DFARS(Defense Federal Acquisition Regulation Supplement)|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. DFARS(Defense Federal Acquisition Regulation Supplement)
             

DFARS(Defense Federal Acquisition Regulation Supplement)

DFARS(Defense Federal Acquisition Regulation Supplement、国防総省連邦調達規則補足)とは、米国国防総省(DoD)が特定の調達契約に適用する規則の補足部分であり、米国連邦政府の調達に関する規則であるFAR(Federal Acquisition Regulation)を補完する形で設定されています。DFARSは、国防関連の調達において、契約者や下請け業者が遵守すべき要件を具体的に規定しており、主に国防に関わる契約を対象としています。

DFARSは、多岐にわたる規則を含み、国防総省の調達に関わる業者が特定の規範や基準を満たすようにすることを目的としています。特にサイバーセキュリティの観点から、国防関連の情報の保護や、サプライチェーンのセキュリティ対策に関する要求事項を定めることで、国家の安全を確保する役割を果たします。

DFARSの重要な要素と内容

DFARSには、国防関連の契約者に対するさまざまな要件が含まれています。以下に、特に重要な要素を示します。

サイバーセキュリティ要件(DFARS 252.204-7012)

DFARSにおいて特に注目されるのが、サイバーセキュリティに関する要件です。DFARS 252.204-7012では、契約者が「Controlled Unclassified Information(CUI)」を適切に保護するために、NIST SP 800-171(米国国立標準技術研究所のガイドライン)で規定される110のセキュリティ管理要件を満たすことが求められています。この規則により、国防総省との契約を持つ企業は、サイバーセキュリティの基準を確保し、データの機密性、完全性、可用性を維持するための具体的な対策を講じる必要があります。

インシデント対応と報告義務

DFARSは、サイバーセキュリティインシデントが発生した場合、DoDに対して迅速に報告する義務を課しています。具体的には、契約者が72時間以内にインシデントを報告し、DoDが指定するサイバーインシデントレポートシステムを利用して詳細な情報を提供する必要があります。これにより、潜在的な脅威の迅速な把握と対応が可能になります。

サプライチェーンのセキュリティ

DFARSは、サプライチェーンにおけるセキュリティリスクの管理も重視しています。サプライチェーンの中で使用される製品やサービスが、安全性を確保し、国防関連のデータや資産を保護するために適切に管理されるよう求められています。これには、サードパーティのベンダーや下請け業者も含まれるため、契約者はサプライチェーン全体のセキュリティを確保する義務があります。

DFARSの適用範囲

DFARSは、米国国防総省と契約を結ぶすべての業者およびその下請け業者に適用されます。これには、製造業者、サービスプロバイダー、ITベンダー、ソフトウェア開発者など、さまざまな業種が含まれます。国防関連の情報を取り扱う業者は、DFARSに基づく要件を満たし、契約の履行に必要なセキュリティ対策を講じることが求められます。

DFARSの利点と重要性

DFARSを適切に運用することには、いくつかの利点があります。以下にその利点と重要性を示します。

国防情報の保護

DFARSは、米国の国家安全保障に直結する国防情報を保護するために重要な役割を果たします。契約者が情報の保護を徹底することで、サイバー攻撃や不正なアクセスから情報を守り、国の安全を確保します。

契約者の信頼性向上

DFARSの要件を満たすことで、国防総省との契約を維持し、信頼性の高い業者として認識されることができます。特にサイバーセキュリティが重要視される現代において、これらの基準をクリアすることは競争優位性にもつながります。

セキュリティ対策の標準化

DFARSの規定に従うことで、業者が標準的なセキュリティ対策を講じることが求められます。これにより、契約者間でのセキュリティ基準が統一され、全体的な防御力が向上します。

DFARSへの準拠のための対策

DFARSへの準拠を確保するために、契約者は以下のような対策を講じる必要があります。

セキュリティ管理体制の整備

NIST SP 800-171の要件を満たすため、組織内のセキュリティ管理体制を整え、必要なポリシーや手順を策定することが必要です。これには、アクセス制御、暗号化、ログ管理、脆弱性の管理などが含まれます。

従業員の教育とトレーニング

セキュリティ意識の向上を図るために、従業員へのトレーニングを実施し、セキュリティに関する最新の知識を共有します。これにより、組織全体でのセキュリティ意識を高め、インシデントの発生を抑制します。

監査と評価

DFARS準拠のために、定期的に監査や評価を行い、セキュリティ対策の有効性を確認します。これにより、改善が必要な箇所を特定し、継続的な改善を行うことができます。

まとめ

DFARS(Defense Federal Acquisition Regulation Supplement)は、米国国防総省との契約において、セキュリティや情報保護のための重要な規則を定めた規範です。特にサイバーセキュリティに関する要件は厳格であり、契約者がNIST SP 800-171の基準を満たすことを求めています。DFARSへの準拠は、国防関連の情報を保護し、国家の安全を守るために重要であると同時に、契約者の信頼性を向上させるための重要な要素です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。