1.経緯
ついにDFARS Case 2019–D041(後述)が、11月30日に発効されました。このきっかけとなったのは、2年程前に請負業者に対して行われたセキュリティ対策実施状況等に関する調査であるとみられます。
この調査は名だたる大手企業などを対象に行われましたが、サイバーセキュリティ対策についての不適切な実装状況から、請負業者の171規定の解釈および実装に係る「自己宣言(申告)」の適用の実態と、DoDの想定には乖離があることが浮き彫りになったのです。
DoDはその調査結果を重く受け止め、Cybersecurity Maturity Model Certification(以下、CMMC)の導入を決定し、本年1月にルールを公開し整備を始めました(その整備動向は前号までのNIS-Be通信を参照いただきたいと思います)。そしてDoDは、新たな方式導入にともなう調達および契約に係る法的根拠の整備に迫られ、法・手続等の改訂を加速させていきます。
その一環として実施されたのが、今回のDFARS Case 2019–D041(以下、D041)によるDFARS改訂でした。「NIST SP 800-171 DoD Assessment Methodology(以下、メソドロジ(本年6月Version 1.2.1発表))」と「CMMC」の二つの評価方法のいずれかを選択して調達に適用することとしたもので、以下その内容について解説します。段階的に整備されるCMMCの確立には数年を要するため、その期間も適用可能な評価手段としてメソドロジが並行する仕組みとなります。
2.サイバーセキュリティ対策の実装評価の要領(メソドロジ)
前述のとおり、D041の目的は従来のDFARS 252.204-7012(以下、7012)で実施されて きた自己宣言による171の実装を踏襲しつつ、サイバーセキュリティ対策要件の実装を評価する暫定的処置とし、数年後のCMMCの完全実施に向けた法体制を整えることです。従ってD041で規定された手法は、サイバーセキュリティ対策の実装の評価目的でのみ使用され、171または7012に実質的な要件を追加することを意図していません。D041で実施された方式は、CMMCの整備状況にあわせて変更が加えられると想定されます。
今回D041として実施された具体的な内容は、メソドロジをDFARS 252.204-7020、CMMCをDFARS 252.204-7021として定義した上で、それらを引用するためのDFARS (204.7304(以下7304)と204.7503(以下7503))改訂でした。
調達時には7012および、7304(=メソドロジ)または7503(=CMMC)のいずれかを引用する形でサイバーセキュリティ対策実装状況の評価要領を指定するものと思われます。ただし7503の条項適用においては、整備過程にある「the Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S))」の承認が必要と規定されており、サイバーセキュリティ対策の実装評価は、当面の間7304によるメソドロジの適用が主流となるものと思われます。
メソドロジでは、従来の171に対する請負企業の自己宣言の部分を「自己評価(DoD Valueを用いたスコア算出)」とし、信頼度の低い基本(Basic)と規定して評価結果を可視化することとしました。そしてその評価結果を、最低3年に1度はSupplier Performance Risk System(以下、SPRS)に取込むことで、請負企業に対して説明責任を付与したのです。
SPRSには、①評価に用いた171のVersion、②評価実施組織、③SSP(System Security Plan)情報(対象業務)、④CAGEコード、⑤評価完了日、⑥合計スコア、⑦最終完了予定日等が登録され、DoDの担当者や登録企業の代表者が内容を閲覧できます(SPRSへの報告要領はDFARS 252.204-7019に記載)。自己評価の信頼度を向上させるため、DoDは必要に応じ請負企業へ協力を求めることを規定しており、信頼度が基本から中(Medium)、高(High)と上がれば、その結果もSPRSに登録され調達に活用されるという、ボトムアップのしかけにもなっています。中高の認定には、DoD職員によるSSPのレビューやオンサイトでの有効性の完全評価等を受審することが必要になります。
請負企業は、下請企業にこのルールをフローダウンすることが要求され、未実装の下請企業があった場合は評価の実施等に関する情報を提供しメソドロジを実施させ、その結果を確認するよう求められます。メソドロジを明確化したことで、下請企業に対しての評価の規格統一が図られるようになりました。
3.今後の動向に注視
D041の施行は、従来の課題であった「請負業者の171実装に対する説明責任」を明言したことに価値があり、また請負企業の下請企業に対する指導等についても明確化しました。契約を請負う企業群に対し、一元化したサイバーセキュリティ体制を整えさせることができるようになるのは大きな成果といえます。
一方、CMMCの仕組みは発展途上であり、DFARS上の記述もメソドロジに比べ十分ではありません。内容的には171以外の要求も含まれており、その発展の行方とそれを取込む関連DFARSの改訂動向も注視する必要があります。
【参考サイト】DoD DPCサイト(Strategically Assessing Contractor Implementation of NIST SP 800-171)
2020.12.29 筆者紹介:土橋俊夫