Defense Federal Acquisition Regulation Supplement (DFARS) は、国防総省 (DoD) の物品およびサービスの取得を規定するものです。 職員と請負業者の両方が、DFARS に規定された要件を遵守しなければなりません。 DFARSに規定された要件を見たことがある人なら誰でも知っているように、DFARSそのものが、範囲も深さも広い複雑な規制機関なのです。
DFARS が請負業者や下請け業者にもたらす課題の 1 つは、調達可能な国に対する制限です。 グローバルなサプライ チェーンの複雑さを考えると、DoD の調達プロセス以外の組織は、商品やサービスがどこから来たのか、正確に把握していないことがよくあります。 そのため、DFARSのコンプライアンス上の問題が発生する可能性があり、制限を設ける必要があるのです。 DFARS規則自体には、DFARS準拠の国のリストがあります。 このリストは、すべての請負業者が理解し、遵守することが不可欠であり、商品とサービスの調達はすべてこれらの国を経由する必要があることを意味します。 これには、それ自体が複雑なテーマである溶融金属からなる部品も含まれる。 DFARS の要件によると、最終製品が DoD 目的の場合、特定の国だけが米国外で金属を溶かすことを許可されています。
また、最近 DFARS に導入された重要な変更があり、DoD とやり取りする多くの契約者および下請けに影響があります。 すなわち、管理された非分類情報 (CUI) を保護するためのサイバーセキュリティ要件が追加されたことです。 これは、すべてのDoDパートナーに影響し、2017年後半から法律で定められています。 DFARSのこの追加要件は、規制の対象となるすべての組織が、米国国立標準技術研究所(NIST)SP 800-171改訂1に概説されているサイバーセキュリティの取り組みを採用することを義務付けました。 これらの要件は、CUIを不当なアクセスや盗難から保護することを目的としている。 また、これらの要件は、契約者のサイバーセキュリティの取り組みが今日の脅威の状況に対応できることを保証することで、契約者自身を保護するものでもあります。
DFARS の要件を理解することは、非常に困難です。 規制文書に含まれる情報の深さは広範囲に及び、組織が遵守すべきコンプライアンス アドバイザリー サービスおよび要件の全体像を把握するために必要な追加文書も多数あるため、ほとんどの中小規模の請負業者は DFARS に定められた要件を遵守することが困難な場合があります。 この記事では、DFARSに準拠した国の包括的なリストを抽出することを目指します。
DFARS
についてもっと知るための記事はこちらです
- DFARS とは何の略ですか?
- DFARS に準拠するにはどうすればよいですか
適格国とは何ですか
この時点で、適格国とは何かと疑問に思うかもしれません。 DFARS の観点では、「適格国」という用語は、米国政府が指定国と覚書または別の国際協定を結んでいる国を指します。 これらの協定に基づき、国防総省は、バイ・アメリカン法や国際収支プログラムに基づく要件がこれらの特定の国に適用されることは公共の利益に反すると判断しているのです。
では、米国と認定国の関係を特別なものにしているのは、いったい何なのでしょうか。 基本的に、米国政府は、リストに掲載されている各国と相互防衛調達協定を締結しています。 これらの相互防衛協定は、冷戦の文脈の中で、当時存在した同盟の有効性を高めることを意図して、1970年代に始まりました。 相互防衛協定の背景にある考え方は、多くの国が防衛関連装備の調達に関して存在する障壁であった。
防衛調達が一般的な政府調達のかなりの部分を占めるという事実により、国境を越えた調達の障壁を低減または排除する同盟国との協定を模索することは理にかなっていると言えます。 防衛装備品を国内でも同盟国からも調達できるようになったことで、各国は調達する装備品の種類をより多く選択することができるようになった。 また、調達環境を拡大することで、防衛調達協定と調達に幅広い競争の場が組み込まれることになった。 相互防衛調達協定の使用は、防衛調達をより費用対効果の高いものにする。
相互防衛調達協定の重要な側面は、多くの国が政府機関に対し、国内で生産された製品を購入するよう求めている要件を放棄する規定があることです。 米国では、これは1933年に可決されたバイ・アメリカン法という形をとっており、連邦政府が免除なしに米国外から供給品や完成品を購入することを禁じています。 他の多くの国も「バイ・ナショナル」法を制定している。 相互防衛調達協定は、これらの法律を免除し、両国が互いに防衛装備品を取引することを可能にするものである。 あるいは、少なくとも、資格のある国の特定の組織は、差別的な購入慣行を恐れることなく調達プロセスに参入することができる。
どの国が適格国か
この時点で、DFARS の下でどの国が適格国と見なされるかのリストが必要でしょう。 お気づきのように、リストに掲載されている国の多くは、米国の強固な同盟国です。 現在、合計で26カ国がDFARSの準拠国とされています。 以下は、DFARS準拠国リストです。
- Australia
- Belgium
- Canada
- Czech Republic
- Denmark
- Egypt
- Estonia
- Federal Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
Federal>
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO).
その他の重要な DFARS 要件とは
DFARS 自体が防衛設備の調達を管理する巨大な規制機関であることは、これまで述べてきたとおりです。 DFARS には、特定の組織に適用される多くの側面があり、個別の要件が多すぎて説明しきれません。 しかし、最近DFARSに追加された要件については、もう少し詳しく知ることに時間をかける価値があります。 この要件は、CUI (Controlled Unclassified Information)の保護について規定しています。 この要件に違反した場合、組織が保有する政府契約の喪失を含む厳しい罰則があるため、この要件が自社にどのような影響を及ぼすかを理解することは価値があります。
国防総省の調達プロセスの一部で CUI を扱っている場合、DFARS 204.73 「Safeguarding Covered Defense Information and Cyber Incident Reporting」で説明されているサイバーセキュリティ要件を遵守するよう法律で義務付けられています。 その名前が示すように、この要件は、機密ではないものの、その公開が損害を与える可能性がある機密データの保護に関するものです。 この要件を満たすためには、NIST 800-171 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizationsを遵守する必要があります。
DFARSにおけるサイバーセキュリティを規定する条項は、つい最近追加され、2017年12月31日に発効しました。 そのため、現時点でこの要件は1年以上前から施行されていますが、まだコンプライアンスを実現していない中小企業もあるかもしれません。 DFARSのサイバーセキュリティ要件への準拠を達成することは、確かに厄介なことです。 組織は、自社のネットワーク資産やシステムにおいて、CUIがどのように伝送され、保存されているのか、その真の範囲を特定しなければなりません。 そして、NIST 800-171に概説されているセーフガードを実施し、CUIの保護を確保しなければなりません。
「管理された非分類情報」が何を指すのか、外見からは広範な用語に見えるので、疑問に思われるかもしれません。 基本的に、CUI は、政府によって生成された、保護が必要なデータです。 また、政府の代わりに第三者機関が作成した情報やデータも含まれることがあります。 CUIの定義自体は複雑であり、国立公文書館が提供する完全な定義はここにあります。 DFARSのセキュリティ要件が適用される企業にとって、CUIを構成するものを正確に理解することは、CUIがシステム上のどこに保存され、どのように転送され、どのように保護されているかを特定するための基本的な出発点として機能する。 CUIの例としては、電子メール、設計図、請負業者の情報などがありますが、CUIとみなされる情報には様々な種類があります。
NIST 800-171 は、組織がネットワークおよびシステム上の CUI を保護するために使用できるフレームワークの概要を示しています。 NIST 800-171 は、準拠と見なされるために組織が満たさなければならない 14 の異なる要件を概説しています。 これらの要件は、制御、セキュリティ対策、管理と監視、およびエンドユーザの実践に分けることができます。 NIST が提供する他のセキュリティ要件と同様に、NIST 800-171 で概説されているサイバーセキュリティ要件は、業界で受け入れられているベストプラクティスを表しています。
NIST 800-171 に概説されている要件を満たすことは、特に、NIST が義務付ける評価および監視要件を実施するためのリソースを持たない中小規模のメーカーまたは DoD サプライヤーにとっては、困難な場合があります。 NIST 800-171への準拠を目指す組織は、自社のビジネスプロセスとCUIスコープをレビューし、コントロールのギャップを分析する必要があります。 これが完了すると、前進のためのロードマップを作成することができます。 その後、CUIの範囲を縮小するために、必要に応じてネットワーク、トラフィック、または資産のセグメンテーションとともに、コントロールを実施する必要があります。 最後に、セキュリティ監査や検証など、継続的なコンプライアンスを確保するためのプロセスを構築する必要がある。
また、NIST 800-171 で規定されている要件への準拠は、1 回限りのものではなく、むしろ継続的なプロセスであることを念頭に置くことが重要です。 つまり、組織は定期的に脆弱性評価を実施し、ネットワーク、システム、または Web アプリケーションの脆弱性を迅速に特定し、有害なイベントが発生する前に修正できるように、継続的な侵入テストを実施する必要があります。
まとめ
DFARS の要件への準拠を維持するには、膨大な量の時間と調整が必要になることがあります。 コンプライアンス要件を正確に理解することは、政府との契約を継続的に維持するために不可欠です。 協働している国が適格と見なされるかどうかを知るだけでは十分ではありません。 国防総省に下請け業者または一次請け業者として供給している組織の場合、組織がCUIを保護し、NIST 800-171に準拠していることを確認する必要があります。 これを怠ると、コンプライアンス違反となり、政府との契約が取り消され、データ漏洩に伴う金銭的・風評的被害が発生する可能性があります。 特にDFARSのコンプライアンス違反を回避するには、DFARSとNIST 800-171の両方の要件を深く理解している他の組織と協力する必要があります。 この2つは密接に関係しているため、対象となる組織は常に両者のコンプライアンスを維持することを保証しなければなりません。 DFARSとNIST 800-171のコンプライアンスやサイバーセキュリティ・ソリューションについてもっと知りたい方は、RSIセキュリティに今すぐご連絡ください。