米国国防総省のサイバーセキュリティ基準の変化 〜DFARS+171からDFARS+CMMCへ〜
しばらくぶりにアメリカ訪問してきました。今回は米国航空宇宙産業の業界団体であるAIA (Aerospace Industries Association) を訪問して、NIST SP800-171などの業界適用事情を伺いました。ひとことで言えば、NIST SP800-171からCMMC(Cybersecurity Maturity Model Certification)へ大きく舵が切られようとしている、という流れを感じたものです。
2018年にDODがCUI情報を扱う調達先に対して適用が始まったDFARS 252.204-7012とNIST SP 800-171は、その適用状況に関してはなかなかめざましい進展がアナウンスされることはありませんでした。私達も、米国の状況を紹介しながらも、どの程度適用が普及しているのか不安に思っていました。すると、昨年(2019年)ついに米国国防総省(以下、DoD)は、CUI情報を扱う案件だけでなく全てのUnclassified情報を扱う調達に対する要件をカバーする仕組みとしてCMMCを適用することを宣言しました。CMMCは現在粛々とルール作りが進んでおり、2019年12月にVer. 0.7が公表され、2020年1月までにはVer. 1.0として適用を宣言する見通しだそうです。
上図のように、『サイバーセキュリティ』は、「コスト」「スケジュール」「性能」と並ぶ4つめの柱、ではなくそもそも土台である、と強調しています。
では、何故DFARS+171ではいけなかったのでしょうか? それは、110項目の要件に対して、満たせないものは今後の対応計画(PoAM)を作成すれば良いとしたことが一因のようです。その他にも、リスク対応型の要件ではなく、一律に同じ要件を全サプライチェーンに課したことなども遵守を現実的でなくした要因だったようです。
そして、これに代わって考え出されたのがCMMCです。基本的に要件を5レベルに分類し、DoDと直接間接に契約したい組織はレベル1以上の認定がされていることは必須です。さらに、扱うデータや脅威に応じてどのレベルの認定を取るかが決められ、必要によりダイナミックにレベルが想定されています。CUIを扱うなら一律に171の全項目に従え(CMMCではレベル3相当)という従来のやり方とは変わるのです。
では、これまでのNIST SP800-171はどうなってしまうのでしょう? 171はあくまで全連邦政府共通にNISTが決めたセキュリティ要件ですし、DoDの方針に左右されるものではありません。171も年々新しい版に改訂され、171A、171Bなども整備され適用しやすいツールが整ってきています。DoD契約についても、現状では対応が必須であると同時に、他の連邦政府機関ではまだまだこれから適用が進んでゆく見込みだと考えられます。しかし、近い将来、防衛産業においてCMMCが適用されると、他の連邦政府も追随するということも考え得る状況だと思います。
我が国の防衛産業は、どのような準備をすべきでしょうか? まずは、CMMCが義務化(DFARS改訂)される2020年秋頃をメドに、レベル1の認定は得ておくことが重要となります。秋以降の契約更新または新規契約時から適用されるという点はこれまでのDFARSと同じだそうです。なお、レベル1は要求項目も17と最小限であり、認定も半日あれば可能であろうと言われています。大半のTIER1企業にとっては特に問題となるレベルではないはずです。
とは言っても、フローダウン条項は残るので、自らにどのような遵守指示が出され、配下のサプライヤーに対してどのような指示を出すべきかといった観点でも、DoDのこの動きをウォッチしてゆくことが重要だと思われます。
(久野)