次のDoDの政策 ~NAS9933からCMMCへ

米国航空宇宙産業協会とExostar社によるNAS9933の取組

NAS9933DIFARS/NIST SP800-171適用の動きの中で、AIA(Aerospace Industries Association:米国航空宇宙産業協会)は、これとは少し異なる独自のアプローチとして「NAS 9933」を併行的に開発、公表しました。

NAS9933は、A&D(航空・宇宙・防衛)業界およびライフサイエンス業界の認証・サイバーセキュリティ対策をリードするExostar社サービス(PIM:パートナー情報管理:Partner Information Manager)に端を発しています。PIMは、各企業の適切な有資格者により正確に作成されたアンケート(Cyber Security Questionnaire)情報を活用して、パートナー企業(ボーイング、ロッキードマーティン、レイセオン、BAE等)及びサプライチェーンを構成する企業に存在する全てのサイバーセキュリティ上のリスク対応と、全体的な情報を各組織で共有することにより、セキュリティリスク軽減を可能とさせるセルフサービスアプリケーション型のプラットフォームです。

ここで使われる管理策評価基準は、22項目(ファミリー)にまたがる194の管理策に対してYes/Noのアンケート回答する形式で、具体的で回答しやすく工夫されています。それぞれの管理策は、5段階のレベル分けられており、自社の対応レベルが自動的に判定できる仕組みとなっています。

AIAのNAS9933は、このExostar PIMのアンケートを出版物として公表したものです。

米国防総省によるCMMCの取組み

このAIAのNAS9933の考え方の提案を受けて、米国防総省はNIST SP800-171管理策を展開して「5段階(レベル)評価」を加えた新しい認定制度の仕組みとしてCMMC(Cybersecurity Maturity Model Certification)を適用することを宣言しました。
現在粛々とルール作りが進んでおり、2020年1月にはVer. 1.0が公表されました。(※その後、3月にマイナーバージョンアップされ、Ver.1.02が公開されています。)そして、2020年11月には一部適用が開始される見通しです。CMMCは、NAS9933に倣って、各要求項目を5段階のレベルおよびプロセスに分けて評価するしくみとしています。また、C3PAO(Certified Third-Party Assessment Organizations:第三者評価認定機関)を認定し、客観的なレベル評価が行えるようにしています。
なお、現段階において、CMMCはあくまで米国防総省としての取り組みであり、その他の連邦政府各機関が取り組んでいるものではありません。また、米国防総省においても、これが正式に発効するのは、調達規則であるDFARS 252.204-7012の改訂が行われた後となります。
CMMCでは、管理策として全てのNIST SP800-171要件を使用しており、従来は一律に全適用を求めていたものを、段階分けしたものです。従って、これまでの連邦政府の方針と矛盾するものではありません。

CMMCの情報は、OUSD(A&S)(Office of the Under Secretary of Defense for Acquisition and Sustainment:調達と持続性のための国防長官室)のサイトに公開されています。
以下に、CMMCの概要を紹介します。

<CMMC概要>

OUSD(A&S)は、防衛産業基盤企業のサプライチェーンにおける、FCI(Federal Contract Information:連邦契約情報)とCUI(Controlled Unclassified Information:管理対象非機密情報)の保護を目的に、CMMCを開発しています。
CMMCの開発に当たっては、米国防総省のステークホルダー、UARC(University Affiliated Research Centers:大学関連研究センター)、FFRDC(Federally Funded Research and Development Centers:連邦資金研究開発センター)、ジョンズ・ホプキンズ大学 応用物理学研究所(APL)、カーネギーメロン大学 ソフトウェア工学研究所(SEI)、および産業界と協力して、さまざまなサイバーセキュリティ標準をレビューし、サイバーセキュリティの1つの統一標準としてCMMCに統合しようとしています。

CMMCは、FCIとCUIを保護する防衛産業基盤企業のセキュリティ対応能力を客観的に評価するための米国防総省の認証プロセスです。
CMMCは、成熟度モデルの構成をとっており、ソフトウェア開発等の成熟度モデルとして確立されているCMMI(Capability Maturity Model Integration:能力成熟度モデル統合)と同様に、定義された領域に対し、実施すべきプロセス、プラクティスが成熟度レベルにマップされています。

CMMCは、さまざまなサイバーセキュリティ基準を参考に、NIST SP 800-171の要件をカバーすべく基本的なサイバー予防策から高度なプラクティスまで、ベストプラクティスとプロセスを5つの成熟度レベル(レベル1〜5)にマップしています。
CMMCは、NIST SP 800-171 rev.1、 Draft NIST SP 800-171B、英国のCyber Essentials、オーストラリアのEssential Eight等、複数のソースからのプラクティスを組み込んでいます。

また、CMMCは、サイバーセキュリティ要件の実装状況を客観的に検証するための認証の枠組みも含んでいます。

CMMCは、多層サプライチェーンの下請け事業者へのフローダウンを考慮し、防衛産業基盤企業がリスクに見合ったレベルでFCIおよびCUIを適切に保護できることについて、適切に認証されるように設計されています。なお、下請け事業者も含め、米国防総省の案件を受託するサプライチェーン各社は全て、CUIの取扱いの有無にかかわらず、レベル1のCMMC認証は取得する必要があります。

CMMCの成熟度モデルの構成

図 CMMCの成熟度モデルの構成

<CMMCレベル>

CMMCモデルでは5つの成熟度レベルが定義されています。
特定のCMMCレベルを満たすには、該当レベル以下の全てのレベルの「プラクティス」と「プロセス」を満たす必要があります。

CMMCモデルの5つの成熟度レベル

図 CMMCモデルの5つの成熟度レベル

なお、CMMCのプラクティスは、NIST SP800-171の管理策をほとんど採用しており、171の110項目をレベル1から3にマッピングした形となっています。また、レベル4および5は、さらに高度な対応を求められる企業に要求され、管理策もDraft NIST SP800-171B(今後、SP800-172に改称される予定)のものが充てられています。
各レベルと、管理策の関係(個数等)を以下に示します。

Exostar社 CMMC V1.0説明 2020.2.25より

Exostar社 CMMC V1.0説明 2020.2.25より

CMMCレベル毎のプラクティスの出典

*注: 48 CFR 52.204-21 からの 15 の保護要件は、NIST SP 800-171 の 17 のセキュリティ要件に準じている。
表CMMCレベル毎のプラクティスの出典

 

CMMCの認証組織について

CMMCの認証形態については、まだ米国防総省においても検討・調整中ですが、2020年2月現在公表されている情報によると、以下のような組織を作り、第三者評価機関(C3PAO)を段階的に認定してゆくことがアナウンスされています。以下に、公表されている認証形態について、概略を示します。

米国防総省CMMC についての業界説明資料より(2019.12

図 米国防総省CMMC についての業界説明資料より(2019.12)

この組織構造は、CMMCの運用を円滑に行うための準備を行う組織で、現在は運用開始に向けてC3PAOに対するトレーニング内容を作成しています。

レベル1の認証は、今後米国防総省との契約を行う可能性のある全ての企業(約30万社)が取得する必要があるため、C3PAOも相当な数が必要となります。以下が、現時点でアナウンスされているスケジュールとなっています。

CMMCのスケジュール

図 CMMCのスケジュール

以上のように、米国防総省および関係する防衛産業がとるべきセキュリティ対策は、この数年で加速度的に大きくシフトしようとしています。我が国の産業界としても、大きなマーケットである米国防衛産業の動向は、引き続き注視の必要があると考えます。

 by エヴァアビエーション (2020.4)