Blog Banner - Survey Reveals Alarming State of Cybersecurity Readiness in the DIB

調査が明らかにした防衛産業基盤におけるサイバーセキュリティ準備の危機的状況

国防総省(DoD)とその広範な請負業者ネットワークは、米国の国家安全保障の基盤を形成しています。しかし、CyberSheathの最近の報告書は、非常に懸念すべき現実を明らかにしています。大多数の防衛請負業者がサイバーセキュリティ成熟度モデル認証(CMMC)の要件に対して準備が不十分であり、重要なインフラストラクチャと機密データがサイバー脅威に対して脆弱な状態にあります。

CMMC認証プロセスは困難ですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。

Table of Contents

CMMCコンプライアンスの厳しい現実

CyberSheathの2024年の調査は、従業員が最大1,000人の請負業者を含む範囲を拡大し、防衛産業基盤(DIB)全体のサイバーセキュリティ準備状況の厳しい現実を描いています:

  • 75%以上の回答者が自己評価に基づいてコンプライアンスを主張
  • 40%未満がシステムセキュリティ計画(システムセキュリティ計画)、行動計画とマイルストーン(POA&M)、必要なコントロール、および継続的なコンプライアンス計画に積極的に取り組んでいる
  • 自社がCMMC認証に完全に準備ができていると信じているのはわずか4%
  • 回答者の平均サプライヤーパフォーマンスリスクシステム(SPRS)スコアは110点中-12で、DFARSが要求する最低110点を大きく下回っている

これらの統計は、請負業者のサイバーセキュリティ態勢の認識と実際の準備状況との間に大きなギャップがあることを示しています。

重要なポイント

  1. 広範な非コンプライアンス

    自己評価では高いコンプライアンスを示しているにもかかわらず、防衛請負業者の実際のCMMC準備状況は驚くほど低いです。

  2. 重要インフラのリスク

    調査対象企業の89%がDoDによって定義された重要インフラセクターで運営されています。彼らのサイバーセキュリティ準備不足は、国家安全保障、経済の安定性、公共の安全に対する深刻な脅威をもたらします。

  3. 必須技術の低採用率

    多要素認証(21%)、脆弱性管理(20%)、パッチ管理(15%)などの重要なサイバーセキュリティソリューションの採用率が驚くほど低く、請負業者をサイバー攻撃に対して脆弱にしています。

  4. コンプライアンスコストの過小評価

    DFARSコンプライアンスのために報告された平均年間予算($41,220)は非常に不十分です。例えば、24時間365日のネットワーク監視要件を満たすだけでも、30〜50人の企業で年間約$144,000が必要です。

  5. 緊急の行動の必要性

    CMMC認証に完全に準備ができていると感じている請負業者はわずか4%であり、DIBのサイバーセキュリティ態勢を改善するために、意識の向上、教育、サイバーセキュリティインフラへの投資、そして潜在的にはより厳しい規制の施行が必要です。

なぜ多くの請負業者が準備不足なのか

防衛請負業者のCMMC準備不足にはいくつかの要因があります:

1. CMMC要件は複雑で進化している

多くの請負業者は、CMMC要件の複雑さと動的な性質のために理解し実施するのが難しいと感じています。回答者の約40%がDFARS報告を難易度8以上と評価しています。サイバーセキュリティ脅威と規制の絶え間ない進化は、企業が追いつくのを困難にしています。

2. CMMCコンプライアンスはコストがかかる

50%以上の請負業者が、継続的な変更と必要なツールやソリューションによる大きなコスト影響を強調しています。DFARSコンプライアンスを達成し維持するために報告された平均年間予算は$41,220ですが、この金額は非常に不十分です。例えば、30〜50人の企業は、DFARSで指定された米国ベースの24時間365日のネットワーク監視要件を満たすために年間約$144,000を費やす必要があります。

3. 防衛請負業者はCMMCコンプライアンスに必要な技術を採用していない

調査は、必須のサイバーセキュリティソリューションの採用率が驚くほど低いことを明らかにしています。これらの低い採用率は、多くの請負業者が堅牢なサイバーセキュリティに必要な基本的な技術インフラを欠いていることを示しています。低い採用率の例には以下が含まれます:

4. 防衛請負業者はCMMCを知らないか理解していない

CMMCコンプライアンスの重要性にもかかわらず、多くの請負業者は規制の重要性や非コンプライアンスの潜在的な結果を認識していないようです。例えば、回答者の63%のみが防衛産業基盤サイバーセキュリティ評価センター(DIBCAC)監査を認識していました。

5. 防衛請負業者はCMMC準備を過大評価している

自己評価によるコンプライアンス(75%以上)と平均SPRSスコア(-12)の間の不一致は、多くの請負業者が自社のサイバーセキュリティ能力を過大評価していることを示唆しています。この過信は、重要な脆弱性に対処しないことにつながる可能性があります。

CMMC準備不足が深刻な懸念である理由

DIB全体でのCMMC非コンプライアンスの影響は広範であり、潜在的に壊滅的です:

1. CMMC非コンプライアンスは国家安全保障リスクをもたらす

調査に参加した企業の89%は、DoDによって定義された重要インフラセクターで運営されています。これらのセクターは国家安全保障、経済の安定性、公共の安全にとって重要とされています。これらの分野での不十分なサイバーセキュリティ対策は、敵対者によって悪用された場合、壊滅的な結果をもたらす可能性があります。

2. CMMCに準拠していない防衛請負業者はサイバー攻撃に対してより脆弱である

必須のサイバーセキュリティ技術の低い採用率は、防衛請負業者をサイバー攻撃に対して非常に脆弱にしています。国家によるサイバー脅威が増加する時代において、この脆弱性は機密防衛情報と技術に対する重大なリスクをもたらします。

3. CMMCに準拠していない防衛請負業者は防衛サプライチェーンを弱体化させる

DIBは相互に関連するエコシステムです。サプライチェーンの一部の弱点がネットワーク全体を危険にさらす可能性があります。多くの請負業者が基本的なサイバーセキュリティ基準を満たしていないため、防衛サプライチェーン全体がリスクにさらされています。

4. CMMC非コンプライアンスは深刻な経済的影響をもたらす

サイバーインシデントは多大な財務的損失を引き起こす可能性があります。調査は、多くの請負業者がすでにサイバーインシデントによる損失を経験していることを示しています。継続的な非コンプライアンスは、個々の企業と防衛セクター全体にとってさらに大きな経済的損害をもたらす可能性があります。

5. CMMCに準拠していない防衛請負業者は競争力を失い、DIBを弱体化させる

CMMC要件がより厳格になり施行されるにつれて、非準拠の請負業者はDoD契約を競争する能力を失うリスクがあります。これにより、DIBが縮小し、防衛セクターの革新と競争に影響を与える可能性があります。

6. CMMC非コンプライアンスは深刻な法的および規制上の結果をもたらす

虚偽請求法の認識の高まりと不正確なSPRSスコア報告に対する潜在的な罰則により、非準拠の請負業者は重大な法的および財務的リスクに直面しています。

CMMCに準拠する必要がありますか?こちらが完全なCMMCコンプライアンスチェックリストです。

防衛請負業者がCMMCコンプライアンスに向けてサイバーセキュリティ態勢を改善する方法

報告書の調査結果に基づいて、防衛請負業者がサイバーセキュリティ態勢を改善するための重要な方法を以下に示します:

  1. 必須のサイバーセキュリティ技術への投資を増やす。報告書は、多要素認証(21%の採用率)、脆弱性管理(20%の採用率)、パッチ管理(15%の採用率)などの重要なソリューションの採用率が驚くほど低いことを示しています。これらの基本的なセキュリティコントロールの実施を優先することで、サイバーセキュリティを大幅に強化できます。
  2. コンプライアンスのための予算を増やす。報告された平均年間予算$41,220は非常に不十分です。例えば、24時間365日のネットワーク監視要件を満たすだけでも、30〜50人の企業で年間約$144,000が必要です。請負業者はCMMC要件を満たすためにサイバーセキュリティ支出を増やす必要があります。
  3. 自己評価の精度を向上させる。自己評価によるコンプライアンス(75%以上)と実際の準備状況(平均SPRSスコア-12/110)の間には大きなギャップがあります。請負業者は、ギャップを特定するためにより厳密な自己評価を行うか、認定第三者評価機関(C3PAO)の専門知識を活用するべきです。
  4. 包括的なシステムセキュリティ計画(SSP)と行動計画とマイルストーン(POAM)を開発する。これらの必要な要素に積極的に取り組んでいるのは40%未満です。
  5. CMMC要件の認識と理解を高める。約40%がDFARS報告を非常に難しい(8/10以上)と評価しています。教育とトレーニングプログラムがこの知識のギャップを埋めるのに役立つでしょう。
  6. 第三者の専門知識を活用する。複雑さを考慮すると、多くの請負業者は経験豊富なサイバーセキュリティ企業やマネージドセキュリティサービスプロバイダー(MSSP)と提携することでコンプライアンスを達成することができます。
  7. 継続的な監視と改善プロセスを実施する。サイバーセキュリティは一度限りの努力ではなく、進化する脅威に対処するために継続的な警戒が必要です。

これらの分野に焦点を当てることで、防衛請負業者はサイバーセキュリティ態勢を大幅に改善し、CMMCコンプライアンスに向けて前進することができます。

KiteworksはFed-RAMP認定のプライベートコンテンツネットワークで防衛請負業者がCMMCコンプライアンスを実証するのを支援します

CyberSheathの報告書は、防衛産業にとって厳しい警鐘を鳴らしています。防衛請負業者の間でのCMMC準備不足は、国家安全保障、経済の安定性、防衛サプライチェーンの完全性に対する深刻な脅威をもたらします。これらの重要な脆弱性に対処し、防衛産業基盤全体のサイバーセキュリティ態勢を強化するために、すべての利害関係者—請負業者、DoD、サイバーセキュリティプロバイダー—からの緊急の行動が必要です。

サイバー脅威が進化し激化し続ける中、行動しないことのコストは、堅牢なサイバーセキュリティ対策に必要な投資をはるかに上回ります。国家の将来の安全は、この課題に立ち向かい、重要な防衛情報とインフラを効果的に保護できる、CMMCに準拠したレジリエントなエコシステムを構築するDIBの能力にかかっています。

Kiteworksプライベートコンテンツネットワークは、FIPS 140-2レベルで検証されたセキュアなファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTPマネージドファイル転送、次世代デジタル著作権管理ソリューションを統合し、組織がファイルを管理、保護、追跡できるようにします。

Kiteworksは、CMMC 2.0レベル2の要件の約90%をすぐにサポートします。その結果、DoD請負業者および下請け業者は、適切な機密コンテンツ通信プラットフォームを確保することで、CMMC 2.0レベル2の認定プロセスを加速できます。

Kiteworksを使用すると、DoD請負業者および下請け業者は、専用のプライベートコンテンツネットワークに機密コンテンツ通信を統合し、CMMC 2.0の実践に沿った自動化されたポリシーコントロールと追跡およびサイバーセキュリティプロトコルを活用できます。

Kiteworksは、以下のコア機能と特徴を備えた迅速なCMMC 2.0コンプライアンスを可能にします:

  • SSAE-16/SOC 2、NIST SP 800-171、NIST SP 800-172を含む、米国政府の主要なコンプライアンス基準および要件に基づく認証
  • FIPS 140-2レベル1の検証
  • 中程度の影響レベルCUIのためのFedRAMP認定
  • 保存中のデータに対するAES 256ビット暗号化、転送中のデータに対するTLS 1.2、および唯一の暗号化キー所有権

Kiteworksの展開オプションには、オンプレミス、ホスト型、プライベート、ハイブリッド、およびFedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用すると、機密コンテンツへのアクセスを制御し、外部に共有される際には自動エンドツーエンド暗号化、多要素認証、セキュリティインフラ統合を使用して保護し、すべてのファイル活動、つまり誰が何を誰に、いつ、どのように送信するかを確認、追跡、報告できます。最後に、GDPR、HIPAA、CMMC、Cyber Essentials Plus、IRAPなどの規制や基準に準拠していることを実証します。

Kiteworksについて詳しく知るには、今日カスタムデモをスケジュールしてください。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks