ワイヴァンアイエス研究所ブログ

ストレージシステムやITの技術動向やテクノロジーなどを紹介。その他、趣味的な話題もあります
ワイヴァンアイエス研究所ブログ TOP  >  misc. >  アメリカ国家安全保障局のガイダンス

アメリカ国家安全保障局のガイダンス

個人所有のデバイスを使用してテレワークに従事する米国政府職員や軍人を対象にしたガイダンスが、NSA(National Security Agency:アメリカ国家安全保障局)から発表されました。米国時間の4月24日です。そのガイダンスは以下からダウンロードできます。

https://media.defense.gov/2020/Apr/24/2002288652/-1/-1/0/CSI-SELECTING-AND-USING-COLLABORATION-SERVICES-SECURELY-LONG-FINAL.PDF


興味を惹かれましたので読んでみました。このガイダンスのタイトルは日本語にすると、「テレワークのためのコラボレーションサービスの選択と安全な使用」になると思います。


このレポートでは、オンラインビデオ会議ツールやメッセージングツールが「コラボレーションサービス」として取り扱われています。メジャーなものとしては、Cisco Webex、Google G Suite、Microsoft Teams、Skype for Business、Slack、Zoomなどです。


その中にある表だけを我流で日本語化してアップします。機能というより安全面からの評価がメインです。

以下の9項目について評価されていますが、9番目は評価表に含まれていません。

  1. サービスはエンドツーエンドの暗号化を実装しているか?
  2. 強力でよく知られた、テスト可能な暗号化規格が使われているか?
  3. ユーザーのIDを検証するために多要素認証(MFA)が使用されているか?
  4. コラボレーションセッションに接続している人の確認や制御ができるか?
  5. サービスのプライバシーポリシーでは、ベンダーがサードパーティまたは関連会社とデータを共有することを許可しているか?
  6. ユーザーは、必要に応じてサービスおよびリポジトリからデータを安全に削除できるか?
  7. コラボレーションサービスのソースコードは公開されているか(オープンソースなど)?
  8. サービスやアプリは、セキュリティに焦点を当てた国家的に認められた機関または政府機関によって審査または認証されているか?
  9. サービスは、USGの公式使用を危険にさらす可能性のある法律を持つ政府の管轄下で開発や運営がされているか?

この番号が表の列項目の番号として使われています。

なお、英語版オリジナル版の表の注釈番号として、サービス名以外の箇所に「12」と「14」がありますが、これは「1, 2」と「1, 4」と理解すべきかと思います。



念のため元のガイダンスにあった「免責事項」の我流の日本語訳抜粋を入れておきます。

  • 政府は、この分析の対象となった製品の試験や評価を実施しておらず、製品の公表された属性のみを確認しただけです。
  • 本書で説明されている説明と手順は、当該製品のNSA/CSS、DoD、またはUSGによる推奨を構成するものではなく、また示唆するものでもありません。
  • これは単に、特定の製品の使用方法や操作方法を、USG(United States Government)の担当者が非営利的に使用することを目的としています。

上記の記載内容は独自の理解と個人的な見解であり、間違いがないことを保証するものではないことをご理解ください。

以上です。


すべての記事をまとめた★カテゴリーごとの全記事一覧★がありますのでご覧ください。


にほんブログ村 IT技術ブログ IT技術情報へ

[Ctrl]キーを押しながらクリックすると他のページに飛びません

[ 2020年05月16日 22:04 ] カテゴリ:misc. | TB(0) | CM(0)
コメントの投稿












管理者にだけ表示を許可する
トラックバック
この記事のトラックバックURL