米国防総省、契約業者向けサイバー基準の改訂版を発表

米国防総省は、「障壁を最小限に抑える」ことを目的とした契約業者向けのフレームワークとデジタル・セキュリティ基準の改訂版を発表しました。

https://www.acq.osd.mil/cmmc/index.html

米国国防総省(DoD)は、国家の機密情報を保護するために、さらに頻発する複雑なサイバー攻撃から防衛産業基盤を守るための包括的なフレームワークであるCMMC 2.0を発表しました。CMMC 2.0は、その合理化された要件により、以下のことを実現します。

中堅・中小企業の手間を削減
国防総省の情報保護の優先順位を設定
進化するサイバー脅威に対処するための国防総省と産業界の協力関係の強化

「CMMC 2.0」と名付けられた「サイバーセキュリティ成熟度モデル認証」は、すでに官僚主義が蔓延している国防総省の新たなお役所仕事の原因になりかねないとの懸念が寄せられたため、国防総省が数カ月間にわたる内部検討を行った結果としています。

CMMC 2.0は、防衛産業基盤のサイバーセキュリティを飛躍的に強化するものです。

産業界との協力関係を確立することで、企業がサイバー脅威を阻止するために必要なプラクティスを採用することを支援するとともに、国防総省の要求に準拠するための障害を最小限に抑えることができます。

当初のフレームワークでは5段階のシステムが採用されていましたが、新モデルでは3段階にまで縮小されています。

また、すべての防衛関連企業が「管理された未分類データ」を扱わない場合は、第三者認証を受ける必要がなくなりました。

この「管理された未分類データ」とは、情報の一般的な分類で、例えば武器を含む国防総省のシステムを意味します。

この「管理された未分類データ」を扱う企業は、新モデルの最上位レベルを満たし、一定のサイバーセキュリティ基準を満たしていることを証明する第三者認証を取得しなければ、契約を締結することができません。

バイデン大統領が指名した国防総省の最高情報責任者であるジョン・シャーマンは、CMMCを更新して企業が国防総省のサイバー基準を遵守しやすくしたいと述べていました。

コメントを残す

メールアドレスが公開されることはありません。