国防総省のサイバーセキュリティ認証要件、国土安全保障省の契約で試験的に導入へ

関係者の話によれば、国防総省(Department of Defense)は、同省によるサイバーセキュリティ成熟モデル認証(Cybersecurity Maturity Model Certification: CMMC)プログラムを、国土安全保障省(Department of Homeland Security: DHS)の契約に取り入れる方法について検討している。CMMCプログラムは、国防契約業者のサイバーセキュリティ慣行が第三の独立監査事業体によって認証されるというもので、いずれは全ての国防契約業者に適用される要件である。現時点では、契約業者は、単に、「自社は、米国標準技術局(National Institute of Standards and Technology:NIST)が発表しているセキュリティ制御の標準に順守している」と誓約すればよい。CMMCプログラム導入のための規則は早ければ来月初旬にもまとまる見通しで、契約業者コミュニティ内にある種の苛立ちをもたらしている。本プログラムは段階的に開始され、まずは主要契約業者15社とその下請け業者が評価を受ける業者として選出された。完全に導入されるのは2025年以降の見通しである。

Nextgov “DOD’s Cybersecurity Certification Requirements to Appear in DHS Contracts” (1/21/21)