米国 国防総省 CMMCパブリックコメント募集の 手引きビデオを公開 (2023.02.15)
こんにちは、丸山満彦です。
2023.12.26にサイバーセキュリティ成熟度認証規則案を公表し、2024.02.26まで、コメントを受け付けますが、そのためには、サイバーセキュリティ成熟度認証規則案について理解が重要ということで、このビデオを公表したようですね。。。
ビデオは40分です。
● U.S. Department of Defense
・2024.02.15 Defense Department Releases Companion Video for CMMC Public Comment Period
Defense Department Releases Companion Video for CMMC Public Comment Period | 国防総省、CMMCパブリックコメント募集の 手引きビデオを公開 |
The Defense Department has released a detailed video that explains the nuances, complexities and importance of the recently published proposed rule for its Cybersecurity Maturity Model Certification program. | 国防総省は、最近公表されたサイバーセキュリティ成熟度モデル認証プログラムの規則案のニュアンス、複雑さ、重要性を説明する詳細なビデオを公開した。 |
The video is designed to better inform members of the defense industrial base and other interested parties about the proposed rule for the CMMC program and to help those stakeholders better prepare their own comments and input that will be reviewed before the CMMC program proposed rule is finalized. | このビデオは、防衛産業基盤のメンバーやその他の関係者にCMMCプログラムの規則案についてよりよく伝え、関係者がCMMCプログラムの規則案が最終決定される前に検討されるコメントや意見をよりよく準備できるようにするためのものである。 |
A 60-day public comment period on the proposed rule opened Dec. 26, 2023. The public comment period closes Feb. 26 at 11:59 p.m. Comments received during the public comment period will be reviewed and will inform the final rule. | 規則案に対する60日間のパブリックコメント期間は、2023年12月26日に開始された。パブリックコメント期間は2月26日午後11時59分に終了する。パブリックコメント期間中に寄せられた意見は検討され、最終規則に反映される。 |
The Cybersecurity Maturity Model Certification program gives the Defense Department a mechanism to verify the readiness of defense contractors both large and small to handle controlled unclassified information and federal contract information in accordance with federal regulations. | サイバーセキュリティ成熟度モデル認証プログラムは、国防総省に、管理対象非機密情報と連邦契約情報を連邦規則に従って取り扱う準備ができているかどうかを、大小を問わず国防請負業者が検証する仕組みを提供する。 |
A big part of this program is the use of authorized CMMC "third-party assessment organizations," or C3PAOs, to conduct CMMC Level 2 certification assessments for companies seeking that assessment level. CMMC Level 3 assessments will be conducted by the Department. | このプログラムの大部分は、認可されたCMMC「サードパーティ評価機関」(C3PAO)を利用して、その評価レベルを求める企業に対してCMMCレベル2の認証評価を実施することである。CMMCレベル3の審査は同局が行う。 |
The C3PAOs are not paid by the department but will instead be paid by defense industrial base companies seeking verification of compliance. The department does, however, play a role in setting the requirements for the C3PAOs. | C3PAOは国防総省から報酬を受けるのではなく、準拠の検証を求める防衛産業基盤企業から報酬を受ける。しかし、防衛省はC3PAOの要件を設定する役割を果たす。 |
Gurpreet Bhatia, the DOD Chief Information Officer's principal director for cybersecurity, said that the CMMC program will play an important role in helping keep important DOD information within the department and out of the hands of adversaries. | 国防総省最高情報責任者(CIO)のサイバーセキュリティ担当責任者であるガープリート・バティア(Gurpreet Bhatia)は、CMMCプログラムは、国防総省の重要な情報を省内にとどめ、敵の手に渡らないようにする上で重要な役割を果たすと述べた。 |
スポットライト:DODにおけるエンジニアリング | |
"Exfiltration from defense contractors is a problem that threatens our economic and national security," Bhatia said. "Malicious cyber actors continue to target defense contractors. Attacks focus both on large prime contractors and smaller subcontractors in lower tiers. Although DOD has had contract requirements that intended to address this for several years, the defense industrial base has been slow to implement." | バティアは次のように述べた。「防衛請負業者からの流出は、我々の経済と国家安全保障を脅かす問題です。悪意のあるサイバー行為者は、国防請負業者を標的にし続けています。攻撃は、大規模な元請け業者と、それ以下の階層の小規模な下請け業者の両方に焦点を当てています。国防総省は数年前から、この問題に対処するための契約要件を定めていたが、防衛産業基盤はなかなか実行に移しませんでした。」 |
The CMMC program, Bhatia said, is designed to better help defense contractors be compliant with regulations related to cyber security and to also help the DOD keep track of who is and isn't compliant. | バティアは次のように述べた。「CMMCプログラムは、防衛請負業者がサイバーセキュリティに関連する規制を遵守するのをより良く支援し、DODが誰が遵守し、誰が遵守していないかを追跡するのにも役立つように設計されています。」 |
"We're committed to implementing the CMMC Program," Bhatia said. "The added emphasis it will bring to protecting DOD's information is important." | バディアは次のように述べた。「我々はCMMCプログラムの実施に全力を注いでいます。DODの情報保護にさらなる重点を置くことは重要です。」 |
Bhatia also said that he hopes the defense industry and other stakeholders will take the opportunity to provide comment on the DOD's proposed CMMC rule so that their input can be considered when drafting the final rule. | バティアはまた、次のように述べた。「防衛産業や他の利害関係者がDODのCMMC規則案に対してコメントを提供する機会を持ち、最終規則を起草する際に彼らの意見を考慮できるようにすることを望んでいます。」 |
"It's important that we receive comments that clearly articulate your perspective so that the department can address those key concerns in the final rule," he said. "We must work together to enhance cybersecurity and protect DOD information from exfiltration." | バティアは次のように述べた。「国防総省が最終規則で重要な懸念に対処できるよう、皆さんの視点を明確に示すコメントをいただくことが重要です。我々は、サイバーセキュリティを強化し、DOD情報を流出から守るために協力しなければなりません。」 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)
・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護
・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集
・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0
・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価
・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開
・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations
・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
少し前...
・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations
・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog
・2010.05.10 NIST SP800-53関係の情報
« 警察庁 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウン関係とランサムウェアによる暗号化被害データに関する復号ツールの開発 | Main | 米国 CISA FBI EPA 水道システムの安全性を確保するためのトップ・サイバー・アクションを公表 »
Comments