« NIST サイバーセキュリティ能力成熟度モデル(Ver2.1)からNISTサイバーセキュリティフレームワークへのマッピング | Main | CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ »

2023.03.14

CISA モバイルアプリの審査サービス(ベータ版)の提供を開始

こんにちは、丸山満彦です。

CISAがモバイルアプリの審査サービス(ベータ版)の提供を開始したとブログで公表されていますね。。。

海外出張に行ったりする時にも携帯必要ですからね。。。どんなアプリが安全かは調べないとわからないわけですから、こういう仕組みが必要なんでしょうね。。。

 

CISA - News - Blog

・2023.03.09 Under the Promise of Early Success, CISA Expands its Beta Mobile App Vetting Service 

Under the Promise of Early Success, CISA Expands its Beta Mobile App Vetting Service CISA、モバイルアプリの審査サービス(ベータ版)の提供を開始
By Jim Sheire, Branch Chief for CISA’s Cybersecurity Shared Services Office  CISAのサイバーセキュリティシェアードサービスオフィスのブランチチーフであるJim Sheire氏によるものである。 
Mobile devices are an integral part of our everyday operations, and their growing prevalence provides more than simple convenience within the federal space. Unfortunately, increased connectivity has also expanded the threat landscape, leaving the government vulnerable to bad applications (apps) that jeopardize the security of its systems.    モバイルデバイスは私たちの日常業務に不可欠な要素であり、その普及は連邦政府の領域において単純な利便性以上のものをもたらしている。残念ながら、接続性の向上により脅威の状況も拡大し、政府はシステムのセキュリティを脅かす悪質なアプリケーション(アプリ)に対して脆弱な状態になっている。   
That is why CISA is proud to expand access to the Mobile App Vetting (MAV) service. CISA granted MAV an Authorization to Operate on February 8th, 2023, acknowledging the service’s key role in combating a growing risk of mobile app vulnerabilities threatening Federal Civilian Executive Branch (FCEB) agencies. Moreover, it is available at no cost to the user.  そのため、CISAはMobile App Vetting(MAV)サービスへのアクセスを拡大することを誇りに思っている。CISAは、連邦文民行政機関(FCEB)を脅かすモバイルアプリの脆弱性リスクの増大に対処する上で、このサービスが重要な役割を果たすことを認め、2023年2月8日にMAVに運営認可を付与した。しかも、ユーザーには無償で提供される。 
While many agencies will get to experience MAV’s capabilities for the first time in the coming months, a handful of early adopters are already deeply aware of its utility. When Customs and Border Protection (CBP) needed an enhanced app-vetting capability to strengthen its mobile security in early 2022, it turned to MAV to meet its needs.  今後数カ月で多くの機関がMAVの機能を初めて体験することになるが、一部のアーリーアダプターはすでにその有用性を深く認識しているようである。税関・国境警備局(CBP)は、2022年初頭にモバイルセキュリティ強化のためにアプリ審査機能の強化を必要とした際、そのニーズを満たすためにMAVに注目した。 
Currently, CBP uses MAV to vet its library of mobile apps for security concerns before deployment on the component’s pool of smartphones and tablets. A standout example of this is when CBP undertook vetting efforts for a third-party COVID-19 contact-tracing app. Here, MAV was able to detect several issues inherent to software’s iOS version. This discovery prompted CBP to cancel the app’s deployment, which consequently protected the security and integrity its mobile devices.  現在、CBPはMAVを使用してモバイルアプリのライブラリを審査し、スマートフォンやタブレットに展開する前にセキュリティ上の懸念がないかを確認している。その顕著な例が、CBPがサードパーティのCOVID-19接触追跡アプリの審査に取り組んだときのことである。このとき、MAVはソフトウェアのiOSバージョンに内在するいくつかの問題を検出することができた。この発見により、CBPはこのアプリの導入を中止し、結果的にモバイル機器のセキュリティと完全性を守ることができた。 
CBP’s Mobile Device Management and Engineering found great value in MAV’s prevention of poor coding. This protects government-furnished equipment (GFE) and the greater federal enterprise from unknowingly propagating vulnerabilities.  CBPのモバイルデバイス管理およびエンジニアリングは、MAVによる不適切なコーディングの防止に大きな価値を見出した。これにより、政府支給品(GFE)と連邦エンタープライズが、知らず知らずのうちに脆弱性が広まるのを防ぐことができた。 
Now that MAV is available to the greater FCEB community, agencies interested in using a timesaving, standards-backed, and field-tested mobile app-vetting service should consider CPB’s experience and work with CISA to safeguard their GFE. Eighteen agencies currently use MAV to identify vulnerabilities, flaws, and risks throughout various mobile use cases, which has enabled these participants to make risk-based decisions before using government-developed or third-party apps (e.g., Google Play Store, Apple App Store).  MAVがFCEBコミュニティで利用できるようになった今、時間を節約し、標準に裏付けされ、現場でテストされたモバイルアプリ審査サービスの利用に関心のある機関は、CPBの経験を考慮し、CISAと協力して自社のGFEを保護することを推奨する。現在、18の機関がMAVを利用して、さまざまなモバイルユースケースを通じて脆弱性、欠陥、リスクを特定しており、これらの参加者は政府開発またはサードパーティ製アプリ(Google Play Store、Apple App Storeなど)を使用する前にリスクに基づく決定を下すことができるようになった。 
For more information on the qualifications to receive one of MAV’s limited beta testing licenses, email  Visit our MAV website for information about this beneficial shared service.   MAVの限定ベータテストライセンスを受けるための資格についての詳細は ココまでメールで問い合わせること。この有益な共有サービスに関する情報は、CISAのMAVウェブサイトを参照のこと。  

 

Mobile Cybersecurity Shared Services

Mobile Cybersecurity Shared Services モバイルサイバーセキュリティシェアードサービス
The Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Shared Services Office (CSSO) will offer mobile cybersecurity shared services focused on minimizing security risks to Government-Furnished Equipment (GFE) mobile devices—namely smartphones and tablet computers. Government personnel and leaders rely heavily on mobile devices for executing their agency’s missions, especially while away from their offices. The risk of compromise to GFE mobile devices and the applications (apps) on them could expose the backend enterprise systems supporting them to potentially damaging cyber-attacks. To enhance mobile security, the CSSO is preparing to offer two game-changing mobile cybersecurity shared services: Mobile Application Vetting (MAV) and Traveler-Verified Information Protection (T-VIP). See the following drop-down boxes for more insight into these innovative mobile cybersecurity shared services.  サイバーセキュリティおよびインフラストラクチャ・セキュリティ庁(CISA)のサイバーセキュリティ共有サービスオフィス(CSSO)は、政府支給品(GFE)のモバイルデバイス(スマートフォンやタブレットPCなど)のセキュリティリスクを最小限に抑えることに焦点を当てたモバイルサイバーセキュリティ共有サービスを提供する。政府職員やリーダーは、特にオフィスから離れている間、機関のミッションを遂行するためにモバイルデバイスに大きく依存している。GFEモバイルデバイスとその上のアプリケーション(アプリ)が危険にさらされると、それらをサポートするバックエンドのエンタープライズシステムが、潜在的に損害を与えるサイバー攻撃にさらされる可能性がある。モバイルセキュリティを強化するために、CSSOは2つの画期的なモバイルサイバーセキュリティ共有サービスを提供する準備を進めている。モバイルアプリケーションベッティング(MAV)とトラベラーベリフィケーション情報保護(T-VIP)である。これらの革新的なモバイル・サイバーセキュリティ共有サービスの詳細については、次のドロップダウンボックスを参照すること。

 

Movile Application Vetting (MAV)

1_20230314061401

Movile Application Vetting (MAV) MAV(Movile Application Vetting)とは
CISA’s MAV shared service facilitates security integrity checks of government-developed and third-party mobile apps that will be used on GFE mobile devices. The MAV shared service identifies app vulnerabilities and potential risks to mobile devices while increasing app and enterprise security. The service empowers government agencies to fix discovered issues and, more critically, prevent cyber-attacks on mobile devices and enterprise systems. For more information, read the Mobile App Vetting (MAV) Fact Sheet. CISAのMAV共有サービスは、GFEモバイルデバイスで使用される政府開発およびサードパーティ製モバイルアプリのセキュリティ完全性チェックを容易にする。MAV共有サービスは、アプリの脆弱性とモバイルデバイスの潜在的なリスクを特定し、アプリとエンタープライズのセキュリティを向上させる。このサービスにより、政府機関は発見された問題を修正し、さらに重要なこととして、モバイルデバイスやエンタープライズシステムに対するサイバー攻撃を防止することができる。 詳細については、「Mobile App Vetting (MAV) Fact Sheet」を参照すること。

・[PDF] MOBILE APP VETTING FACT SHEET

 

 

 

Treveler-Verified Information Protection (T-VIP)

1_20230314062001

Treveler-Verified Information Protection (T-VIP) トレベラー検証型情報保護(T-VIP)
CISA’s T-VIP shared service monitors the integrity of GFE mobile devices, including configuration, apps, firmware, hardware, and software. Government travelers need their GFE mobile devices to stay in contact while traveling to foreign countries, embassies, or external sites, often becoming prime targets for compromise. Since they cannot monitor what occurs “under the hood” of their mobile devices, comparisons of pre-travel and post-travel scans by T-VIP identifies suspicious changes on the devices made during their travels, thus increasing the security of sensitive government information. T-VIP supports many newer Apple and Samsung mobile devices and can be updated to support newly introduced devices. For more information, read the Traveler-Verified Information Protection (T-VIP) Fact Sheet. CISAのT-VIP共有サービスは、設定、アプリ、ファームウェア、ハードウェア、ソフトウェアなど、GFEモバイルデバイスの完全性を監視する。政府出張者は、外国、大使館、外部サイトへの出張中、GFEモバイルデバイスで連絡を取り合う必要があり、しばしば侵害の格好のターゲットになる。モバイルデバイスの "ボンネットの下 "で起きていることを監視できないため、T-VIPによる出張前と出張後のスキャンを比較することで、出張中にデバイス上で行われた疑わしい変更を特定し、政府の機密情報のセキュリティを向上させる。T-VIPは、多くの新しいAppleおよびSamsungのモバイルデバイスをサポートしており、新しく登場したデバイスをサポートするためにアップデートすることができる。 詳細については、Traveler-Verified Information Protection (T-VIP) Fact Sheetを参照のこと。


・[PDF] TRAVELER-VERIFIED INFORMATION PROTECTION SERVICE FACT SHEET




 

|

« NIST サイバーセキュリティ能力成熟度モデル(Ver2.1)からNISTサイバーセキュリティフレームワークへのマッピング | Main | CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST サイバーセキュリティ能力成熟度モデル(Ver2.1)からNISTサイバーセキュリティフレームワークへのマッピング | Main | CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ »