DoD 8570 認定ガイド: IAT、IAM、IASAE、CSSP の役割要件

国防総省（DoD）は、ネットワークのセキュリティ確保、重要任務の防衛、そして国家安全保障上の利益の保護のために、高度なスキルと十分な資格を備えたサイバー人材に依存しています。DoD指令8570は、情報保証（IA）のトレーニング、認証、および人材管理要件に関する最初の枠組みを確立しました。この枠組みは、DoD指令8140に基づく責任の移行後も、引き続きDoD組織全体のサイバー人材の指針となっています。

本ガイドは、DoD指令8570の4つの主要なサイバー人材カテゴリー（情報保証技術（IAT）、情報保証管理（IAM）、情報保証システムアーキテクチャ＆エンジニアリング（IASAE）、サイバーセキュリティサービスプロバイダー（CSSP））に関する基本認証要件について、包括的かつ公式な概要を提供します。本ガイドは、人材のコンプライアンス維持に責任を負う請負業者、DoD民間人、軍人、そして組織のリーダーのための参考資料として作成されています。

1. 背景：DoD 8570の目的

DoD指令8570.01-Mは、すべてのIAおよびサイバーセキュリティ担当者が、DoDの情報システムを保護するために必要な知識、スキル、および業界で認められた認定資格を確実に取得できるようにするために導入されました。8570に基づき、国防総省は以下の事項を確立しました。

• 統一されたベースライン認定マトリックス
• 標準化された人材カテゴリーとレベル
• 担当者が承認された認定資格を取得し、維持することの要件
• 請負業者との連携とコンプライアンスの義務付け
• DoDの各部署にわたる共通の資格体系

8570は更新された8140エコシステムに段階的に移行していますが、その分類システムであるIAT、IAM、IASAE、CSSPは、引き続きDoDの人員配置と認定資格の検証の基盤となっています。

2. DoD 8570における人材カテゴリー

8570規格は、サイバー人材を4つの主要カテゴリーに分類し、それぞれが特定の職務と責任に対応しています。

カテゴリーには以下が含まれます。

• 情報保証技術 (IAT)
• 情報保証管理 (IAM)
• 情報保証システムアーキテクチャおよびエンジニアリング (IASAE)
• サイバーセキュリティサービスプロバイダー (CSSP)

各カテゴリーは、複雑さと責任に基づいてさらにレベル分けされています。

3. 情報保証技術 (IAT)

IAT担当者は、サイバーセキュリティおよび情報保証に関する実践的な技術業務を遂行します。その責任には以下が含まれます。

• セキュリティ対策の実装と維持
• 国防総省の情報システムの構成と管理
• ネットワーク防御運用のサポート
• システムおよびネットワークの脆弱性の管理

IAT担当者は、割り当てられたレベルに応じた技術的熟練度を示す必要があります。

IAT レベル I

一般的な役割

• ヘルプデスク技術者
• ジュニアシステム管理者
• ネットワークサポート技術者

主な責任

• 基本的なデバイス設定
• 定期的なシステムメンテナンス
• 初期セキュリティ管理の実装

承認されたベースライン認定資格

• CompTIA A+
• CompTIA Network+
• CCNA (Cisco Certified Network Associate)

IAT レベル II

一般的な役割

• システム管理者
• ネットワーク管理者
• 中級サイバーセキュリティアナリスト

主な責任

• DoD セキュリティポリシーの適用
• システムセキュリティ設定
• インシデントの検出と報告

承認されたベースライン認定資格

• CompTIA Security+
• CompTIA CySA+
• GICSP
• CCNA Security

IAT レベル III

一般的な役割

• シニアシステム管理者
• シニアサイバーセキュリティエンジニア
• ネットワークセキュリティエンジニア

主な責任

• 高度なシステム防御運用
• セキュリティアーキテクチャの実装
• エンタープライズセキュリティコントロールの統合

承認済みベースライン認定資格

• CASP+ (CompTIA Advanced Security Practitioner)
• CISSP (Certified Information Systems Security Professional)
• GCED (GIAC Certified Enterprise Defender)

4. 情報保証管理 (IAM)

IAM担当者は、サイバーセキュリティプログラムの監督、IA運用の管理、国防総省のポリシー遵守の確保を行います。彼らは、管理、運営、監督の責任を担います。

IAM レベル I

一般的な役割

• セキュリティマネージャー（エントリーレベル）
• 情報保証責任者

主な責任

• ローカルセキュリティプログラムの管理
• ユーザーアクセスの監視
• 基本的なコンプライアンスの実施

承認されている基本認定資格

• CAP（認定認可プロフェッショナル）
• GSLC（GIAC セキュリティリーダーシップ認定）

IAM レベル II

一般的な役割

• 中級サイバーセキュリティマネージャー
• サイバープログラムスーパーバイザー
• 情報システムマネージャー

主な責任

• 組織の IA 運用の監督
• 脆弱性およびリスク管理
• ポリシーの実装と監視

承認されている基本認定資格

• CISM（認定情報セキュリティマネージャー）
• CISSP

IAM レベル III

一般的な役割

• シニアサイバーセキュリティマネージャー
• 最高情報セキュリティ責任者（CISO）
• エンタープライズセキュリティリーダー

主な責任

• エンタープライズ全体の IA の監督 -戦略的ポリシーの策定
• リソース計画とコンプライアンス確保

承認済みベースライン認定資格

• CISSP
• GSLC

5. 情報保証システムアーキテクチャおよびエンジニアリング (IASAE)

IASAE 担当者は、安全な情報システムの設計、エンジニアリング、アーキテクチャに重点を置いています。彼らは、国防総省のシステムがライフサイクル全体を通じてサイバーセキュリティ要件を満たしていることを保証します。

IASAE レベル I、II、III

(これらのレベルは、段階的に進歩する技術的役割として機能しますが、ベースライン認定資格は共通しています。)

一般的な役割

• サイバーセキュリティアーキテクト
• システムセキュリティエンジニア
• エンタープライズアーキテクト

主な責任

• アーキテクチャ設計
• システムサイバーセキュリティ統合
• RMF コントロールの継承とマッピング

承認済みベースライン認定資格

• CISSP-ISSAP (情報システムセキュリティアーキテクチャプロフェッショナル)
• CISSP-ISSEP (情報システムセキュリティエンジニアリングプロフェッショナル)
• CSSLP (認定セキュアソフトウェアライフサイクルプロフェッショナル)

これらの認定資格は、高度なエンジニアリングおよびアーキテクチャの専門知識を証明します。

6. サイバーセキュリティサービスプロバイダー（CSSP）の役割

6.1 概要

CSSPカテゴリは、防御的サイバーオペレーション（DCO）とセキュリティ監視機能をサポートします。CSSP担当者は通常、セキュリティオペレーションセンター（SOC）、インシデント対応チーム、および国防総省サイバー防衛ユニット内で業務を行います。

CSSPの役割には以下が含まれます。

• CSSPアナリスト
• CSSPインフラストラクチャサポート
• CSSPインシデント対応者
• CSSP監査人
• CSSPマネージャー

各役割には、それぞれ異なる責任と認定要件があります。

6.2 CSSPアナリスト

責任

• ネットワーク監視
• サイバーインシデントの検知
• 脅威分析

認定資格

• CEH (Certified Ethical Hacker)
• CySA+
• GCIH

6.3 CSSPインフラストラクチャサポート

責任

• ネットワーク防御サポート
• インフラストラクチャ監視
• ツール設定

認定資格

• Security+
• CySA+
• GNFA

6.4 CSSPインシデント対応者

責任

• サイバーインシデントの特定
• 封じ込めと根絶
• フォレンジックトリアージ

認定資格

• GCIH
• CEH
• GCFA

6.5 CSSP監査人

責任

• セキュリティレビューと評価
• コンプライアンス検証
• リスクと脆弱性監査

承認された認定資格

• CISA
• GSNA
• CEH

6.6 CSSPマネージャー

責任

• DCO運用の監督
• SOCパフォーマンスの監視
• エンタープライズサイバー防御の管理

承認された認定資格

• CISSP
• CISM

7. 認定取得のタイムラインと維持

8570ロールに割り当てられた担当者は、以下の要件を満たす必要があります。

• 必要な認定資格を、配属前または配属後6ヶ月以内に取得する（コンポーネントポリシーによる）。
• CEU、CPE、または継続教育活動を通じて、認定資格の有効性を維持する。
• 認定資格の検証結果を、適切な国防総省の労働力管理システムにアップロードする。

これらの要件を満たさない、または維持できない場合、ロールから外されるか、契約資格を失う可能性があります（請負業者の場合）。

8. 組織の責任

国防総省の構成機関および請負業者は、以下を確保する必要があります。

• 要員を適切な8570カテゴリに整合させる
• 認定記録は最新かつ監査可能であること
• 要員が認定スケジュールを遵守していること
• 継続的なトレーニングとスキルの維持
• 国防総省サイバー人材フレームワーク（DCWF）への完全な準拠

請負業者は、業務を開始する前に、契約要員が認定要件を満たしていることを確認する必要があります。

9. 要約

国防総省の8570フレームワークは、引き続き国防総省の人材資格認定プログラムの基盤であり、8140への移行下でも引き続き要員の資格認定の指針となります。IAT、IAM、IASAE、およびCSSPの役割について明確な認定パスを定義することで、国防総省は、ミッションクリティカルなシステムのセキュリティ確保と防御を担うサイバー人材を確保します。

8570 要件を理解し、遵守することは、以下の者にとって不可欠です。

• 国防総省の民間人
• 軍人
• 防衛関連請負業者
• 国防総省のネットワークをサポートする IT およびサイバー専門家

コンプライアンスは、即応性を確保し、運用セキュリティを強化し、組織が連邦政府のサイバー人材要件を満たすことを可能にします。