DFARS 7019コンプライアンス:防衛請負業者が知っておくべきこと
2020年11月、米国国防総省(DoD)は、国防連邦調達規則補足(DFARS)暫定規則を発表しました。DFARS暫定規則は、防衛産業基盤(DIB)の請負業者およびサプライヤーに対するサイバーセキュリティフレームワークとして、サイバーセキュリティ成熟度モデル認証(CMMC)を確立しています。この暫定規則は、管理されていない分類情報(CUI)を取り扱う防衛請負業者に対し、国家標準技術研究所特別出版物800-171(NIST SP 800-171)で説明されているサイバーセキュリティ管理策を実施することを求めています。暫定規則は、請負業者がCMMC 2.0認証に移行する際に、NIST SP 800-171の自己評価要件を強化します。
DFARS暫定規則には、252.204-7019、7020、および7021の3つの条項が含まれています。このブログ記事では、主に防衛請負業者に以下を要求する条項7019について詳しく見ていきます。
- DoD評価方法論に従ってNIST SP 800-171コンプライアンスの自己評価を実施する
- この評価のスコアをサプライヤーパフォーマンスリスクシステム(SPRS)を通じてDoDに報告する
DFARS 7019とは何ですか?
DFARS暫定規則の一部として、DFARS条項7019はすべてのDoD請負業者に対し、NIST SP 800-171で概説されているサイバーセキュリティ基準を遵守することを要求しています。この条項は、サイバー脅威や攻撃からCUIおよびその他の機密政府情報を保護するためのDoDの取り組みの一環です。
条項7019は、非連邦システムおよび組織におけるCUIのセキュリティに対処するためにDFARSに追加されました。この条項は、請負業者および下請業者に対し、CUIを保護するための特定のセキュリティ管理策を実施し、CUIの機密性、整合性、または可用性を損なう可能性のあるセキュリティインシデントを報告することを要求しています。分類情報の保護に焦点を当てた条項7020や、非分類制御技術情報(UCTI)の保護に適用される条項7021とは異なり、条項7019はCUIの保護に特化しています。さらに、条項7012は制御された防衛情報(CDI)の保護に関するもので、請負業者および下請業者に対し、特定のセキュリティ管理策を実施し、CDIの機密性、整合性、または可用性に影響を与える可能性のあるインシデントを報告することを要求しています。条項7019と7021は情報セキュリティに関するものである一方で、異なる種類の機密情報の保護に焦点を当てています。
DFARS 7019とCMMCの重複点は何ですか?
DFARS 7019とCMMCは、どちらもDoD請負業者に対するサイバーセキュリティ要件に関連しています。DFARS 7019は、請負業者にサイバーセキュリティ計画を持つことを要求する条項であり、CMMCは請負業者のサイバーセキュリティ実践を評価し、その成熟度とサイバーセキュリティ要件への準拠に基づいて認証レベルを割り当てるフレームワークです。CMMC 2.0には、CMMC 2.0 レベル1(基礎)、CMMC 2.0 レベル2(高度)、CMMC 2.0 レベル3(エキスパート)の3つのコンプライアンスレベルがあります。
言い換えれば、DFARS 7019は請負業者にサイバーセキュリティ計画を持つことを要求し、CMMCはその計画の効果を評価し検証する認証プロセスです。CMMCはDFARS 7019の要件に基づき、請負業者がより高いレベルのサイバーセキュリティ成熟度を達成するために追加のセキュリティ管理策と実践を追加します。
DFARS 7019コンプライアンスが重要な理由は何ですか?
DFARS条項7019は、DoDがスポンサーするプロジェクトに取り組む防衛請負業者にとって重要な要件です。この条項の遵守は必須であり、いくつかの理由で重要です。
DFARS 7019コンプライアンスが重要な理由の一つは、サイバーセキュリティです。この条項を遵守したい防衛請負業者は、国家安全保障に関連する機密情報を保護するために適切なサイバーセキュリティ対策を講じる必要があります。サイバー攻撃やデータ侵害が増加する中、機密情報への不正アクセスを防ぐために効果的なサイバーセキュリティ対策を講じることが重要です。
DFARS 7019の遵守は、DoDや業界内の他の請負業者との信頼と信用を築くのに役立ちます。これは、防衛請負業者が自らの責任を真剣に受け止め、国家安全保障に関連する機密情報を保護することにコミットしていることを示しています。DFARS 7019の遵守は、請負業者の業界内での評判を高め、非DoDの仕事を競う際に競争上の優位性を提供する可能性もあります。
DFARS 7019の要件
DFARS 7019は、防衛請負業者に対していくつかの重要な要件を定めています。まず第一に、請負業者は、NIST SP 800-171で指定されたセキュリティ管理策を実施する必要があります。これには、アクセス制御、識別と認証、リスク評価、セキュリティ評価など、14の異なるファミリーにわたる110のセキュリティ要件が含まれています。これらの要件の一部は比較的簡単に実施できるかもしれませんが、請負業者の組織や情報システムの規模と複雑さによっては、より困難な場合もあります。
DFARS 7019はまた、防衛請負業者に対し、NIST SP 800-171の方法論に基づいた評価を受けることを要求しています。この評価は、-203から110の範囲のスコアをもたらし、高いスコアはNIST SP 800-171の要件へのより良い準拠を示します。防衛請負業者は、そのスコアとともにシステムセキュリティ計画(SSP)および行動計画とマイルストーン(POA&M)をサプライヤーパフォーマンスリスクシステム(SPRS)に提出する必要があります。DoDは、異なる防衛請負業者に契約を授与する際のリスクを評価するためにこれらのスコアを使用します。
DFARS 7019コンプライアンスにおけるDCMAの役割は何ですか?
防衛契約管理局(DCMA)は、請負業者がDFARS 7019の要件を遵守していることを確認する責任を負っています。これを達成するために、DCMAは請負業者の監査と評価を行い、非分類制御技術情報(UCTI)を保護するための適切な管理策とプロセスを実施していることを確認します。
DCMAはまた、請負業者に対し、DFARS 7019の遵守方法に関するガイダンスとトレーニングを提供し、UCTI保護計画の開発と実施を支援します。さらに、DCMAはサイバーセキュリティインシデントや侵害が発生した場合に、請負業者にサポートと支援を提供することもあります。
DFARS 7019コンプライアンスのためのDCMA監査プロセス
DCMAは、DFARS 7019の遵守を確保するために防衛請負業者の監査を行います。これらの監査は、請負業者のサイバーセキュリティ対策を評価し、NIST SP 800-171ガイドラインへの準拠を評価します。DCMAはまた、請負業者がDFARS 7019の遵守を自己評価したことを検証するための監査を行うこともあります。
監査中、DCMAは請負業者のサイバーセキュリティ対策に関連する文書、ポリシー、手順、システムセキュリティ計画をレビューします。監査人はまた、請負業者のサイバーセキュリティ対策の効果を確認するために、従業員へのインタビューを行うこともあります。
DCMAが監査中に不遵守を特定した場合、是正措置要求(CAR)を発行します。請負業者はCARに対応し、不遵守を解決するための是正措置を講じる必要があります。CARに従わない場合、罰則や契約の終了が発生する可能性があります。
Kiteworksは、コンプライアンスと認証の実績が豊富です。
DFARS 7019の遵守における課題は何ですか?
防衛請負業者は、DFARS 7019の遵守において、限られたリソース、専門知識の不足、変化への抵抗など、いくつかの課題に直面する可能性があります。特に小規模な請負業者は、NIST SP 800-171で概説されている多数のセキュリティ要件に対処するための必要なリソースと人員を割り当てるのに苦労するかもしれません。さらに、これらの要件を解釈し実施することは、社内にサイバーセキュリティの専門知識がない組織にとっては困難な作業となる可能性があります。
もう一つの潜在的な課題は、組織内での変化への抵抗です。必要なセキュリティ管理策を実施するには、既存のワークフロー、プロセス、さらには企業文化に大幅な調整が必要になるかもしれません。防衛請負業者は、この抵抗を効果的に管理し、組織のすべてのレベルでサイバーセキュリティ意識とコンプライアンスの文化を育む準備を整える必要があります。最終的に、DFARS 7019の遵守に失敗すると、DoDとの貴重な契約の喪失、財務的な罰則、組織の評判や防衛業界での地位に対する損害など、深刻な結果を招く可能性があります。
DFARS 7019コンプライアンスを達成するためのベストプラクティス
防衛請負業者がDFARS 7019コンプライアンスプロセスを円滑に進めるために取るべきいくつかのステップがあります。以下の推奨事項をDFARS 7019コンプライアンスのベストプラクティスとして考慮してください。
| 要件を理解する | DFARS 7019の要件とそれが組織にとって何を意味するかを理解してください。組織内の関連するすべての利害関係者がこれらの要件を認識していることを確認してください。 |
| 徹底的なNIST SP 800-171ギャップ分析を実施する | 情報システムがセキュリティ管理策の観点でどこが不足しているかを特定するために。この評価には、組織のサイバーセキュリティの姿勢を包括的に理解するために、技術的および非技術的な利害関係者の両方を含める必要があります。 |
| 計画を立てる | コンプライアンスを達成するためのロードマップを作成し、タイムライン、タスク、責任を含めます。コンプライアンスの継続的な監視と維持のための計画を立てます。 |
| 従業員を訓練する | 従業員にDFARS 7019の要件とコンプライアンスの取り組みにどのように貢献できるかを教育します。すべての従業員がコンプライアンスを達成する上での役割と責任を認識していることを確認してください。 |
| セキュリティ管理策を実施する | 機密情報を保護し、DFARS 7019の要件を遵守するために適切なセキュリティ管理策を講じます。これには、アクセス制御、暗号化、その他の対策の実施が含まれるかもしれません。 |
| 定期的な監査を実施する | 組織がDFARS 7019に準拠し続けていることを確認するために、定期的に監査を実施します。これにより、改善が必要な領域を特定するのに役立ちます。 |
| インシデントを報告する | インシデントが発生した場合、関連当局に迅速に報告することを確認してください。これにより、罰則を回避し、DFARS 7019のコンプライアンスを維持するのに役立ちます。 |
| サプライヤーと連携する | サプライヤーもDFARS 7019に準拠していることを確認してください。彼らと連携し、すべての要件が満たされるように協力してください。 |
| 最新情報を維持する | DFARS 7019や組織に影響を与える他の規制の変更について最新情報を維持してください。これにより、コンプライアンスの問題を先取りするのに役立ちます。 |
DFARS 252.204-7019コンプライアンスの旅はKiteworksから始まります
DFARS 7019に準拠しようとする防衛請負業者は、Kiteworksプライベートコンテンツネットワーク(PCN)を検討するべきです。KiteworksはFedRAMP中程度の影響レベルに認定されているため、NIST SP 800-171に記載されているすべてのセキュリティ要件を満たしています。これにより、防衛請負業者は政府機関とCUIを共有および転送することができ、最高レベルのセキュリティとコンプライアンスを実現します。Kiteworksは、業界で最も機密性の高いコンテンツ通信プラットフォームの中で、CMMC 2.0 レベル2の要件の約90%を標準でサポートしています。
Kiteworks PCNは、エンドツーエンドの暗号化、セキュアなアクセス制御、暗号鍵の所有権、すべてのファイル活動の可視性を提供する統合されたセキュアで使いやすい通信プラットフォームです。Kiteworksは、セキュアメール、ファイル共有、マネージドファイル転送(MFT)、セキュアファイル転送プロトコル(SFTP)、ウェブフォームなど、すべての第三者通信チャネルを統合し、送信、受信、または共有されるすべての機密ファイルが中央で制御、保護、監視、追跡されるようにします。
KiteworksのPCNを使用すると、すべてのファイルのアップロード、ダウンロード、共有が電子証拠開示および規制コンプライアンスのために記録されます。Kiteworksはまた、国際武器取引規則(ITAR)、一般データ保護規則(GDPR)、SOC 2、連邦情報セキュリティマネジメント法(FISMA)、FIPS 140-2、輸出管理規則(EAR)など、他のさまざまな規制や基準をサポートしています。
Kiteworksプラットフォームの詳細については、今日カスタムデモをスケジュールしてください。