DFARS準拠
防衛契約におけるサイバーセキュリティおよび規制遵守の確保
連邦防衛調達規則補足(DFARS) は米国国防総省(DoD)と契約するすべての契約者および下請業者に適用されるサイバーセキュリティ規制です。DFARSは、連邦以外のシステムやネットワークにおけるCUIの保護を目的としており、NIST SP 800-171 に基づくセキュリティ要件が定められています。
DFARS準拠は契約上の義務です。要件を満たさない組織は、国防総省との契約資格を失い、罰則を受け、将来的な連邦契約の機会を失うリスクがあります。
DFARS準拠が必須となる対象:
- DoD契約に関与する元請業者および下請業者
- 管理された非分類情報(CUI)を取り扱う組織
- 防衛産業基盤(DIB)におけるIT、エンジニアリング、製造業のベンダーおよびサービスプロバイダー
1. NIST SP 800-171のセキュリティ管理策を実装する
契約業者は、DFARS 252.204-7012(b)(2)に基づき、NIST SP 800-171の110項目すべてのセキュリティ要件を実装する必要があります。これらの制御は、非連邦情報システムにおけるCUIの機密性を保護します。
2. サイバーインシデント報告(72時間以内)
DFARS 252.204-7012(c)に従い、契約業者は72時間以内にDoD DIBNetポータルを通じてDoDにサイバーインシデントを報告し、フォレンジック調査のためにすべての証拠を保存する必要があります。
3. システムセキュリティ計画(SSP)およびPOA&Mの維持
DFARS 252.204-7012(b)(3) に基づき、契約業者は現在のサイバーセキュリティ体制をSSPで文書化し、制御のギャップに対するアクション計画およびマイルストーン(POA&M)を維持する必要があります。
4. SPRSにコンプライアンススコアを提出
DFARS 252.204-7019に従い、請負業者はNIST SP 800-171の自己評価スコアをサプライヤーパフォーマンスリスクシステム(SPRS)に提出する必要があります。
5. 下請け業者へのフローダウン要件
DFARS 252.204-7012(m)では、CUIを処理する下請け業者もDFARSおよびNIST SP 800-171の要件を満たし、すべての下請契約に適切な条項が含まれていることを元請業者が確認することが求められています。
DFARS要件に違反すると、以下のような重大な結果を招く可能性があります:
- 契約の終了: に準拠していない場合、米国国防総省(DoD)は契約を解除する可能性があります。
- 支払いの停止: に準拠しない限り、支払いが保留される可能性があります。
- 法的責任: の不遵守は、虚偽請求防止法に基づく民事罰や損害賠償などの法的措置につながる可能性があります。
- 資格剥奪: により、組織が将来の政府契約から停止または除外される可能性があります。
- 評判への損害: に違反すると、組織の評判を損ない、将来のビジネス機会に影響を及ぼす可能性があります。
Resecurityは、セキュリティ運用、リスク管理、コンプライアンス自動化を組み合わせて、契約業者がDFARSおよびNIST SP 800-171の要件を満たすためのカスタマイズされたソリューションを提供します。
NIST 800-171 ギャップ評価
- 14の管理カテゴリ全体における管理の欠陥を特定する
- 実行可能な是正ロードマップを策定する
SSPおよびPOA&Mの作成
- コンプライアンスに準拠した監査可能な文書の作成
- 継続的な成熟と更新に向けた計画の維持
インシデント対応と72時間以内の報告
- 対応ワークフローを実装する
- DoD(米国国防総省)への迅速かつ正確な侵害報告を可能にする
SPRSスコアの作成および提出
- 必要なスコアリング手法の実施
- SPRS対応のコンプライアンス要約を生成
第三者コンプライアンス監視
- 下請け業者のDFARS義務を管理
- フローダウンクロースの検証を自動化
DFARS準拠は防衛関連供給業者にとってもはや任意ではありません。Resecurityと協力することで、DoDのサイバーセキュリティ要件に対応し、CUIを保護し、政府契約で競争力を維持するためのツールと支援が得られます。
Resecurityにご連絡の上、DFARS準備に関するコンサルテーションを予約するか、国防総省規制下での情報システム保護について詳細をご確認ください。
Los Angeles, CA 90071 Googleマップ
