« ENISA CSIRTと法執行機関の連携を強化するためのトレーニング資料を追加公開 | Main | 高橋先生の「コロナウイルス(Covid-19)とGDPR (26) コンタクトトレーシングアプリの要求事項を整理する」はよく整理されている! »

2020.05.01

Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

こんにちは、丸山満彦です。

このブログでも取り上げたことがあるのですが、サイバーセキュリティ成熟度モデル認証制度(Cybersecurity Maturity Model Certification:CMMC)が注目されていますが、元軍関係者のFrank Kendall氏がForbesに寄稿している記事が興味深いです(思いっきり否定的です(^^))。

Forbes

・2020.04.29 Cybersecurity Maturity Model Certification: An Idea Whose Time Has Not Come And Never May by Frank Kendall

極めて常識的な意見のような気もします・・・

-----
More adjustments are needed: Compliance auditing and incentives should be strengthened, self-certification by industry isn’t reliable enough, standards need to be better defined and more consistently applied, and standards should be tailorable based on the type of information the firm possesses and the damage theft or destruction of that information would entail.
-----
準拠性監査とインセンティブを強化すべきであり、産業界による自己認証は十分な信頼性がなく、基準をより明確に定義し、より一貫性を持って適用する必要があり、基準は企業が保有する情報の種類と、その情報の盗難や破壊がもたらすであろう損害に基づいて調整可能なものにすべきである。
-----

とか

-----
Determining whether or not a contractor is qualified to bid on a government contract is, in my view, an inherently governmental function. Under CMMC, however, a new bureaucracy, created outside of government, takes on that role. The new bureaucracy consists of an independent non-profit Accreditation Body (for which a Board of Directors has already been appointed) whose principle function is to approve and oversee Assessment Organizations that in turn employ and field licensed Assessors of the CMMC levels for companies wishing to bid on or be sub-contractors on Defense Department contracts. How Assessment Organizations will be accredited to field licensed Assessors is a mystery, including to the Accreditation Body itself.
-----
請負業者が政府の契約に入札する資格があるかどうかを決定することは、私の考えでは、本質的には政府の機能である。しかしCMMCの下では、政府の外に作られた新しい官僚機構がその役割を担うことになる。この新しい官僚機構は、独立した非営利の認定機関(すでに理事会が任命されている)で構成されており、その主な機能は、国防総省の契約の入札や下請けを希望する企業のために、CMMCレベルのライセンスを受けた査定員を雇用し、現場に配置する査定機関を承認し、監督することにある。評価機関がどのようにして現場でライセンスを受けた評価者に認定されるのかは、認定機関自身も含めて確定していない。
-----




まるちゃんの情報セキュリティ気まぐれ日記

・2020.04.19 COVID-19によりDODのサイバーセキュリティ認証(CMMC)の開始が遅れる?
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

 

 

|

« ENISA CSIRTと法執行機関の連携を強化するためのトレーニング資料を追加公開 | Main | 高橋先生の「コロナウイルス(Covid-19)とGDPR (26) コンタクトトレーシングアプリの要求事項を整理する」はよく整理されている! »

Comments

Post a comment



(Not displayed with comment.)




« ENISA CSIRTと法執行機関の連携を強化するためのトレーニング資料を追加公開 | Main | 高橋先生の「コロナウイルス(Covid-19)とGDPR (26) コンタクトトレーシングアプリの要求事項を整理する」はよく整理されている! »