~DFARS+171からDFARS+CMMCへ~
2018年にDODがCUI情報を扱う調達先に対して適用が始まったDFARS 252.204-7012とNIST SP 800-171は、その適用状況に関してはなかなかめざましい進展がアナウンスされることはなく、2019年ついに米国国防総省(以下、DoD)は、CUI情報を扱う案件だけでなく全てのUnclassified情報を扱う調達に対する要件をカバーする仕組みとしてCMMC(Cybersecurity Maturity Model Certification)を適用することを宣言した。
現在粛々とルール作りが進んでおり、2019年12月にVer. 0.7が公表され、2020年秋頃にはVer. 1.0として適用を宣言する見通しである。
では、何故DFARS+171ではいけなかったのだろうか。以下のVERIFY社のブログにあるように、110項目の要件に対して、満たせないものは今後の対応計画(PoAM)を作成すれば良いとしたことが一因と言われている。その他にも、リスク対応型の要件ではなく、一律に同じ要件を全サプライチェーンに課したことなども遵守を現実的でなくした要因だったようだ。
Cybersecurity Maturity Model Certification (CMMC) Supply Chain Readiness Assessment The United States Department of Defense (DoD) is in the process of finalizing a new cybersecurity requirement that will impact all participants in their supply chain. This effort comes on the heels of the updates to existing requirements (DFARS 252.204-7012 and NIST Special Publication 800-171) which have been described as a static solution to a dynamic problem.
米国国防総省(DoD)は、サプライチェーンのすべての組織に影響を与える新しいサイバーセキュリティ要件の最終決定を進めています。 この取り組みは、動的な問題に対する静的な解決策として説明されている既存の要件(DFARS 252.204-7012およびNIST Special Publication 800-171)への更新に続いてすぐに行われます。
そして、これに代わって考え出されたのがCMMCである。基本的に要件を5レベルに分類し、DoDと直接間接に契約したい組織はレベル1以上の認定がされていることは必須である。さらに、扱うデータや脅威に応じてどのレベルの認定を取るかが決められ、必要によりダイナミックにレベルが想定される。CUIを扱うなら一律に171の全項目に従え(CMMCではレベル3相当)という従来のやり方とは変わる。
では、これまでのNIST SP 800-171はどうなってしまうのだろうか。171はあくまで全連邦政府共通にNISTが決めたセキュリティ要件であり、DoDの方針に左右されるものではない。171も年々新しい版に改訂され、171A、172なども整備され適用しやすいツールが整ってきている。DoD契約についても、現状では対応が必須であると同時に、他の連邦政府機関ではまだまだこれから適用が進んでゆく見込みである。
しかし、近い将来、防衛産業においてCMMCが適用されると、他の連邦政府も追随するということも考え得る状況である。
我が国の防衛産業は、どのような準備をすべきだろうか? まずは、CMMCが義務化(DFARS改訂)される2020年秋頃をメドに、レベル1の認定は得ておくことが重要となる。秋以降の契約更新または新規契約時から適用されるという点はこれまでのDFARSと同じである。なお、レベル1は要求項目も最小限であり、認定も半日あれば可能であろうと言われている。大半のTIER1企業にとっては特に問題となるレベルではないだろう。
いずれにせよ、フローダウン条項は残るので、自らにどのような遵守指示が出され、配下のサプライヤーに対してどのような指示を出すべきかといった観点でも、DoDの動きをウォッチしてゆくことが重要であろう。
【続き】 A primary challenge identified with previous requirements has been that they permitted a plan of actions and milestones (POAM) as compliance without actually requiring closure of identified open items. Without ensuring that the plan was being actioned or independently reviewed, the concern has been that the security posture was not actually improving. This has been evident in several high-profile breaches where substantial defense-related information was lost and is assumed in many other unreported breaches. Overall, losses of $600 billion a year to our adversaries are being cited by government representatives.
【続き】 これまでの適用でわかった課題は、特定の未解決アイテムを実際に出来ていなくても、PoAM(行動計画とマイルストーン)を提出すれば許可したことです。計画が実行されているか、レビューされず、セキュリティ態勢が実際に改善されないという懸念がありました。このことは、重要な防衛関連情報が失われたいくつかの違反で明らかであり、他にも多くの未報告違反があると想定されています。政府によると、全体として年間6,000億ドルの損失があると言われています。
https://www.verifyglobal.com/cmmc-readiness/ by Verify Incorporate
以上
