ

DO - すべし

・VPN接続を確立する前にマシンを再起動する
政府支給の機器(GFE)に最新のアップデートでパッチが適用されていることを確認する
・可能な限りGFEを使用
・個々のデバイスが最新のオペレーティングシステムにアップデートされておりセキュリティパッチが適用されていることを確認する
・組織によって定められたGFE利用・取扱説明書に従う
GFE の紛失または盗難を直ちに IT サービスデスクに報告する
・アクティブに使用していないアプリケーションをすべて閉じる
・ベストプラクティスに従って自宅のWi-Fiを設定する。既存のパスワードを変更したり、暗号化を有効にする
政府職員限り (FOUO)管理された未分類情報(CUI),未分類情報の違いを学び、理解する
・敵の攻撃手法をよく知ること(例:コロナウイルスマップ、コロナウイルススピアフィッシング攻撃など)
・不審な事象や挙動を指揮命令系統に報告する
・所属組織特有のサイバーセキュリティガイダンスに従う
・利用するコンピュータに「McAfee Total Protection」アンチウイルスソフトウェア(国防総省の職員は無料)をインストールする

DON’T – べからず

・パソコンのロックが解除されたまま離席してはいけない​
・信頼できないインターネットやWi-Fi接続を使用してはいけない​
・特に、​政府職員限りの情報(FOUO)、管理された未分類情報(CUI)、公的に個人を識別可能な情報(PII)、および保護された健康情報(PHI)について、公式メールアカウントから個人のメールアカウントへ自動転送あるいは手動で転送してはいけない
・不審なメールを開いてはいけない​
・個人のメールアカウントを公務に使用してはいけない​
・個人のクラウド/ファイル共有アカウントを公務で利用してはいけない​
国防総省以外のインスタントメッセージングアプリケーションを使用して、国防総省の情報を共有してはいけない​
・非GFEで、FOUO、CUI、PII、PHIを投稿、保存、送信してはいけない​
・暗号化されていないPIIやPHIを送信してはいけない​
・他の人が “ショルダーサーフィン(のぞき込み)”できる公共の場所で作業してはいけない​
GFEでセキュリティ警告を装った「ポップアップ」をクリックしてはいけない

翻訳部分は以上です。

翻訳とレビュー

岡田良太郎、河野省二、久保田 朋秀、冨川 勲、飯島憂
ほか、レビューによりコメントをくださった皆様、ありがとうございます。

サポートしたいと思う奇特な方は、フォローしてください!