米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善: まるちゃんの情報セキュリティ気まぐれ日記

September 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

2021.12.11

米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

こんにちは、丸山満彦です。

GAOが国防省の委託事業者のサイバーセキュリティ認証の認証フレームワーク (CMMC) の改善についての監査報告をしていますね。。。

推奨事項としては、

サイバーセキュリティ成熟度モデル認証について、追加情報の提供時期を含め、産業界に十分かつタイムリーな情報提供を行うことを保証すべき
サイバーセキュリティ成熟度モデル認証のパイロットの効果を評価するための計画を策定することを保証すべき
成果指向のパフォーマンス指標を開発することを、取得・維持担当国防次官に保証すべき

というかんじでしょうか。。。

● U.S. Government Accountability Office

・2021.12.08 Defense Contractor Cybersecurity:Stakeholder Communication and Performance Goals Could Improve Certification Framework

Defense Contractor Cybersecurity: Stakeholder Communication and Performance Goals Could Improve Certification Framework	防衛省の委託先のサイバーセキュリティ：関係者間のコミュニケーションとパフォーマンス目標により、認証フレームワークを改善できる可能性がある。
Fast Facts	概要
Defense contractors are targets for hackers who are trying to access sensitive data. The Department of Defense is working on a framework to certify that contractors have proper cybersecurity practices in place to protect data.	防衛省の請負業者は、機密データにアクセスしようとするハッカーの標的となっている。国防総省は、請負業者がデータを保護するために適切なサイバーセキュリティを実践していることを認証するフレームワークを作成している。
DOD worked with industry and experts on the framework. However, its plans to start certifying contractors are delayed, and DOD hasn't communicated key details for defense contractors, such as reciprocity between its certification and others. In addition, DOD won't know how effective the certification is until it sets performance goals.	国防総省は、業界や専門家と協力してフレームワークを作成しました。しかし、コントラクターの認証を開始する計画は遅れており、DODは、自社の認証と他社の認証との相互関係など、防衛コントラクターにとって重要な詳細を伝えていません。さらに、DODはパフォーマンス目標を設定するまで、認証の効果を知ることができない。
We recommended that DOD develop outcome-oriented performance measures, and more.	私たちは、DODが成果重視のパフォーマンス指標を策定するよう提言しました。
Highlights	ハイライト
What GAO Found	GAOの調査結果
For years, malicious cyber actors have targeted defense contractors to access sensitive unclassified data. In response, since 2019, the Department of Defense (DOD) has engaged with a range of stakeholders to develop and refine a set of cybersecurity practices and processes for contractors to use to help assure security of the data. For relevant contracts, this Cybersecurity Maturity Model Certification (CMMC) requires that defense contractors implement these practices and processes on their information systems and networks.	長年にわたり、悪意のあるサイバーアクターは、機密の未分類データにアクセスするために防衛請負業者を標的にしてきました。これを受けて、2019年以降、国防総省（DOD）はさまざまな関係者と協力して、契約者がデータのセキュリティを保証するために使用する一連のサイバーセキュリティの実践とプロセスを開発し、改良してきました。関連する契約について、このサイバーセキュリティ成熟度モデル認証（CMMC）は、防衛省の請負業者がこれらのプラクティスとプロセスを情報システムとネットワークに実装することを求めています。

Key Steps in CMMC Verification Process	CMMC検証プロセスの主要ステップ
DOD began CMMC implementation with an interim rule that took effect in November 2020, but the rollout of the 5-year pilot phase is delayed. For example, DOD planned to pilot the CMMC requirement on up to 15 acquisitions in fiscal year 2021 but has not yet included the requirement in any acquisitions, in part due to delays in certifying assessors. Industry—in particular, small businesses—has expressed a range of concerns about CMMC implementation, such as costs and assessment consistency. DOD engaged with industry in refining early versions of CMMC, but it has not provided sufficient details and timely communication on implementation. Until DOD improves this communication, industry will be challenged to implement protections for DOD's sensitive data. DOD has identified plans to assess aspects of its CMMC pilot, including high-level objectives and data collection activities, but these plans do not fully reflect GAO's leading practices for effective pilot design. For example, DOD has not defined when and how it will analyze its data to measure performance. Further, GAO found that DOD has not developed outcome-oriented measures, such as reduced risk to sensitive information, to gauge the effectiveness of CMMC. Without such measures, the department will be hindered in evaluating the extent to which CMMC is increasing the cybersecurity of the defense industrial base. In November 2021, DOD announced CMMC 2.0, which includes a number of significant changes, including eliminating some certification levels, DOD-specific cybersecurity practices, and assessment requirements. DOD also announced that it intended to suspend the current CMMC pilot and initiate a new rulemaking period to implement the revised framework.	DODは、2020年11月に発効した暫定規則でCMMCの実施を開始しましたが、5年間のパイロットフェーズの展開が遅れています。例えば、DODは2021会計年度に最大15件の買収案件でCMMC要件を試験的に導入することを計画したが、評価者の認証の遅れもあり、まだどの買収案件にも要件を盛り込んでいない。産業界（特に中小企業）からは、CMMCの導入について、コストや評価の一貫性など、さまざまな懸念が寄せられています。DODは、CMMCの初期バージョンを改良するために産業界と協力しましたが、CMMCの導入に関して十分な詳細とタイムリーな情報を提供していません。DODがこのコミュニケーションを改善するまでは、産業界はDODの機密データの保護を実施することが困難になるでしょう。DODは、ハイレベルな目標やデータ収集活動など、CMMCパイロットの側面を評価する計画を明らかにしていますが、これらの計画は、効果的なパイロット設計のためのGAOのリーディング・プラクティスを完全には反映していません。例えば、DODはパフォーマンスを測定するためにいつ、どのようにデータを分析するかを定義していません。さらにGAOは、DODがCMMCの効果を測るために、機密情報のリスク軽減などの成果重視の指標を開発していないことを明らかにした。このような測定法がなければ、DODはCMMCが防衛産業基盤のサイバーセキュリティをどの程度向上させているかを評価するのに支障をきたすだろう。2021年11月、DODはCMMC 2.0を発表しましたが、このCMMC 2.0には、一部の認証レベル、DOD固有のサイバーセキュリティプラクティス、評価要件の廃止など、多くの重要な変更点が含まれています。また、DODは、現行のCMMCパイロットを中断し、改訂されたフレームワークを導入するための新たなルールメイキング期間を開始する意向を発表しました。
Why GAO Did This Study	GAOがこの調査を行った理由
DOD relies on thousands of defense contractors for goods and services ranging from weapon systems to analysis to maintenance. In doing business with DOD, these companies access and use sensitive unclassified data. Accordingly, the department has taken steps intended to improve the cybersecurity of this defense industrial base.	DODは、兵器システムから分析、保守に至るまでの商品やサービスを、何千もの防衛請負業者に依存しています。DODとのビジネスにおいて、これらの企業は機密性の高い未分類データにアクセスし、使用しています。そのため、DODは、この防衛産業基盤のサイバーセキュリティを向上させることを目的とした措置を講じています。
A Senate report included a provision for GAO to review DOD's implementation of CMMC. This report addresses (1) what steps DOD took to develop CMMC, (2) the extent to which DOD made progress in implementing CMMC, including communication with industry, and (3) the extent to which DOD has developed plans to assess the effectiveness of CMMC.	上院の報告書には、GAOがDODのCMMCの実施状況をレビューするという条項が含まれていました。本報告書では、(1)DODがCMMCを開発するためにどのようなステップを踏んだか、(2)DODが産業界とのコミュニケーションを含めてCMMCの実施をどの程度まで進めたか、(3)DODがCMMCの有効性を評価するための計画をどの程度まで策定したか、を取り上げています。
GAO reviewed DOD documents related to the design and implementation of CMMC and interviewed DOD officials involved in designing and managing it. GAO also interviewed representatives from defense contractors, industry trade groups, and research centers.	GAOは、CMMCの設計と実施に関連するDODの文書をレビューし、CMMCの設計と管理に携わるDODの職員にインタビューを行った。GAOはまた、防衛請負業者、業界団体、研究センターの代表者にもインタビューを行った。
Recommendations	推奨事項
GAO is making three recommendations to DOD to improve communication to industry, develop a plan to evaluate the pilot, and develop outcome-oriented performance measures. DOD concurred with the recommendations and outlined plans to address them in CMMC 2.0.	GAOはDODに対し、産業界とのコミュニケーションの改善、パイロットの評価計画の策定、成果重視のパフォーマンス指標の策定という3つの提言を行っている。DODは提言に同意し、CMMC2.0でそれらに対処する計画を概説した。
Recommendations for Executive Action	長官が取るべき行動に関する推奨事項
The Secretary of Defense should ensure the Under Secretary of Defense for Acquisition and Sustainment provides sufficient and timely communication to industry on Cybersecurity Maturity Model Certification, including when additional information will be forthcoming. (Recommendation 1)	国防長官は、取得・維持担当国防次官が、サイバーセキュリティ成熟度モデル認証について、追加情報の提供時期を含め、産業界に十分かつタイムリーな情報提供を行うことを保証すべきである。(推奨事項1)
The Secretary of Defense should ensure the Under Secretary of Defense for Acquisition and Sustainment develops a plan to evaluate the effectiveness of Cybersecurity Maturity Model Certification's pilot, including establishing measurable objectives, collecting relevant data, and identifying lessons and plans to use that information to inform future decisions about the Cybersecurity Maturity Model Certification. (Recommendation 2)	国防長官は、取得・維持担当国防次官が、測定可能な目標の確立、関連データの収集、教訓の特定、およびサイバーセキュリティ成熟度モデル認証に関する将来の決定に情報を提供するためにその情報を使用する計画を含む、サイバーセキュリティ成熟度モデル認証のパイロットの効果を評価するための計画を策定することを保証すべきである。(推奨事項2)
The Secretary of Defense should ensure the Under Secretary of Defense for Acquisition and Sustainment develop outcome-oriented performance measures to evaluate the effectiveness of Cybersecurity Maturity Model Certification as a component of the department's efforts to enhance cybersecurity for the defense industrial base. (Recommendation 3)	国防長官は、国防産業基盤のサイバーセキュリティを強化するための国防省の取り組みの一環として、サイバーセキュリティ・モデル認証の有効性を評価するために、成果指向のパフォーマンス指標を開発することを、取得・維持担当国防次官に保証すべきである。(推奨事項3)