請負業者、民間人、IT/セキュリティ担当者向けの国防総省認定要件：包括的な2025年コンプライアンスガイド

国防総省（DoD）は、国防総省の情報システムを支援、管理、セキュリティ保護、または運用する個人が必要な知識、スキル、および認定資格を保有していることを保証するため、人材資格要件の強化を継続しています。防衛請負業者、民間従業員、IT/サイバーセキュリティ専門家のいずれであっても、指定されたサイバー人材の役割には、DoD 8140および従来の8570要件への準拠が引き続き必須です。

このガイドは、DoDの認定要件、該当する人材カテゴリー、資格認定基準、およびDoD情報環境内で活動する組織および個人に対するコンプライアンスの期待事項について、包括的かつ正式な概要を提供します。

1. DoD 8140/8570サイバー人材要件の概要

DoD指令8140（旧8570）は、DoDサイバー人材の基本的な資格および認定基準を定めています。以下の事項を規定しています。

• 特定の職種に必要な認定資格
• サイバーセキュリティ関連職務に携わる職員に求められる能力
• 職員の研修および資格取得のタイムライン
• 国防総省の構成機関および防衛関連請負業者のコンプライアンス義務

DoD 8140 は包括的な権限を規定し、DoD 8140.01、DoD 8140.02、および DoD 8140.03 は、フレームワーク、プロセス、およびサイバー人材資格・管理プログラム（CWQMP）についてさらに詳細に定義しています。

このフレームワークでは、特権アクセスまたはサイバーセキュリティ関連の責任を負うすべての職員は、それぞれの職種とレベルに応じた認定資格を取得し、維持する必要があります。

2. 適用範囲：DoD 認定資格の取得が必要なのは誰ですか？

DoD 認定資格の要件は、防衛エコシステム全体に広く適用され、以下の者を含みます。

2.1 請負業者

DoD の業務支援、IT サービスの提供、システムの管理、または政府ネットワークへのアクセスを行う民間企業に雇用されている個人は、契約上の義務に従って認定要件を満たす必要があります。これは以下の組織に適用されます。

• 元請け業者
• 下請け業者
• マネージドサービスプロバイダー (MSP)
• システムインテグレーター
• 国防総省のシステムをサポートするサイバーセキュリティサービスプロバイダー

請負業者は、政府職員と同様の認証取得スケジュールとコンプライアンス基準が適用されます。

2.2 国防総省の民間職員

サイバー、IT、情報保証、エンジニアリング、またはセキュリティ関連業務に従事する民間職員は、それぞれの職務に関連した適切な基本認証を取得し、維持する必要があります。

これには以下の職員が含まれます。

• 国防情報局 (DISA)
• 米サイバー軍 (USCYBERCOM)
• 国防総省の最高情報責任者 (CIO) オフィス
• 軍事部門
• 防衛機関および現場活動

2.3 ITおよびサイバーセキュリティ担当者

システム管理、ネットワーク管理、サイバーセキュリティ監視、エンジニアリング、または情報保証に関わる業務に従事する請負業者、民間職員、または軍人は、すべて認証を取得する必要があります。

これは、以下の権限を持つ者に適用されます。

• 特権アクセス
• システム変更権限
• サイバーセキュリティ対策の責任
• 多層防御運用を支援する役割

3. DoD サイバー人材のカテゴリーと認定レベル

DoD 8140 では、複数の人材カテゴリーが定められており、それぞれに対応する認定要件があります。

3.1 情報保証技術 (IAT)

IAT 担当者は、サイバーセキュリティと IT に関する技術的なサポートを提供します。ネットワーク防御、システム保守、セキュリティ設定などの責任を負います。

レベルは以下のとおりです。

• IAT レベル I — エントリー
• IAT レベル II — 中級
• IAT レベル III — 上級技術

承認されている認定資格には、A+、Network+、CCNA、Security+、CySA+、CASP+、CISSP などがあります。

3.2 情報保証管理 (IAM)

IAM 担当者は、サイバーセキュリティ プログラムの監督、ガバナンス、リーダーシップを提供します。

レベルには以下が含まれます。

• IAM レベル I — 基本管理職
• IAM レベル II — 中級管理職
• IAM レベル III — 上級管理職

承認されている認定資格には、CAP、CISM、CISSP、GSLC、および関連する管理資格が含まれます。

3.3 情報保証システムアーキテクチャおよびエンジニアリング (IASAE)

IASAE の担当者は、国防総省ネットワークの安全なシステムの設計、エンジニアリング、および構築を行います。

役割には以下が含まれます。

• システムセキュリティエンジニア
• サイバーセキュリティアーキテクト
• 上級エンジニアリングスタッフ

承認されている認定資格には、CISSP-ISSAP、CISSP-ISSEP、CSSLP が含まれます。

3.4 サイバーセキュリティサービスプロバイダー (CSSP)

CSSP の担当者は、サイバー防御、SOC 運用、インシデント対応、および脆弱性分析をサポートします。

CSSPの職務には、以下のものがあります。

• アナリスト
• インフラストラクチャサポート
• インシデント対応者
• 監査人
• マネージャー

承認されている認定資格には、CEH、CySA+、GCIH、GCFA、CFRなど、専門分野に応じた資格があります。

4. 人材タイプ別の基本認定要件

認定フレームワークは役割ベースですが、人材グループによって影響は異なります。

4.1 請負業者の要件

請負業者は以下の要件を満たす必要があります。

• サイバー機能を遂行する前に、承認された認定資格を取得すること。
• 業務遂行期間を通じて認定資格の有効性を維持すること。
• 必要に応じて、コンプライアンス文書を契約担当者に提出すること。
• 適切なIAT、IAM、IASAE、またはCSSPカテゴリーに人材配置を合わせること。

遵守しない場合、以下の措置が取られる可能性があります。

• 契約履行資格の剥奪
• 違反の認定
• 要員の解雇
• 契約資格の喪失の可能性

4.2 民間人に関する要件

民間人は以下の要件を満たす必要があります。

• 国防総省の組織方針で定められた期限内（通常は配属後6ヶ月以内）に必要な認定資格を取得する。
• 継続教育単位（CEU）または継続専門教育（CPE）を維持する。
• 国防総省規則8140.03で定義されている継続的な人材研修に参加する。
• 職務記述書をDCWFの役割コードと整合させる。

民間人は、役割に基づく熟練度および維持目標の達成も期待されます。

4.3 ITおよびサイバーセキュリティ担当者に関する要件

特権アクセスを持つ担当者は、以下の要件を満たす必要があります。

• 昇格された権限を取得する前に、承認されたIAT、IAM、またはCSSP認定資格を取得する。
• 承認されたトレーニングおよびCEプログラムを通じて、スキル習熟度を維持する。
• 国防総省基準に準拠したサイバーセキュリティ研修を毎年受講する。
• 追加のコンポーネントレベルの要件を満たす（例：DISA、海軍NMCI、陸軍サイバーセキュリティ）。

5. 認定取得のタイムラインとコンプライアンスへの期待

5.1 初回認定

担当者は、以下の期間内に必要な認定を取得する必要があります。

• サイバー関連業務に就く前（請負業者）
• 6ヶ月以内（民間人）
• 特定の職種については12ヶ月以内（コンポーネントポリシーに基づく）

5.2 更新と継続教育

ほとんどの認定は2～3年ごとに更新が必要です。以下に該当する認定が含まれます。

• CompTIA（CEプログラム）
• ISC2（CPE要件）
• EC-Council（ECE要件）
• GIAC（更新サイクル）

更新を行わない場合、国防総省のコンプライアンス資格は自動的に失効します。

5.3 文書化と追跡

担当者は、以下のシステムに認定資格が記録されていることを確認する必要があります。

• 国防総省サイバー人材管理システム
• コンポーネントレベルのトレーニングデータベース
• 請負業者の従業員コンプライアンス報告書

組織は、認定ステータスを示す監査可能な記録を保持する必要があります。

6. 認定認証機関

国防総省は、以下の認定機関からの認定資格のみを受け入れます。

• CompTIA
• ISC2
• ISACA
• EC-Council
• GIAC / SANS
• Cisco
• Oracle
• Red Hat
• DoD 8140 ベースラインテーブルに記載されているその他の機関

公式の国防総省 8140/8570 承認ベースライン認証マトリックスに記載されている認定資格のみが対象となります。

7. 国防総省認証コンプライアンスの影響

7.1 個人向け

コンプライアンスにより、以下のメリットが得られます。

• 政府機関の職務
• 請負業者としての役割
• 高度なサイバーセキュリティに関する責任
• キャリアモビリティと昇進の機会の拡大

認定を受けた職員は、指定された役割において実証された能力が認められます。

7.2 組織向け

組織は、以下のメリットを得られます。

• 契約資格
• サイバーセキュリティ体制の強化
• 従業員リスクの軽減
• 監査への対応
• DFARS、NIST SP 800-171、RMF、ゼロトラスト規制への準拠

コンプライアンス違反は、請負業者の資格剥奪や運用能力の制限につながる可能性があります。

8. 要約

国防総省の認証要件は、サイバーセキュリティ対策の取り組みの基盤となります。請負業者、民間人、IT/セキュリティ担当者は、DoD 8140 ベースライン基準を遵守し、従業員が進化する脅威から国防総省のシステムを防御するための訓練を受け、資格を取得し、装備を整えていることを確認する必要があります。

適切な IAT、IAM、IASAE、または CSSP カテゴリーに人員を配置し、承認された認定資格を維持することで、組織は安全で回復力のある国防総省の情報環境の構築に貢献します。コンプライアンスは契約上の要件であるだけでなく、国防総省のミッションを支援するすべての組織にとって重要な運用上の優先事項です。