著者:濱田 真輔
背景
米国では、サプライチェーンにおけるCUIの保護を防衛基盤産業(DIB)に求めることを目的に、NIST SP 800-171の実施及びCMMC2.0フレームワークの適用準備が進められています。
今般その整備状況を確認するため、Eva Aviation社は防衛整備基盤協会(BSK)から依頼を受け、2023年9月4日~11日にかけて米国調査を実施しました。現地で得られた内容についての詳細な報告会(BSK主催)は、別途実施予定です。
当コラムでは訪問先、各組織に対する調査目的、そして現地でしか得られないトピックを(お話しできる範囲で)速報として皆様にお伝えします。
現地調査の目的
CMMCにはCyberABを中心に様々な組織が関わっていますが、インターネットを通した情報(発表資料及び文書)では本質的な課題をとらえることができません。そのため、各組織を直接訪問して意見交換を行うことで、現在の活動内容に加え、その背景及び取り組みの中での苦労など生の情報を入手し、日本の関係者に正しい内容を伝えることを目的とします。
ヒアリング日程及び対象組織
| 9/5 | F1 Cloud Solution | コンサルティング企業(RPO)の立場でのCMMC推進に対する取り 組みを確認 |
| 9/6 | CyberAB | CMMCを推進する中心的組織としての、CMMCエコシステム推進状況を確認 |
| Exostar | NIST SP 800-171/CMMCをサポートするサービスと今後の取り組みの確認 | |
| 9/7 | NIST | NIST SP 800-171/SP 800-53の取り組みに対する背景の確認 |
| AIA | 航空産業協会としてCMMC推進についてどのように受け止めているかの確認 | |
| 9/8 | STEELTOAD | C3PAO/LTPの立場でのCMMC推進に対する取り組みを確認 |
※図の説明:CyberABは、防衛産業組織(企業)を含むCMMCに関わる全関係者に対して、この活動を推進するCMMC Ecosystem*への参画を求めている(オレンジ色部分は今回ヒアリング対象の会社)。
*エコシステムとは |サイバーAB (cyberab.org)
ちょっとしたお話
ここからは、現地で初めて分かったアレコレをご紹介します。
●ちょっとしたお話 その1 そんなこと聞いてないよ!!!
CyberABとして、NIST SP 800-171r3の発表は晴天の霹靂だった。r3のことは聞いていたが、まだ数か月先だと思っていたのに…とはCEOマット・トラビス氏の言。
171r2推進を前提にCMMC2.0の環境を整備している矢先であったために、今回の発表に対しては驚きを隠せなかったが、とにかく今はCMMC2.0 (NIST SP 800-171r2を基準とする)を発進させるために注力するしかないと、力強く言っていました。
●ちょっとしたお話 その2 そんなこと言われても…
CyberABを訪問した翌日にNISTを訪問。
171の共著者ビクトリアさんに対して、CyberABのマットさんがNIST SP 800-171r3の突然の発表にビックリしたと言っていたと伝えると、少し驚き呆れた表情に。
ビクトリアさんは「規格を作るのは私たちの仕事。NISTは規格の変更が必要と判断されたことに対して淡々と実行するだけよ」と言っていました。
●ちょっとしたお話 その3 実施しても…?
AIAを訪問した際には、このような声も。
産業界ではCMMC2.0はまだ正式に運用を開始していないが、とにかくNIST SP 800-171r2については対応するための努力はしておく。CMMCがすべての防衛産業組織に適用されるのが2025年からとなっているが、2024年秋の大統領選挙によっては、実施そのものもどうなるか分からない。
●ちょっとしたお話 その4 ニュートンのリンゴの木が…
NISTには、ニュートンが万有引力を発見したというリンゴの木のクローンが植えられています。今回訪問したついでに見たいとリクエストしたら、なんと最近襲った暴風雨によってなぎ倒されてしまったとのこと。新たな苗木は敷地のどこかに植えられたそうですが、どこに植えられたのかまでは知らないビクトリアさんでした。
Eva Aviation社は今回、CMMCを推進する各組織と「直接」連絡を取れる関係を構築しました。定期的な情報交換により、今後もNIST SP 800-171r2&r3、CMMC2.0についての最新情報をお届けする予定です。
また繰り返しとなって恐縮ではございますが、今回の正式な調査報告については、BSKからのご案内をお待ちください。
