5月12日付でバイデン大統領はサイバーセキュリティーに関する大統領令にサインしました。昨今のサイバーセキュリティー事案の頻発に対する緊急対応を指示したものです。しかしその内容は、これまでDFARSNIST SP 800-171CMMCなどによる対応と重なることも多く、両者の適用がどのように推進されるのか注視する必要がありそうです。

2021.7.22 エヴァアビエーション

わが国のサイバーセキュリティの改善に関する大統領令Executive Order on Improving the Nation’s Cybersecurity)」

  • Sec.1 方針
  • Sec.2 脅威情報を共有する際の障壁を取り除く
  • Sec.3 連邦政府のサイバーセキュリティの近代化
  • Sec.4 ソフトウェアサプライチェーンのセキュリティの強化
  • Sec.5 サイバー安全審査委員会の設置
  • Sec.6 サイバーセキュリティ脆弱性とインシデントに対応するための連邦政府のプレイブック標準化
  • Sec.7 連邦政府ネットワークにおけるサイバーセキュリティ脆弱性とインシデント検出の改善
  • Sec.8 連邦政府の調査および修復機能の改善
  • Sec.9 国家安全保障システム

 これは、近年増加しているサイバーセキュリティー脅威への対応で、特に昨年発生したSolarWinds事案など深刻かつ大規模なインシデントを受けて、緊急に出されたものと見受けます。(>>「機械翻訳による対訳」「関連記事等」NIS-Beに掲載しました)

 この大統領令では、任務を担う機関をそれぞれ指名し、期限を設定した対応を命令しています。これを受けて、米国では急速なサイバーセキュリティー対策の作業が進行しています。クラウドの活用、暗号化、多要素認証などの対策を取ることが明記され、対応状況に対する情報共有や、調査委員会の設置なども書かれています。また、政府横串のエンドポイントディテクションと対応し、いわゆるゼロトラストの対応を迫るものとなっています。

CMMCはどうなるのか?

 では、これまでDoDなどが取り組んできたDFARS/FARによるNIST SP 800-171への準拠やCMMCといった取り組みはどうなってしまうのでしょうか。大統領令は主に政府機関に対する対応の指示で、CMMC等はサプライチェーンに対する対策ということで、直接的な変化はないと考えますが、大きな影響が生じることは間違いありません。

 『上院軍事委員会のサイバーセキュリティ小委員会での最近の公聴会では、米国国防総省(DOD)のサイバーセキュリティ成熟度モデル認証(CMMC)プログラムの将来が不透明であり、DoDの最終的な決定が変更されたり遅れたりする可能性があることが浮き彫りにされました。バイデン政権の最近のサイバーセキュリティに関する大統領令と相まって、これは、最終的に出来上がるCMMC体制に準拠しようとしている政府契約事業者(特に中小企業)に新たな不確実性をもたらします。
 2021年5月18日の公聴会には、2月にCMMCの責任者となった産業政策担当国防副次官補のジェシー・サラザールからの証言がありました。サラザールの書面による証言は、CMMCの主要目的のうち以下の3つを強調しています。

  1. サイバーセキュリティ要件の統一されたセットを調達プロセスと契約文書に組み込む。
  2. 特定の裁定に参加するすべての請負事業者および下請事業者が必須のサイバーセキュリティ要件を満たしているかどうか、外部評価によりDODが保証を提供する。
  3. 請負事業者がサイバー攻撃に対する準備を改善し、国防総省の要件に準拠することを支援するためのサポートリソース、情報、およびトレーニングを開発する。

 サラザールは、サプライチェーン全体でCMMCを実装する必要性に頻繁に焦点を当てました。ここでは、Tier-3およびTier-4サプライヤーが防衛産業基盤の75%近くを占め、ほぼすべてが中小企業です。(以上、JD Supra  July 9, 2021 記事より)』

 さらに、以下のような課題も議論になっており、CMMCの前途は多難であると言えます。

  • 中小企業のサイバーセキュリティのコスト管理
  • サイバーセキュリティの規制、ポリシー、および契約要件の明確化
  • 成熟する評価エコシステムへの信頼と信用を強化する

 『したがって、請負事業者の皆様は、開発中のCMMC要件とポリシーを引き続き監視することをお勧めしますが、さらなる遅延と潜在的な変更の可能性があるということで備えてください。』と締めくくっています。(>>記事全文はNIS-Beに掲載


 CMMCのコストに関する記事(翻訳)も以下に紹介します。

 国防総省の調達における主な指標に、コスト、スケジュール、パフォーマンスと共に、セキュリティを高める必要性があげられています。私達は、調達コストに関する政府見解を確認してみる必要があります。(>>全文はNIS-Beに

 国防総省のサイバーセキュリティ成熟度モデル認定プログラム(CMMC)を取巻く質問の多くは、それがどのように展開され、請負業者がどのように認定されるかに関して寄せられています。 ( >>全文はNIS-Beに