米国国防総省(DoD)は、世界最大規模かつ最も複雑なサイバーセキュリティ・エコシステムの一つを維持しています。この環境を支えるすべての職員が標準化された専門資格を満たしていることを保証するため、DoDは長年にわたり、トレーニング、認定、そして人材の準備態勢を規定する指令ベースのフレームワークを施行してきました。10年以上にわたり、DoD指令8570.01-Mは、サイバーセキュリティ人材の要件を定義する基本方針として機能してきました。しかし、脅威の進化に伴い、より現代的で能力に基づいた構造の必要性が高まったため、DoDは8570指令を、より広範で柔軟性が高く、包括的なイニシアチブであるDoD指令8140に置き換えました。
どちらのフレームワークも、DoDのサイバー人材のトレーニング、認定、そして任務遂行能力を確保するという共通の目標を共有していますが、構造、方法論、そして適用範囲は大きく異なります。本稿では、DoD 8140とDoD 8570の公式かつ詳細な比較分析を行い、主な相違点と、DoD環境内で業務を行う請負業者、民間人、軍人、そしてサイバーセキュリティ専門家にとっての実務的な影響について説明します。
DoD 8570:基礎的な認証基準
2005年に初めて発行されたDoD 8570.01-Mは、DoD情報システムへの特権アクセスを持つ個人に対する初期の基本的なサイバーセキュリティ認証要件を確立しました。この指令は、明確に定義された労働力カテゴリーにマッピングされたSecurity+、CISSP、CEHなどの特定の商用認証を義務付けました。長年にわたり、8570は、技術職員、管理者、そしてサイバーセキュリティサービスプロバイダーに必要な最低限の認証資格を決定するための権威あるガイドとして機能してきました。
DoD 8140:現代の包括的サイバー人材フレームワーク
DoD 8140は、8570を拡張、更新し、最終的には置き換えることを目的として制定されました。8570は認証に重点を置いていたのに対し、8140は国家基準に準拠し、知識、スキル、能力、経験、そして専門能力開発を網羅する、包括的なサイバーセキュリティ人材構造を導入しています。DoD 8140は、人材の特定、資格認定、研修のあらゆる側面を組み込んだDoDサイバー人材フレームワーク(DCWF)を確立しています。
要約:
DoD 8570は、主に情報保証(IA)およびサイバーセキュリティ担当者で、技術部門または管理部門を担当する人材に適用されます。
しかし、DoD 8140はサイバー人材を以下の分野に拡大しています。
この拡大された適用範囲は、分析、開発、インテリジェンス、運用、エンジニアリング、そしてプログラム監督といった幅広い責任範囲を持つサイバーセキュリティの現代の現実を反映しています。
DoD 8140は、国防総省のサイバー人材を国家サイバーセキュリティ教育イニシアチブ(NICE)の人材フレームワークに準拠させ、以下の事項を確保しています。
DoD 8570はNICEより前に制定されたため、国家人材標準との完全な整合性が確保されていませんでした。
DoD 8570では、職員は以下のいずれかのカテゴリーに分類されていました。
これらのカテゴリーは8140でも引き続き尊重されますが、より広範な構造の一部分として存在します。
DoD 8140では、職務はDCWFを用いて定義され、50以上の明確な役割が含まれるため、職務責任のより正確なマッピングが可能です。
DoD 8570では、資格の指標としてほぼ全面的に認定資格リストに依存していました。
DoD 8140は、以下の要素を組み込んだコンピテンシーベースのモデルを採用しています。
認定は依然として重要ですが、もはやコンプライアンスの唯一の判断基準ではありません。
8570では認定の更新が義務付けられていましたが、8140では以下の継続的なトレーニングと学習活動を重視しています。
これは、DoDが動的かつ進化するサイバー対応モデルへと移行していることを反映しています。
8140は構造的に8570に取って代わりますが、8570の認定表は引き続き有効であり、8140フレームワークに組み込まれています。以下の認定資格は引き続き認められ、適切な職務にマッピングされます。
これらの認定資格は引き続き認められ、適切な職務にマッピングされます。
変更点
8140では、変化する従業員の役割と脅威の状況に合わせて認定要件が再評価・更新されます。新しい認定資格や新興技術をフレームワークに効率的に統合できるため、柔軟性が向上します。
記録の保管と従業員の識別
DoD 8140は、より厳格かつ標準化された従業員の追跡を義務付け、サイバーセキュリティに関わるすべての従業員に、指定されたシステム内で正式な職務コードを割り当てます。これにより、監督と準備状況の評価が向上します。
トレーニングプログラムの検証
DoD 8140では、トレーニングプロバイダーは、認定目標だけでなく、DCWFの能力に合わせてカリキュラムを策定する必要があります。これにより、資格取得だけでなく、スキルに基づく即応性を確保できます。
ガバナンスと監督
DoD 8140 では、以下が求められています。
これは、8570 におけるより限定的な管理要件を拡張したものです。
請負業者は、政府職員と同じ労働力要件を遵守する必要があります。8140 では、これには以下が含まれます。
遵守しない場合、契約の履行や DoD システムへの特権アクセスが妨げられる可能性があります。
民間人は以下から恩恵を受けます。
8140 は、DoD の各部署間のモビリティと連携を向上させます。
軍のサイバーオペレーターは、規定の期限内に8140に準拠した認定および研修要件を満たす必要があります。このフレームワークにより、軍種間でより一貫性のあるサイバー能力が確保されます。
キャリアの明確化
国防総省8140は、職務内容を明確にし、専門家が以下の点を把握できるようにします。
これにより、キャリアプランニングとキャリアアップが向上します。
より高い専門的基準
能力ベースの要件への移行により、専門家は認定資格の取得だけでなく、応用スキル能力も実証する必要があります。
人材の流動性向上
DoD 8140はNICE(国家情報委員会)と連携しているため、サイバー専門家は以下の分野間でより円滑な異動が可能になります。
長期的な専門能力開発
DoD 8140は生涯にわたる研修を重視しており、継続的な即応体制を確保することで、人材全体の質とミッションレジリエンス(回復力)を向上させます。
分野
DoD 8570
DoD 8140
主要モデル
認証ベース
コンピテンシーベース
人材の範囲
IAおよびサイバーセキュリティの役割
サイバー人材全体(7つの要素)
役割数
約14のカテゴリー
50以上の職務
整合性
DoD固有
NICE準拠
トレーニング
認証のみ
スキル、タスク、経験、トレーニング
柔軟性
限定的
高い適応性
ガバナンス
基本的な認証追跡
人材ライフサイクル管理の完全化
DoD 8140は、国防総省におけるサイバーセキュリティ人材ガバナンスの大幅な近代化を表しています。 DoD 8570は基礎的な認定要件を定めていましたが、8140はこの構造を、国家基準に準拠した包括的かつ能力ベースのフレームワークへと拡張しています。この移行により、DoDのサイバー人材は、ますます複雑化する脅威環境において、国家の情報システムを防御するための能力、適応性、そして準備態勢を維持できるようになります。
請負業者、民間人、そして軍人にとって、これらの指令の違いを理解することは、コンプライアンスの確保、即応性の維持、そしてDoDのサイバー分野における進化するキャリアパスの開拓に不可欠です。
.jpg&w=640&q=75)
著作権 © 2024 - 無断転載を禁じます。
