要点
新しい調査により、防衛産業基盤の断片的なセキュリティ体制が明らかになりました。
GKNエアロスペース提供。
この音声は自動生成されています。ご意見があればお知らせください。
要点:
- 米国の防衛請負業者のほとんどは、国防総省の新しいサイバーセキュリティ評価プログラムへの完全な準拠に向けて十分な準備ができていないと述べています。
- サイバーセキュリティ成熟度モデル認証(CMMC)プログラムによる評価への完全な準備ができていると答えた企業はわずか1%であり、このプログラムは11月10日に施行されます。これはマネージドセキュリティプロバイダーのCyberSheathが水曜日に発表したレポートによるものです。
- 自社の準備状況に自信があると回答した割合は、過去2年間で減少しています。
詳細分析:
CMMCは、ペンタゴンが請負業者のサイバー防御を監督する上で大きな前進を示しています。軍関係者は2019年にこのプログラムの策定を開始しましたが、これは防衛企業がサイバーセキュリティを十分に重視しておらず、外国の敵対者に悪用される隙間が残されているとの懸念に応えるためでした。しかし、防衛産業基盤(DIB)企業約10万社の多くは、CMMC評価への準備に苦戦しています。
Cybersheathの調査回答者のうち、必要なセキュリティ管理策を実施し、システムセキュリティ計画(SSP)や行動計画およびマイルストーン(POAM)などの必要書類を完了しているのは50%未満です。さらに、安全なバックアップ技術を導入しているのは29%、パッチ管理システムを導入しているのは22%、多要素認証を利用しているのは27%、エンドポイント検出・対応ソフトウェアを利用しているのは4分の1にとどまっています。
回答者の中で、CMMCの完全準拠に必要なSupplier Performance Risk Systemスコア110を報告した企業はなく、17%は依然としてマイナスのスコアを報告しています。
100%の準備ができていると報告した請負業者はわずか1%ですが、準備状況の中央値は70%でした。かなりの数が80%または90%の準備状況と見積もっています。
「CMMCが方針から調達へと移行する中で」とCybersheathはレポートで述べています。「遅延のコストは、もはや失われた契約だけでなく、機密性の高い国家安全保障情報の漏洩という形でも測られるようになります。」
CMMC準拠サービスを提供するCybersheathは、DIB全体で300社の請負業者を調査しました。そのうち89%が元請業者、18%が下請業者で、残りは両方の契約を持っていました。回答者の多くは技術および製造業界に属し、その他にも建設、医療、金融、建築など多様な業界が含まれていました。
翻訳元: https://www.cybersecuritydive.com/news/cmmc-defense-contractors-preparedness-survey/761538/
