NIS-Be通信+(No.14)
《TOPIC》
- セキュリティのさじ :CMMC 2.0/政府クラウド
- 最新情報 :CMMC 2.0について
- 米国新情報セキュリティ要件に対する日米労働・雇用慣習等の相違による日本の中小企業への最適化研究
- (用語解説) :SP 800-53その3(コンプロマイズド)
【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】
●11月4日に、DoDがCMMCの今後の進め方についての情報をプレスリリースしました。当通信の海外情報でも、CMMCの見直しが進んでいるとの情報を折に触れてご紹介してきましたが、やっと外部発表出来る段階に進んできたということなのだと思います。
プレスリリースの内容を見てみると、①簡素化(5レベルから3レベル、プロセス成熟度の削除)②レベル1における自己評価の許容③レベル2は第三者による外部評価と自己評価に分割、などが示されているようです。
防衛産業の中小企業を中心に評判の悪かった「全社認証」などは取り下げ、現実的な落としどころを定めたように読めますが、CMMC-ABも間髪を入れず「変更案を支持」と表明しており、停滞していたCMMCの活動にも具体的な進展がみられるのではと期待してしまいます。
詳しくは今後の報道や発表に期待するところですが、当通信でピックアップした海外情報の欄はCMMC 2.0一色ですし、NIS-BeサイトにもCMMC 2.0に関する情報を多く掲載していますので、ぜひご活用ください。
| 参考 | CMMCの今後の進め方 | :DoD 発表 11/4 |
| CMMC-AB、CMMC 2.0におけるDoDの実施変更案を支持 | :CMMC-AB表明 11/4 | |
| CMMC 2.0が発行 | :NIS-Beサイト 11/5 | |
| CMMC 2.0では何が変わったか | :NIS-Beサイト 11/11 | |
| CMMC 2.0の発表と注視すべき動向 | :NIS-Beサイト 11/24 |
同様に、ジェームズボンドでおなじみMI6等の情報機関が、10月下旬にAWS(アマゾン)とクラウド契約を締結したと報じられた英国。ただ、日本と違って、英国の場合は議会が即座に反応し、セキュリティ対策の妥当性について調査するとのことです。このあたりは、日本も見習いたいところです。
| 参考 | 政府クラウド、アマゾンとグーグルを選定 デジタル庁 | :日経新聞 10/26 |
| 英情報機関とアマゾンがクラウド契約 議会が調査へ | :日経新聞 11/1 |
【NIS-Be最新情報:更新情報、活動報告、海外最新情報等】
- サイト最新情報
6月1日にリニューアルしたNIS-Beサイトは、順次内容の充実を図っています。
今回の目玉はもちろんCMMC 2.0です。11月4日のDoDのCMMC2.0に関する発表を受けて、「NIS-Be通信号外」によるみなさまへのお報せを皮切りに、関連する各ニュースサイトおよびWebinarをいち早くクリップいたしました。11月11日には、補足解説としてわかりやすくまとめられている記事「CMMC 2.0では何が変わったか」の原文・和訳をCMMC News Clipに掲載しました。また、エヴァアビエーション社コンサルタントによるサマリーおよび分析として「CMMC 2.0の発表と注視すべき動向」という記事も11月24日にサイトに登録しています。
今後も、有用な情報を速やかに、そしてわかりやすくお届けできるよう努めてまいります。NIS-Beサイトを、これからもよろしくお願いいたします。
NIS-Be 情報共有会員サイト | NIS-Be 情報共有サイト(会員専用)
来年1月31日、NIS-Be会員限定で「米国・日本のセキュリティに関する最新情報」を提供するセミナ-を開催します(主催:BSK)。詳細は、各会員さま宛に追ってご案内いたします。直接ご質問などにお答えできる貴重な機会でもあり、内容もより深いものをお伝えできるよう準備中ですので、多くの方のご参加を心よりお待ちしております。
| ホワイトハウスが送り込んだ技術責任者、「CMMCの更新」を希望 | FCW 10/29 |
| サイバーセキュリティ大統領令に必要な予算増加が考慮されていません | NextGov 11/ 5 |
| 国防総省、CMMC改訂でサイバーセキュリティ認証プログラムの実施を一旦停止 | NextGov 11/ 5 |
| CMMC改訂版(2.0)のプロセス実施には2年かかる可能性も | FNN 11/10 |
| 国防総省、CMMCテストのボランティアを募集 | FCW 11/10 |
| CMMC 2.0の枠組みを公開しました | JD Supra 11/11 |
| 米の国土安全保障省セキュリティ責任者、「国防総省のCMMCへの変更」を批判 | FNN 11/16 |
| 国防総省、「CMMC 2.0で、産業界との協力関係を強化したい」と改訂の意図を示唆 | JD Supra 11/19 |
【コラム:米国新情報セキュリティ要件に対する日米労働・雇用慣習等の相違による日本の中小企業への最適化研究】
筆者:鈴木岩雄
はじめに:
日本における情報セキュリティ標準は、ISO/IEC 27001を基準としたISMS(Information Security Management System)認証が採用されている。この標準は、2002年以降、約20年間日本の大中小企業に定着しているものであり、ISMS文化ともいえる。
しかし数年前より米国国防総省(DoD:Department of Defense)と契約を行う企業(全ての下請負企業含む)は、米国発信の新情報セキュリティ要件であるNIST SP 800-171(National Institute of Standard and Technology Special Package 800-171、以下「171要件」と称す)を遵守すること(下請企業に対してはフローダウン要件とも云われている)が求められるようになった。
この新しい要件とISMSは多くの点で必ずしも整合性が取られているとはいえないところから、対象となる日本の企業、特にセキュリティ対応リソースが限られている中小企業では、どのように対応すべきかについて様々な困惑が生じている実態がある。
本投稿の最適化研究は、・・・・・
以降は、NIS-Be通信 | NIS-Be 情報共有会員サイト (aviation.jp)をご覧ください。
【One TERM(用語解説)】
- その3(コンプロマイズド)
当通信第12号でもご紹介しておりますが、NIS-Be運営に携わるエヴァアビエーション社がIPA様からNIST SP 800-53(rev.5)の和訳を委託され、その成果物がIPAサイトに登録されています。翻訳作業を進める中で、日本ではあまり使われていない用語や、日本での使われ方と意味が異なる用語の翻訳に苦労したと聞き及んでいます。
この「One Term」では前号に引き続き、SP 800-53に関連する用語についての解説として
「コンプロマイズド」について見ていきます。
【コンプロマイズド】
今回の用語であるコンプロマイズ【ド】(Compromise【d】)は、「OneTERM」バックナンバーで取り上げた同じ53のオーバーレイやセンシティブなどと異なり、筆者が日常の会話でカタカナ語として使ったことのない用語だったこともあって、まずはその用語の一般的な意味から調べました。
ジーニアス英和辞典(第3版)を引くと、語源として共に【com】約束する【promise】とあり、意味は名詞として【①:妥協、折衷、歩み寄り、②:妥協案、折衷案、③:損なうもの、譲歩】、動詞として【①:妥協する、折り合う、②:妥協して解決する、③:不行跡によって損なう、危うくする】とありました。
幅広いシーンで使われており・・・・・
以降は、NIS-Be通信 | NIS-Be 情報共有会員サイト (aviation.jp)をご覧下さい。
————————————————————————————————–
【編集後記】
2020年当初から継続してきた新型コロナの感染状況も落ち着きをみせ、まだ色々と懸念事項はあるものの、世の中も通常に復帰する方向にあるようです。
自分もワクチンも接種したしそろそろ自宅外での活動(旅行など)を再開しようと思い立ち、家内と一緒に旅行に行ってきました。同様な考えの人も多いようで、飛行機や観光地の人出は旧来とあまり変わりなく感じられました。
ただ、バス内の飲食禁止、食事場所での消毒やマスク着用徹底など異なる風景も多々ありながら、皆さん黙々と指示に従いつつ、久しぶりの観光を楽しんでおられる様子でした。
自分たちも同様に行動した訳ですが、以前ならインフルエンザ最流行期であっても、そういえばマスクや予防接種などは特に意識していなかったなぁと気がつきました。この変化の要因は何であったかと考えてみると、多くの情報や報道に接する中で、自分自身の問題と認識して「被害の大きさ」と「手間」を天秤にかけた結果のリスク意識の変化に思い至りました。
同じことが、セキュリティ対策でも言えるかも知れません。一人一人が自身の問題と認識して意識を変化させ、行動の変容につなげられるような活動(スピーディで正確な情報提供など)が出来ればと思いました。
(佃)
