政府のサイバーセキュリティ要件に関するメーカー間の5つのよくある質問

この記事はもともとIndustryTodayに掲載されました。コロラド州のNISTMEPセンターであり、MEP National Network ^TM の代表であるManufacturer’sEdgeのサイバープログラムディレクターであるJenniferKurtzによるゲストブログ投稿 。

米国国土安全保障省によると、製造業は、報告されたサイバー攻撃の数に基づいて2番目にターゲットを絞った業界です。さらに、サイバー犯罪者は中小規模を見る メーカー（SMM）は、これらの企業の多くが適切な予防策を講じていないため、主要なターゲットとして使用されます。

国防総省（DoD）、請負業者、下請業者にとって、通常のビジネスはもはやありません。連邦政府は、ビジネスを遂行するために外部のサービスプロバイダーにますます依存するようになり、非連邦情報システムおよび組織における管理された未分類情報（CUI）の保護に関しては前向きな姿勢を強めています。 2017年12月31日の時点で、すべての連邦政府の請負業者は、防衛取得規制補足（DFARS）の最小サイバーセキュリティ要件を満たすか、契約を失うリスクを負う義務がありました。この期限が過ぎているにもかかわらず、多くのSMMは、システムをアップグレードするための知識とリソースが不足しており、これらの110の新しいセキュリティ要件を満たす方法に迷っています。重要な点として、General Services Administration（GSA）およびNational Aeronautics and Space Administration（NASA）に代わって活動する政府請負業者に適用される連邦調達規則には、まもなく同様のサイバーセキュリティ要件が含まれるようになります。

米国の製造業者に包括的で実績のあるソリューションを提供する官民パートナーシップであるMEPNational Networkは、米国の製造業者がサイバー攻撃のリスクから情報資産を保護するのを支援するための認識と支援を積極的に提供しています。組織とそのパートナーは、保存、処理、送信される管理された未分類情報を保護するための適切なセキュリティの実装を模索している米国の製造業者にとって、国家的なリソースとしても機能します。

以下は、連邦政府のDFARSセキュリティガイドラインについてSMMからよく聞かれる5つの質問です。

Q：管理された未分類情報（CUI）とは何ですか？また、契約の一部としてこのタイプの情報を処理しているかどうかを確認するにはどうすればよいですか？

A：管理された未分類情報（CUI）は、政府独自のデータです。これは政府が安全に保持したい情報ですが、国家安全保障にとって不可欠ではありません。 DFARS条項252.204.7012は契約に記載されている場合がありますが、CUIを処理、保存、または送信する場合にのみ制定されます。 CUIには、調査およびエンジニアリングデータ、エンジニアリング図面、仕様、マニュアル、技術レポート、調査および分析、コンピューターソフトウェアの実行可能コードおよびソースコードが含まれる場合があります。 CUIには、FOUO（公式使用のみ）などの特別なマーキングおよび取り扱い手順があります。 CUIマーキングの詳細については、CUIレジストリを参照してください。

Q：DFARSコンプライアンスは法律で義務付けられていますか？

A：契約にDFARS条項が含まれている請負業者または下請業者は、合法的に遵守する必要があります。準拠していると誤って主張すると、政府との契約および関連するすべての収益を失うリスクがあり、将来の政府との契約の対象外となる可能性があります。

Q：私は中小企業を経営しており、政府との契約は小規模です。 DFARSコンプライアンスは私に適用されますか？

A：会社の規模や契約に関係なく、CUIを処理、保存、または送信する連邦政府の請負業者または下請け業者である場合は、準拠する必要があります。サイバー犯罪者は、通常、実施されているセキュリティ対策が少ないため、中小企業を標的としています。サプライチェーンの下位層にある企業は、主要なターゲットのネットワークに侵入しようとするよりも侵入しやすい場合があります。サプライチェーン攻撃は、政府のネットワークに直接アクセスしようとするよりも、未分類の政府情報を管理するためのより簡単なルートである可能性があります。

Q：自分の会社が現在DFARSに準拠しているかどうかを確認するにはどうすればよいですか？

A：NISTハンドブック162を参照してください。このハンドブックは、DFARSセキュリティ要件に照らしてメーカーの情報システムを評価するためのステップバイステップガイドを提供します。

Q：私の組織はDFARSの最小ガイドラインを満たしていませんが、コンプライアンスプロセスをどこから始めればよいかわかりませんか？

A：政府が承認したサイバーセキュリティ計画を実施することは、困難な作業になる可能性があります。 DFARS要件の概要を説明しているNISTSP800-171の資料を確認することから始めることができます。また、MEP National Networkに連絡して、最寄りのMEPセンターに接続することもできます。地域のMEPセンターは、コンプライアンスプロセスを通じてメーカーをガイドするために、さまざまな無料または手頃なサービスとイニシアチブを提供しています。これらのサービスには、プロトコルと手順の詳細なギャップ分析を開発し、脆弱性やその他のコンプライアンス問題に対処するアクションプランを作成できるサイバーセキュリティの専門家への接続が含まれます。

Q：私の会社は政府の請負業者ではありませんが、サイバーセキュリティプロトコルを強化したいと思います。 DFARSガイドラインを使用できますか？

A：もちろんです。商用サプライチェーンで事業を行っている製造業者は、組織のリスクを管理するための不可欠な側面として、DFARSセキュリティ要件の実装を真剣に検討する必要があります。

製造業がますますデジタル化されるにつれて、ますます複雑化するサイバー脅威を理解し、軽減し、対応する必要性が、ビジネスを行うためのコストになっています。