国防連邦調達規則補足(DFARS)は、アメリカ国防総省(DoD)が商品やサービスの調達を管理するために開発・使用している一連の規則であり、DoDが国家安全保障を促進し、防衛目標を支援する方法でアイテムやサービスを調達することを保証するよう設計されています。したがって、業界に関係なく、あなたの会社がその部門への供給に何らかの関与がある場合、DFARSを遵守しなければなりません。
技術への依存が増大している世界では、DoDの契約に取り組む電子設計チームは特に規則を守る必要があることは驚くべきことではありません。非遵守は契約の終了、罰金、評判の損失など、重大な結果を招く可能性があります。そのため、チームが新しいボードを設計・開発する際にDFARSの要件を理解し、実装することが、機密情報を保護し、リスクを軽減し、DoDとの強固な関係を維持する上で最も重要です。
以下の2つのセクションでは、DoD向けの電子機器を準備する際にチームがチェックすべき考慮事項のチェックリストとして機能する2つの表を見つけることができます。
DFARSに関してチームが考慮すべきいくつかの重要な要素があります。これらは大まかに、セキュアな設計実践、サイバーセキュリティ、サプライチェーンのセキュリティ、データ権、および輸出管理によって概説されています。詳細は次の表で見つけることができます:
考慮事項 |
例 |
セキュアな設計実践 |
ファームウェアとソフトウェアの脆弱性を減らすために、OWASPトップ10のようなセキュアコーディング基準を遵守する。 |
セキュアブート、ハードウェアベースの暗号化、および改ざん検出などのハードウェアセキュリティ対策を実装する。 |
|
設計における潜在的な脆弱性とリスクを特定するために、徹底的な脅威モデリングを行う。 |
|
常に強力なセキュリティ機能を持つコンポーネントを優先し、既知の脆弱性を持つものは避ける。 |
|
コンポーネントの寿命終了を念頭に置いた計画を準備し、コンポーネントの陳腐化に伴うセキュリティへの影響に対処する。 |
|
サイバーセキュリティ |
DFARS条項252.204-7012に従って、技術データ、ソースコード、および設計文書を含む可能性のある管理された未分類情報(CUI)を特定し、保護する。アクセス制御、暗号化、および定期的なセキュリティ評価の実施は、この取り組みを支援することができます。 |
NIST SP 800-171で概説されているセキュリティ基準、アクセス制御、インシデント対応、リスク評価に関連する基準を遵守してください。 |
|
DFARS条項252.204-7012に従って、組織全体のチームがサイバーセキュリティインシデントを迅速に検出、対応、報告できるように、信頼性の高いインシデント対応計画を確立してください。 |
|
DFARSの「クラウドコンピューティングサービス」条項252.239-7010および「機密防衛情報の保護に関するコンプライアンス」である条項252.204-7008、および機密データの保護に関連するその他の条項に準拠してください。 |
|
サプライチェーンのセキュリティ |
サプライヤーの真正性とサイバーセキュリティ実践を評価・検証するために十分なデューデリジェンスを実施し、必要な基準および規制に準拠していることを確認してください。既存のサプライヤーが基準を満たしていない場合は、それらを交換するか、基準に達するようにする必要があります。 |
サプライチェーンに偽造部品が導入されるのを防ぐための措置を実施してください。これは、サプライヤーの監査、部品の追跡可能性、偽造部品検出ツールを通じて達成できます。 |
|
サプライチェーンに関連するリスクを評価し、軽減してください。これには、戦争、自然災害、サイバー脅威などの地政学的要因や混乱が含まれる可能性があります。 |
|
データ権利 |
限定権利、無制限権利など、さまざまなタイプのデータ権利とその意味するところを、自分自身やチームと共に理解しましょう。データの所有権、使用、配布にデータ権利がどのように影響するか、全員が理解していることを確認してください。 |
政府提供情報(GFI)を適切にマークし、取り扱い、そのセキュリティと適切な使用を保証するための手順を実施します。アクセス、保管、および伝送を制御する手順を実装してください。 |
|
輸出管理 |
設計や技術が国際武器取引規制(ITAR)または輸出管理規則(EAR)の下で輸出管理の対象となるかどうかを判断します。 |
管理された技術の輸出や移転に必要なライセンスや許可を取得し、注文のスクリーニング、アイテムの分類、必要な認可の取得を含む輸出管理手順を実施してください。 |
考慮事項 |
例 |
クラウドサービスプロバイダー(CSP)の選択 |
DFARS要件を満たすことができ、強力なセキュリティ実践を持つCSPを選択します。連邦リスクおよび認証管理プログラム(FedRAMP認証)、データセンターの場所、およびセキュリティ認証などの要因を考慮してください。 |
FedRAMP認定CSPの使用を真剣に検討してください。これらはおそらく最も厳格なセキュリティ評価を受けており、連邦のセキュリティ基準に準拠しているとみなされています。 |
|
クラウド内のデータセキュリティ |
休止状態および転送中の機密データを暗号化し、チーム全体で強力な暗号化アルゴリズムと鍵管理の実践を試みてください。 |
機密データへのアクセスを承認された人員のみに制限し、ロールベースのアクセス制御と多要素認証プロセスを使用してください。 |
|
脆弱性を特定して対処するために、定期的なセキュリティ評価を実施してください。これを行うには、脆弱性スキャン、侵入テスト、およびセキュリティ監査を実行できます。 |
|
データの居住地と主権 |
データ居住地の要件を認識し、機密データが承認された場所に保存されていることを確認してください。データの保存および転送に影響を与える可能性のあるデータ主権法および規制を考慮することを忘れないでください。 |
データ転送の制限に従い、国境を越えるデータフローに必要な承認を取得し、データ転送の制御を実施し、規制に準拠していることを確認するためにデータフローを監視してください。 |
DFARSは多面的で定期的に変化する基準ですが、DoDとの取引においては欠かせない要素です。そのため、該当するすべての企業はこの基準に対応しなければなりません。そこで、私たちは実践的なコンプライアンスのヒントをいくつか提案します。これにより、貴社内での対応が少しでも容易になることを願っています。
DFARSコンプライアンス担当者として活動できる責任あるチームメンバーを見つけます。その人の仕事はコンプライアンス努力の監視になります。同時に、DFARSリスクの識別、評価、軽減の手順を概説した包括的な計画を開発します。これら二つのステップが確立されたら、要件への遵守を確認し、改善できる領域を特定するために、定期的な監査を行うようにチームに確認してください。
システムとインフラを保護する必要があります。入力検証、出力エンコーディング、エラーハンドリングなど、セキュアなコーディング実践への企業全体の遵守を確実にしてください。ネットワークセグメンテーション、ファイアウォール、侵入検知システム、およびその他のセキュリティ対策を実装して、機密の設計および開発データを保護し、インシデントに迅速に対応するためのインシデント対応計画を開発し、定期的にテストしてください。
ソフトウェアだけでは、会社やチームを保護することはできません。サイバーセキュリティは比較的新しい概念であるため、会社が従業員にサイバー脅威、ベストプラクティス、機密情報の保護方法について十分に教育することが重要です。このような教育は、分類、ラベリング、アクセス制御を含む適切なデータ取り扱い手順に関する従業員のトレーニングによって強化することができます。上述のように、チームが輸出管理規制、ライセンス要件、および非遵守の潜在的な結果についてすべてを知っていることも同様に重要です。
革新的な技術企業が提供するツールは、このプロセス全体を容易にすることができます。例えば、データの移動を監視・制御し、人為的要素を排除して無許可の転送や漏洩を防ぐデータ損失防止(DLP)ツールを導入する; セキュリティイベントログを収集・分析・相関させ、インシデントへの迅速な検出と対応を可能にするセキュリティ情報およびイベント管理(SIEM)ツールを使用する; または、システムの設定と展開を自動化し、セキュリティ設定の一貫性を保ち、誤設定のリスクを減らすための構成管理ツールを採用することができます。
DFARS規制への遵守は、単にコンプライアンスに関するものではなく、DoDを通じてより大きく、おそらくはより良い契約を獲得するための戦略的な動きでもあることを忘れないでください。これらの規制への準拠は、リスクを軽減し、機密情報を保護する信頼できる、そして将来の協力のために信頼に値するパートナーとしての企業の評判を高める素晴らしい機会を提供します。
それは最も簡単なプロセスではありませんが、価値のあるものです。Altium 365は、集中化された設計データ、内部チーム、サプライヤー、パートナー間の強化されたコラボレーション、データ暗号化やアクセス制御を含む堅牢なセキュリティ対策、およびコンプライアンスチェックの自動化統合を通じてプロセスを支援できます。今日、Altium 365 GovCloudを探索してください—AWS GovCloudインフラストラクチャ上に構築されたAltium 365の専用領域—DFARSコンプライアンスに向けた次のステップを踏み出し、電子設計プロセスのセキュリティを強化するため。