コンプライアンスを獲得するために協力して作業する：2つの主要なサイバーセキュリティの仮定が国防総省のサプライヤーにどのように影響しているか

国防総省との契約条件に同意した結果、製造業者は、管理された未分類情報（「CUI」）を保護するために「適切なサイバーセキュリティ」を使用していることを自己証明します。適切なサイバーセキュリティは、DFARS条項によって、NIST Special Publication800-171で概説されている110のセキュリティ要件を完全に実装するものとして定義されています。

多くのメーカーは、サイバーセキュリティプログラムで十分だと考えています。ほとんどのCMTCクライアントは通常、70％〜80％準拠していると推定することからサイバーセキュリティへの取り組みを開始します。ただし、基本的なギャップ分析後の移動平均は約34％準拠しています。

以前のブログ投稿では、サイバーセキュリティ要件への違反に関連して見過ごされがちな法的リスクについて説明しました。最終的に、企業が国防総省（DoD）と取引を行う場合は、契約条件に同意する必要があります。したがって、コンプライアンスに準拠したサイバーセキュリティ体制を自己証明する必要があります。

2番目の仮定：外部のITプロバイダーだけが答えです

多くの中小企業には、専任のIT担当者とリソースが不足しています。その結果、多くのメーカーがサードパーティのITサービスプロバイダーを利用しています。これらの中小企業が運営するために、外部のサービスプロバイダーは会社の情報システムへの途方もない管理アクセスを委託されています。多くの場合、メーカーはすべてが計画どおりに進んでいると想定しています。製造業者は、実行されているアクションを理解するために、サードパーティのITプロバイダーを監視する必要があります。 ITプロバイダーとの製造業者のサイバージャーニーは、プロバイダーの作業の活動と成果に従事する企業と協力しています。

さらに、エクスポージャーに関しては、110のセキュリティ要件の約半分が、サードパーティのITプロバイダーによって通常提供される技術運用と技術ソリューションに直接関連しています。一部のサイバーセキュリティ対策は事業運営にとって非常に基本的なものであり、政府はすべての国防総省のサプライヤーが自らのリスクを積極的に管理すると合理的に想定していました。 DoDコンプライアンスを取得するには、メーカーとITプロバイダーが協力する必要があります。 DoDサプライヤーは、長期的にコンプライアンスの責任を負います。

これら2つの重要な誤った仮定を総合すると、技術的およびコンプライアンス上の多大な債務が発生する可能性があります。

政府のサイバーセキュリティコンプライアンス監査が進行中であるため、今後の最善の道は、ITプロバイダーを監督し、協力して全体的なコンプライアンスに貢献することです。

推奨 次のステップ

1）既存のDFARS要件に焦点を合わせます。

2）時間をかけて、NIST SP800-171の基礎となる前提条件を完全に理解してください。

3）堅牢なサードパーティベンダー管理プロセスを確立します。

4）時間をかけて契約上のフローダウン義務を完全に理解します。

規制エコシステム全体の概要と、この投稿で概説されているトピックのより詳細な説明については、オンデマンドCMTCウェビナーをここで表示できます。