DoD(米国防総省)のテレワーク指針を紹介

2020年3月にDoD(米国防総省)からテレワーク指針が公表されていました。これを分かりやすく訳しつつ、一般的にも活用できるように紹介します。

Telework Dos and Donts White Full SheetV2

■ネットワーク利用

すること(Do)

・一日の終わりにVPN接続からログオフする。
・接続に問題が発生した場合、ITサービスデスクに連絡する前に、まずインターネット接続を確認する。
・会社が承認したファイル共有サービスや機能を使用して、他のユーザとファイルを共有する。
・会社が承認したビジネス用コミュニケーションツールやコラボレーションツールを使用する。
・米国防総省(DoD)のSAFE(Secure Access File Exchange)を使用して(会社が指定した方法で)、外部組織との間で大きなファイルや動画データ(10MB以上)を共有する。
・業務端末を使用した業務以外の活動(例えば、SNSや音楽、ビデオストリーミング、ネットショッピングなど)を制限する。
・電子メールに電子署名する。
・政府(会社)のシステムの利用規約を理解し遵守する。
・ITヘルプデスクに電話する前に、知見のある同僚に助けを求める。
・在宅執務中の連絡用に、E-mailの返信、不在時の連絡、連絡用のボイスメール応答などに会社の電話番号以外の代替の番号を伝えることを検討する。
・可能であればオフラインで作業する。
・電話会議の開始時間を少し変更して、0分ちょうどや30分ちょうどに開始しないようにする。
・音声通話や他のコラボレーションツール(Jabber、Defense Collaboration Service[DCS]など)を使用し、可能であれば携帯電話によるこれらのツール利用を制限する。
・会話が終了したらすぐに電話会議から退出する。

しないこと(Don't)

・業務端末を使用して業務以外の活動(例えば、SNSや音楽、ビデオストリーミング、ネットショッピングなど)はしない。
・インターネットを利用した非公式の音楽及びビデオのオンデマンド、ストリーミングサービス、そのようなWebサイトを利用しない。
・大きなファイルや動画ファイルを電子メールで送信しない。
・ビデオ会議をしていないときはビデオ会議ツールを接続したままにしない。
・指示されていない限り、会社の電話を(許可されていない人が電話に出る・盗聴のおそれなどがある)オフサイトの電話番号に自動転送しない。
・ネットワークの制限が、必要な業務に影響を与える場合は、ITヘルプデスクへの問合せをためらわない。
・招待されていないのであれば、電話やビデオ会議に参加しない。
・使用していないアプリケーション(メール、ビデオ、音声など)は実行したままにしない。

■サイバーセキュリティ

すること(Do)

・VPNに接続する前にマシンを再起動する。
・業務端末に最新の更新プログラムが適用されていることを確認する。
・可能な限り業務端末を使用する。
・個人用デバイスを業務に使用する場合は、最新のOSに更新されていることを確認する。
・業務端末の使用方法及び取扱手順に従う。
・業務端末の紛失又は盗難があった場合は、ITサービスデスクに直ちに報告する。
・使用していないアプリケーションは終了する。
・パスワードを変更したり、暗号化を有効にしたりするといったベストプラクティス(最善の方法)に従って自宅のWi-Fiを構成する。
・機密情報(FOUO)、重要情報(CUI)、未分類情報を理解する。
・新型コロナウイルスに便乗したマルウェアや標的型攻撃などの攻撃方法を理解する。
・不審な挙動や行動があれば指揮系統(システム管理者)に報告する。
・会社が制定したサイバーセキュリティガイダンスに従う。
・「McAfee Total Protection」ウイルス対策ソフト(DoD職員は無料)をhttps://public.cyber.mil/から取得して個人端末にインストールする。

しないこと(Don't)

・離席時にコンピュータのロックを解除したままにしない。
・信頼できないインターネット又はWi-Fiに接続しない
・機密情報(FOUD)、重要情報(CUI)、個人情報(PII)、医療情報(PHI)を業務用メールアドレスから個人用メールアドレスに自動転送又は転送しない。
・不審なメールは開かない。
・業務に個人用メールアカウントを使用しない。
・業務に個人用クラウド/ファイル共有アカウントを使用しない。
・DoD(会社)が承認していないインスタントメッセージができるアプリケーションを使用してDoD情報(内部情報)を共有しない。
・業務端末以外の端末で、機密情報(FOUO)、重要情報(CUI)、個人情報(PII)、医療情報(PHI)を取扱ったり、保存したり、送信したりしない。
・暗号化されていない個人情報(PII)又は医療情報(PHI)を送信しない。
・他人が画面を「ショルダーハッキング(覗き見)」できるような公共の場で業務をしない。
・業務端末上のセキュリティアラートなどの「ポップアップ」を安易にクリックしない。

おまけ

Government-furnished equipment(GFE)は業務端末
For Official Use Only(FOUO)は機密情報
Controlled Unclassified Information(CUI)は非格付け情報＝重要情報