あなたがクライアント、または請負業者や下請け業者として国防総省 (DoD) に貢献しているクライアントをサポートしている企業であれば、国防連邦調達規則補足文書 (DFARS) について聞いたことがあるかもしれません。 連邦政府との契約をサポートする民間組織が共有し、作成・維持する国防機密情報を保護することは、国家安全保障にとって極めて重要です。
DFARS のセキュリティ コンプライアンス要件は、米国標準技術局 (NIST) の Special Publication 800-171 “Protecting Controlled Unclassified Information in Non-Federal Information Systems and Organizations” のガイダンスに従って、契約者と下請業者の両方が適用しなければなりません。 幸いなことに、DFARSのコンプライアンス要件は、すでに情報セキュリティに用いられているベストプラクティスに基づく一連の標準的なセキュリティ管理であるため、コンプライアンスは困難な課題ではありません。 DFARSサイバーセキュリティ規則サブパート204.73(2017年12月28日改訂)の「対象となる防衛情報の保護とサイバーインシデントの報告」は、こちらからご覧いただけます。 http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm
Protecting Covered Defense Information
DFARSサイバーセキュリティ準拠を達成するには、防衛契約者の情報システムは、連邦政府の内部情報システムと同じ保護を提供し、同じDFARS準拠要件を満たして、連邦データに対応しなければなりません。 対象防衛情報 (CDI) の保護は DFARS の中核的な要件であり、CDI は管理下非分類情報 (CUI) のサブセットとなっています。 CDIはDoDから請負業者に提供され、情報のセキュリティと完全性を保護することは請負業者の責任となる。 CDI には、管理された技術情報 (CTI)、運用セキュリティ情報、輸出規制情報、および保護を必要とするその他のマーク付き情報の 4 つのサブカテゴリがあります。
DFARS への準拠を評価する
CTI は軍事作戦に関連する技術情報ですが、一般の DoD 情報とは見なされません。 CTI の閲覧にはセキュリティクリアランスは必要ありませんが、一般に公開されている情報ではありません。 CTIは、そのアクセス、表示、使用、開示、複製、変更、実行、または普及に関する統制の対象となります。 DFARS は、CTI の追加定義を規定している。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Minimum Requirements for Federal Contractors
DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. DFARS条項252.204-7012「Safeguarding Covered Defense Information and Cyber Incident Reporting」では、国防総省の請負業者は、請負業者が非分類、非連邦システム上の機密防衛情報の保護およびサイバーセキュリティ事件の報告を行うための要件フレームワークを提供するNIST Special Publication 800-171 に準拠しなければならないとされています。
DFARS Clause 252.204-7012 規制フレームワークは、防衛請負業者に対し、以下の要件コンポーネントがどのように満たされているかを具体的に文書化するよう要求しています:
- 最初のコンポーネントには、連邦政府の対象とならない請負業者の情報システムに対して適切なセキュリティを提供することが含まれます。 適切なセキュリティとは、セキュリティ事故による情報への不正アクセス、損失、誤用、改変によって発生しうる損害に見合った保護措置と定義される。 NIST SP 800-171ガイドラインへの準拠は、効果的に「適切なセキュリティ」を提供する
- 第二の構成要素は、サイバーセキュリティインシデント報告に関するものである。 サイバーインシデントレポートの最低限必要な要素は、こちらで確認できます。 http://dibnet.dod.mil. DIBNet ポータルは、国防総省の請負業者と下請け業者がサイバー インシデントを報告し、国防総省のサイバーセキュリティ プログラムに自主的に参加するためのゲートウェイです。
報告されたインシデントに悪意のあるソフトウェアが含まれていると判断された場合、そのイベントの説明も国防総省のサイバー犯罪センターに提出する必要があります。 インシデント報告ガイダンスでは、サイバーインシデントレポートの提出から最低 90 日間、影響を受けたすべての既知の情報システムの画像およびすべての関連するモニタリング/パケットキャプチャデータの保存と保護を義務付けています。 国防総省がサイバーセキュリティ事象による損害の正式な評価を行うことを決定した場合、請負業者はその評価を裏付けるメディアやその他の資料を提出するよう求められる。
特定の DFARS 要件は、以下でより詳細に検討します。
下請業者およびサプライ チェーン管理
DFARS Clause 252.204-7012 は、CDI に関与するか運用上重要なサポートと考えられる下請業者とサプライヤーへのフローダウン コンプライアンスを制限するために修正されました。 DFARS に基づく DoD のプライム コントラクターは、サプライ チェーン全体を強化し、自社の DFARS コンプライアンスだけでなく、下請け業者が同様にコンプライアンスを実証することを保証し、積極的に行動することが義務付けられています。 その結果、下請け業者は、CDIが下請け業者と共有される前に、DFARSとNIST 800-171ガイドラインから逸脱する可能性のある行為を報告する責任を負います。 元請業者は、下請業者が連邦契約の下で割り当てられた業務を遂行するためにアクセスする必要のあるCDIデータに基づいて、下請業者へ流れる情報を管理することが重要である。
Cybersecurity Incident Reporting
情報の完全性や情報システムを侵害するサイバーセキュリティ事件が発生した場合の DFARS 基準における請負業者の責任は、72 時間以内に DoD に事件を報告しなければならない迅速な報告であり、これによって、情報の統合が行われました。 潜在的な侵害の範囲を決定するために、最低限、侵害されたシステム、技術データ、ユーザーのリスト、および侵害された可能性のある他のシステムのリストを含む必要がある評価が要求される。 また、この評価では、徹底したシステムレビューを行い、将来のインシデントを防止するための方法を提供する必要があります。
下請け業者が経験したサイバーセキュリティの事象は、DFARSの要件に従って証拠を提供し、元請け業者または次の層の下請け業者に報告されなければなりません。 元請業者は、上記の請負業者の詳細に従って提出された証拠とともに、DoD のインシデント報告に責任を負います。
クラウドサービスプロバイダー
請負業者が DoD 契約の CDI を保存、処理、または送信するためにクラウドサービスプロバイダーを使用する場合、DFARS コンプライアンスに関連すると考えられる 3 つのセキュリティ標準があります。
- DoD 契約のデータのホストまたは処理にクラウドソリューションを使用する業者は、クラウドサービスプロバイダが連邦リスクおよび権限管理プログラム (「FedRamp」) 中程度ベースラインで確立したセキュリティ要件と、ケースレポート要件などの特定の DFARS 要件に準拠しなければならないことを確認しなければなりません。
- NIST SP 800-171 基準は、請負業者が DoD 契約をサポートするためにデータをホストまたは処理するエンタープライズ システムで内部クラウドコンピューティング(サードパーティのプラットフォームではない)を使用する場合に適用されます。
- DoD に IT サービスを提供するためにクラウドコンピューティングを使用している業者は、「Cloud Computing Security Requirements Guide」(SRG)https://iasecontent.disa.mil/cloud/SRG/index.html における要件に適合する必要があります。 SRGは、クラウドベースのサービスを利用するために必要な物理的、管理的、技術的なセキュリティ管理を実施、維持する上で、サービスおよびセキュリティレベルの管理および契約者の要件を提供するセキュリティモデルの概要を示している。
Proving DFARS Compliance
現在、DFARSへの準拠を証明するには自己証明で十分と考えられており、第三者による監査は必須ではありません。 NIST 800-171 に基づいて十分に文書化された SSP で、コントロールとその実装を関連付けるか、または代償コントロールがあれば、生じるべき疑問を解決するには十分です。 政府契約の提案の技術評価では、SSP を使用することができ、また、DoD 契約の授与の検討の一環として、コンプライアンスを文書化するための行動計画およびマイルストーン (POA&M) を要求することもできます。
DoD向けのサプライチェーン内で製品を提供する製造業者向けに、NISTは自己評価ハンドブックであるNIST Handbook 162 “NIST MEP Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements” を提供しています。 このハンドブックは、NIST SP 800-171のセキュリティ要件に対して、小規模メーカーの情報システムを評価するためのステップバイステップガイドを提供します。
準備しましょう – コンプライアンス監査がやってくる
2019年1月、国防次官は、DFARSのコンプライアンスについてDoDサプライチェーンを監査する意図を文書化したメモを発行しました。 このメモでは、国防契約管理局 (DCMA) に、契約者が DFARS 条項 252.204-7012 の要件に準拠していることを検証するために、すべてのティア 1 契約者を監査するよう命じています。
- 請負業者が SSP を持っていることの確認
- 請負業者がまだ実装されていないセキュリティ コントロールを列挙した 30 日間の通知を提出したことの確認
- 請負業者がサイバー事件の報告 (ECA Certificate Policy https://iase.disa.mil/pki/eca/Pages/index.aspx) に必要な有効な中保証公開鍵基盤 (PKI) 証明書を持つことの確認
。
監査要件は、一次サプライヤーの DCMA 直接評価のみを必要としますが、これは、請負業者のビジネス パートナーの DoD サプライチェーン全体にも影響を与えることが予想されます。 組織がサプライ チェーン市場で DoD 契約のために競争し、DFARS ベンダー調査で簡単に「はい」と答えて説明責任を実証したいのであれば、積極的に、セキュリティに焦点を当てた専門家のサード パーティ マネージド セキュリティ サービス プロバイダー (MSSP) に連絡するようにしてください。 DoDコントラクターのDFARSコンプライアンス要件に特化した専門知識を持つMSSPは、必要な評価と監査を実施し、DFARSコンプライアンス達成に必要な是正作業を行うことで組織をサポートします。
DFARS/NIST SP 800-171 コンプライアンスを達成することは、1 回限りの解決策ではありません。 組織が常に進化するセキュリティ要件へのコンプライアンスを維持し、DoD の請負業者としての適格性を確保するための、評価、監視、改善の継続的なプロセスなのです。 RSI Security のように、DFARS コンプライアンスとサイバーセキュリティの監視を必要とする DoD 請負業者向けのコンプライアンスサービスに特化した専門知識を持つ MSSP は、必要な評価と監査の実施、および DFARS/NIST SP 800-171 コンプライアンス達成に必要な修正作業の実行において、お客様の組織をサポートします。
国防総省の監査を受け、準拠していないことが判明した防衛請負業者は、おそらく業務停止命令に直面することになります。 これは、CDI を効果的に保護するための適切なセキュリティ対策が実施されるまで、DoD 契約のために行われるすべての作業が中断されることを意味します。 DoDはまた、契約違反や虚偽の請求に対する損害賠償を含む金銭的な罰則を課すこともできる。 深刻なコンプライアンス違反の場合、DoDは契約を打ち切ったり、契約者がDODと再び仕事をすることを停止することさえあり得るのです。
準備のために契約者ができること
現在および将来の進化する DFARS 要件に備えるために、契約者は以下のことを積極的に行うことができます:
- NIST SP 800-171 セキュリティ管理を見直し、組織のセキュリティ管理により広範囲の潜在的サイバー攻撃に対する適切な保護が得られることを検証すること。
- ギャップアセスメントを実施して、必要なセキュリティ管理が満たされていないかどうかを判断し、SSP および POA&M
- 組織が下請業者およびサプライヤーと連携する場合、それらのコンプライアンスの評価および下請業者に流れるすべての CDI が適切なセキュリティ管理で保護されているかどうかを確認する計画を作成する。
- サプライ チェーン全体を通じて下請け業者やサプライヤーと情報を共有するための CDI フローダウン要件を追跡する計画を策定する。
DFARS コンプライアンス チェックリストは、DFARS コンプライアンスの準備に役立つツールでもあります。
RSI Security の提供サービス:
RSI Security は 10 年間にわたり、企業から個人の請負業者まで、すべての人が DFARS コンプライアンスに合格するのを支援してきました。 私たちは、デジタル セキュリティとコンサルティングのリーダー企業の 1 つです。
RSI Securityは、企業から個人請負業者まで、あらゆる企業のDFARS準拠を10年にわたりサポートしてきました。
私たちのセキュリティサービスは、破壊的なセキュリティデータ侵害からあなたの会社を守るために、最高のツール、規定、実践を活用し、常に一流です。
RSI Security がデジタルサイバーセキュリティソリューションのリーダーである理由は、脆弱性評価、リアルタイムの行動監視、侵入検知、高度なデジタルパターン追跡、ハッカーの動作に関する固有の理解など、ほんの一例にすぎません。