米国防総省の契約条項にはCUIの取り扱いに関する要件が含まれており、これらは過去数年間で進化してきました。

DFARS 252.204-7012には、CUIを保護するための基本要件の概要が記載されています。これは、NIST 800-171で定義された110の管理策に基づいています。組織は、これらの管理策のほとんどを満たしていることを主張し、残りの管理策を満たすための行動計画およびマイルストーン (POAM) を作成する必要があります。また、この条項では、政府のCUIを危険にさらすサイバーインシデントが発生した場合に、政府機関の顧客に通知する必要があります。 

7012条項は2017年に初めて導入されました。2023年に政府は、CUIに関連する3つの新しい条項、7019、7020、7021を導入しました。

DFARS 252.204-7019は、7012の報告要件を拡張します。組織は、システムの評価を実行してスコアを生成する必要があります。そのスコアはサプライヤパフォーマンスリスクシステム (SPRS) のウェブサイトに報告され、政府機関や元請業者がこれらのスコアを確認できます。これらの評価とスコアは3年ごとに更新する必要があります。

DFARS 252.204-7020では、7019の異なる評価レベルが定義されています。CUIデータの種類に応じて、評価は組織または政府チームによって実行される場合があります。この条項は、政府機関が決定すれば、これらの審査を実行する権限を政府機関に付与することを主張します。

DFARS 252.204-7021はCMMCプログラムを作成します。このプログラムは、レベルごとに異なる評価要件を持つ3つのレベルのサプライヤを定義します。レベル1のサプライヤは、NIST 800-171の15の基本管理策を満たしている必要があり、評価はその組織によって行われます。レベル2のサプライヤは、110の管理策すべてを満たし、認定CMMC第三者評価機関 (C3PAO) による評価を受ける必要があります。レベル3のサプライヤは、政府関係者によって直接審査される必要があります。国防総省は説明文書の中で、第3版が2024年に発行されたにもかかわらず、CMMCはNIST 800-171第2版に準拠することを確認しました。

CMMCの完全なプログラムは2024年末に公開され、7021を要件とする最初の契約は2025年初頭に発行されました。

CMMCはITチームに明確な影響を与えます。これらのチームは、組織のデータシステム (Eメール、データストレージ、オフィスツール、開発ツール) がCMMCの要件に準拠していることを確認する必要があります。ほとんどの企業では、IT部門がCMMCへの準拠、評価の取得、および準拠を証明する声明の署名を担当しています。 

過去数十年間、テストシステムはこれらのセキュリティプログラムの多くから除外されてきました。しかし、テストシステムはCUIを含む政府の機密データを処理しています。テストシステムは、政府ネットワークにデプロイされているシステムに接続し、テストシステムへの悪意のある攻撃により政府システムが侵害されます。テストシステムはセキュリティ防御システムの重要な要素であり、CMMC評価に含める必要があります。 

これは、テストシステムがNIST 800-171管理策に準拠している必要があることを意味します。しかし、これらの管理策への準拠は、主流のITシステムとは異なるアプローチで行う必要があります。例えば、IT管理策はシステムを最新の状態に維持するために頻繁な更新を必要とします。テストシステムは同じ頻度で更新することはできません。更新は継続的な運用を確保するために十分にテストされる必要があり、テストの合間に適用されなければなりません。テストの途中で更新を適用すると、テストの遅延が発生する可能性があり、さらには安全上の問題につながることもあります。 

これらの違いを理解するために、テスト機器は情報技術 (IT) ではなく運用技術 (OT) に分類されます。NIST 800-82『運用技術 (OT) セキュリティガイド』には、ITシステムとOTシステムのセキュリティの違いを理解するためのガイダンスが記載されています。これは、テストシステムのセキュリティ戦略を作成するITチームにとって重要な文書になります。

NIは世界中のテストチームと密接に協力し、悪意のある攻撃からテストシステムを守ります。成功するチームは、以下のセキュリティ原則を実行しています。

• ITセキュリティチームとの明確でオープンなコミュニケーションチャンネルをできるだけ早く作成します。チームの義務やガイドラインを理解するよう努め、テスト運用の仕組みを紹介する時間を確保します。 

• 安全な開発フレームワークを開発プロセスに採用します。NIST 800-218は、安全なソリューションを開発するためにチームが従うべき指針を提供しています。

• 必要な機能や文書を提供できる信頼できるサプライヤと協力してください。セキュリティを重視する企業のコンポーネントを利用すれば、システムの安全性を証明することがはるかに容易になります。サプライヤがSBOM、揮発性に関する文書、コンプライアンスマトリクス、および安全な実装ガイドなどの文書を提供できれば、事務処理の負担が軽減されます。 

• セキュリティの文化を醸成し、セキュリティに真剣に取り組むチームを教育します。

• 継続性のあるセキュリティの計画を作成します。テストシステムを更新すると、テストチームに大きな負担がかかります。それはテストのワークフローに支障をきたします。システムの再検証が必要な場合があります。これらの更新が運用フローに適合するように、継続的な計画を検討する必要があります。また、お客様または自社がこれらの更新に必要な資金を確保できるようにする必要があります。

• 学びの機会。NIは年に2回、テストシステムセキュリティサミットを開催し、その成果をテストシステムセキュリティフォーラムで発表しています。これらの会議に参加して、質問をしたり、業界のベストプラクティスについて学んだりしましょう。 

NIST 800-171に記載されている要件の詳細については、CMMC要件を参照してください。

• セキュリティに関するお知らせの購読
• セキュリティ更新のダウンロード
• セキュリティ問題の報告

^{Linux®は、全世界における商標保持者Linus Torvalds氏から排他的ライセンスを受けているLMI (Linux Mark Institute) からの許諾により使用しています。}