米国国防総省のサイバーセキュリティ基準の変化 〜DFARS+171からDFARS+CMMCへ〜

しばらくぶりにアメリカ訪問してきました。今回は米国航空宇宙産業の業界団体であるAIA (Aerospace Industries Association) を訪問して、NIST SP800-171などの業界適用事情を伺いました。ひとことで言えば、NIST SP800-171からCMMC(Cybersecurity Maturity Model Certification)へ大きく舵が切られようとしている、という流れを感じたものです。

2018年にDODがCUI情報を扱う調達先に対して適用が始まったDFARS 252.204-7012とNIST SP 800-171は、その適用状況に関してはなかなかめざましい進展がアナウンスされることはありませんでした。私達も、米国の状況を紹介しながらも、どの程度適用が普及しているのか不安に思っていました。すると、昨年(2019年)ついに米国国防総省(以下、DoD)は、CUI情報を扱う案件だけでなく全てのUnclassified情報を扱う調達に対する要件をカバーする仕組みとしてCMMCを適用することを宣言しました。CMMCは現在粛々とルール作りが進んでおり、2019年12月にVer. 0.7が公表され、2020年1月までにはVer. 1.0として適用を宣言する見通しだそうです。

上図のように、『サイバーセキュリティ』は、「コスト」「スケジュール」「性能」と並ぶ4つめの柱、ではなくそもそも土台である、と強調しています。

では、何故DFARS+171ではいけなかったのでしょうか? それは、110項目の要件に対して、満たせないものは今後の対応計画(PoAM)を作成すれば良いとしたことが一因のようです。その他にも、リスク対応型の要件ではなく、一律に同じ要件を全サプライチェーンに課したことなども遵守を現実的でなくした要因だったようです。

そして、これに代わって考え出されたのがCMMCです。基本的に要件を5レベルに分類し、DoDと直接間接に契約したい組織はレベル1以上の認定がされていることは必須です。さらに、扱うデータや脅威に応じてどのレベルの認定を取るかが決められ、必要によりダイナミックにレベルが想定されています。CUIを扱うなら一律に171の全項目に従え(CMMCではレベル3相当)という従来のやり方とは変わるのです。

では、これまでのNIST SP800-171はどうなってしまうのでしょう? 171はあくまで全連邦政府共通にNISTが決めたセキュリティ要件ですし、DoDの方針に左右されるものではありません。171も年々新しい版に改訂され、171A、171Bなども整備され適用しやすいツールが整ってきています。DoD契約についても、現状では対応が必須であると同時に、他の連邦政府機関ではまだまだこれから適用が進んでゆく見込みだと考えられます。しかし、近い将来、防衛産業においてCMMCが適用されると、他の連邦政府も追随するということも考え得る状況だと思います。

我が国の防衛産業は、どのような準備をすべきでしょうか? まずは、CMMCが義務化(DFARS改訂)される2020年秋頃をメドに、レベル1の認定は得ておくことが重要となります。秋以降の契約更新または新規契約時から適用されるという点はこれまでのDFARSと同じだそうです。なお、レベル1は要求項目も17と最小限であり、認定も半日あれば可能であろうと言われています。大半のTIER1企業にとっては特に問題となるレベルではないはずです。
とは言っても、フローダウン条項は残るので、自らにどのような遵守指示が出され、配下のサプライヤーに対してどのような指示を出すべきかといった観点でも、DoDのこの動きをウォッチしてゆくことが重要だと思われます。

(久野)

欧米のPLCSと標準化動向 (Product Life Cycle Support)  ロジスティック・セミナー

2019年11月21日(木)グランドヒル市ヶ谷(白樺の間)にて、英国TFD社のプレゼンテーション『欧米のPLCSと標準化動向』を行いました。お忙しい中、ご来場いただいた方々には御礼申し上げます。

 なお、弊社として初めての取組で、準備不足もあり、時間配分や通訳などにおいて皆さまには大変ご迷惑をおかけしました。お詫び申し上げます。次回には改善したいと思いますので、今後ともよろしくお願いいたします。

 なお、以下にアラン・グッティ氏とティム・キング氏の講演資料をダウンロードできるようにしましたので、よろしくご活用ください。(2週間ほどでライブラリに移動します)

Test Automation Tools

ソフトウェアプロダクトの品質を担保するテストについて、オートメーションツールを紹介する。

さらに読む

事務所移転のご案内

拝啓 時下益々ご発展のこととお慶び申し上げます
毎々格別のお引き立てを賜り深謝申し上げます
さて このたび 弊社は7月22日付けで事務所を移転することになりました
これを機に さらに皆様方のご愛顧を得られますよう 専心努力する所存でござ
いますので、今後ともなお一層のご支援を賜りますようお願い申し上げます
まずは 略儀ながら書中にてご通知かたがたご挨拶申し上げます

敬具
令和元年7 月18 日

移転先
〒151-0051 東京都渋谷区千駄ヶ谷 3-16-3 メイゾン原宿303
電話番号:03-6380-6104 (変更ありません)
FAX.番号:03-6380-6704 (変更ありません)

TFD社のロジスティックサポートトレーニングの提供について

皆様のご要望にお応えして、弊社からTFD社エキスパートによる下記トレーニングコースの提供を開始します。ロジスティックサポートについてのトレーニング教材が少ない現状において、貴重なコースとなるものと確信しています。ご興味のある方は、弊社問い合わせサイトよりご連絡先などお知らせいただければ、細部についてご調整させていただきます。

No. テーマ 内容 備考
1 ロジスティックサポート概論 ・ロジスティックの概要 ・LCC(ライフサイクルコスト) ・ILS(統合ロジスティックサポート) ・LSA(ロジスティックサポート分析) ・PBL/PFI契約概要 3時間〜6時間
2 分析手法 概説 CofA(Concept of Analysis):問題点の共通認識、分析課題の確認、調査方法の査定、データの収集手段、整備方法、分析の概要サポータビリティ・ワークベンチ・ツールによる後方支援モデルの構築概要サポータビリティ監査(整備・維持業務能力のモニタリングおよび監査)の概要 3時間 (講師は英語+日本語対応の助手1名)
3 サポータビリティ監査概要 ・後方支援業務のモデリング ・VARI-Metric理論による補用品積算 ・TEMPO(補用品見積機能)概要 ・MAAP(ライフサイクルコスト分析)概要 ・分析サンプル、事例紹介 3時間 (講師は英語+日本語対応の助手1名)
4-1 モデリング実習(1) 実習(TEMPOによるモデリング) (対象システムに対し、運用のイベントと整備のイベントを設定し、補用品の所要を中心に整備性や可用性に与える影響を経済性の観点から定量的に分析する) 6時間 (講師は英語+日本語対応の助手1名)
4-2 モデリング実習(2) 分析・評価 実習(MAAPによるモデリング) 分析・評価実習 (整備員のスキルレベル等の人的資源も含んだモデルにより、保守体制のトレードオフ・スタディを行い、費用対効果の比較評価を実施する) 6時間 (講師は英語+日本語対応の助手1名)

複雑な装置システムの維持整備を最適化するソリューションおよびコンサルティング

株式会社エヴァアビエーション(本社:東京都、代表取締役社長:久野保之、以下、エヴァアビエーション)は、米国のTFD Group(本社:80 Garden Court, Suite 240, Monterey, CA 93940、以下、TFD Group)と提携し、TFD Groupの航空機やエンジンなどの複雑な装置システムの維持整備を最適化するソリューションおよびコンサルティングを国内展開することとなりました。

さらに読む

NIST SP800-171 Revision 2と171BのDraft版がリリースされました

みなさんのご承知のように、2019年6月19日にNISTから「Draft NIST SP800-171 Revision 2」および「Draft NIST SP800-171B」が出されました。Protecting Controlled Unclassified Information: Comment on Draft NIST SP 800-171 Rev. 2 and Draft NIST SP 800-171B (comment period ends July 19, 2019) 

取り急ぎ変更点を整理すると、171 rev2については、 第3章110項目の基本的および派生的なセキュリティ要件には変更はありません。なお、使いやすさ向上のために、昨年追加された付録Fに記載されていたディスカッションセクションは、基本的および派生的なセキュリティ要件毎に同じ場所(第3章)に移動されています。
なお、NIST Special Publication 800-53 Revision 5 発行後の改訂3で、この出版物の包括的な更新(基本要件と派生要件の更新を含む)が発表される予定のようです。

NIST SP800-171B はCUIをAdvanced Persistent Threat(APT)攻撃から守るため、 800-171の基本的および派生的なセキュリティ要件に対して追加補完するものです。なお、全てのカテゴリに追加されているわけではありません。強化されたセキュリティ要件は、 特に指定した価値の高い資産またはCUIを含む重要なプログラムに対して適用されます。
171の要件はAPTに対処するようには作られていないため、この171Bで強化する必要があるとの考え方です。

弊社では、今後もシリーズとして年々充実してゆく171関係規程をフォローしてゆきます。皆様からもご質問や情報などをいただければありがたく思います。

お問合せはこちら。

Document Database

Document Databaseについてその概要と具体的なプロダクト、使用方法について紹介する。

さらに読む

MDX (Multi Dimensional eXpression)

トランザクションのデータや、データウェアハウスに格納されたデータを分析用に多次元の空間に格納し直したデータベース (キューブ) に対し、データを取得する際に利用される言語であるMDXについて簡単に紹介する。SQLがトランザクションデータを格納するのによく用いられる一方で、アナリティクスのためにデータを保存し直したものがキューブであり、レポーティングアプリケーションやExcelからMDXクエリを介して用いられる。

さらに読む

機械学習適用例:外国為替取引

FOREX Trend Classification using Machine Learning Techniquesを参考に、この中で議論されているケースの一部を再現することで、基本的なライブラリなどの使用方法を紹介する。

さらに読む