【自分メモ】 GSA Continuous Diagnostics & Mitigation (CDM) Programの意訳まとめ
※英語ドキュメント意訳の自分メモです。日本語訳の正確性は保証しませんので閲覧してくれている方は、自己責任で活用下さい。
#用語整理 #CDN #ContinuousDiagnosticsAndMitigationProgram #セキュリティ #ネットワーク #とは
意訳元ドキュメント:GSA Continuous Diagnostics & Mitigation (CDM) Program
# Continuous Diagnostics & Mitigation (CDM) Program
CDM(継続的診断および対策)プログラムは、政府のネットワークやシステムのサイバーセキュリティを強化するためのプログラムです。CDMは、連邦政府機関に以下の機能とツールを提供します。
・潜在的なサイバーセキュリティリスクの発見
・潜在的な影響に基づいたリスクに対する優先順位付け
・サイバーセキュリティ担当者が最も重要な問題を最優先で集中できるようにする
# CDMの目的
プログラムの主な目的は以下の通りです。
・政府機関に対する脅威被害の削減
・連邦情報セキュリティマネジメント法 (FISMA)報告書の合理化
・連邦政府のサイバーセキュリティ体制の可視性向上
・連邦政府のサイバーセキュリティ対応能力の改善
私たちはCDMが目的を達成するための製品とサービスの両方を提供しています。
<製品>
Multiple Award Schedule(MAS)でのCDMツールの特別商品番号(SIN)
*CDM承認製品リスト(APL)に掲載されているCDMプログラムで検証された製品のみを提供することができます。
<サービス>
政府調達契約(GWAC) Alliantを背景にしたCDM Dynamic and Evolving Federal Enterprise Network Defense(DEFEND)と呼ばれる一連のタスクオーダー(TOs)を提供しています。
# CDMの包括購買契約の歴史
2013年8月、米国国土安全保障省(DHS)は、米連邦政府一般調達局(GSA)と共同で、政府全体を対象とした包括購買契約(BPAs)をMultiple Award GSA IT Schedule 70に基づいて設立しました。
この包括購買契約(BPAs)は「CDM Tools/Continuous Monitoring as a Service (CMaaS) BPAs」と呼ばれていて、政府全体で一貫した情報セキュリティ継続的監視(ISCM)ツールとサービスを低コストで提供し、政府に対して新たなサイバー脅威を特定し、影響を緩和するための能力を強化します。この包括購買契約(BPAs)では、34段階の価格帯が設定されていて、購入可能な各製品に対して累積でのボリュームディスカウントが適用されます。CDM Tools/CMaaS BPAsに対する包括購買契約(BPAs)は、2018年8月に終了し、CDMプログラムの新たな習得戦略に置き換えられました。
# CDMの機能
CDMは、プログラムの全ての側面において、また様々なタイムラインで政府機関が必要とする機能を提供し、政府機関に対して迅速に、そしてニーズに最適なものを提供します。
これらの機能は2つのドキュメントにまとめられています。
CDM Technical Capabilities Volume One Actual Desired States
このドキュメントでは、3つのフレームワークを活用することで、CDMプログラムを活用して政府機関が望ましい状態をどのように定義すべきかについて記載されています。
3つのフレームワークは米国標準技術研究所(NIST)によって定義されたCDM architecture、the Cybersecurity Framework、the security controls frameworkです。
CDM Technical Capabilities Volume Two Requirements Catalog 2020
2020年10月より、全てのAPL評価はVolum Two 2020(本ドキュメント)に対して行われます。
CDM Technical Capabilities Volume Two Requirements Catalog (2018年版)
このドキュメントでは、米国政府が政府機関の情報システムに対するセキュリティ評価と改善を可能にするという最重要目標に沿ったCDMプログラムの要件について記載されています。これらの要件はDEFEND (Dynamically Evolving Federal Enterprise Network Defense)と呼ばれるCDMの募集に利用されます。