美國國防部有鑑於駭客活動與威脅與日俱增,加上新興的「供應鏈攻擊」型態,因此制定了「網路安全成熟度模型認證(Cybersecurity Maturity Model Certification, CMMC)」制度,藉由導入民間IT產業的力量,打入國防產業鏈,同時鞏固國防系統的資安,維持美軍資安技術的先進性、創新性等優勢。
趨勢發展背景
2020年1月,美國國防部「副部長辦公室採購暨後勤處(Office of the Under Secretary of Defense for Acquisition and Sustainment, OUSD(A&S))」,針對國防採購合約中的「受管制、為分類之資訊(Controlled Unclassified Information, CUI)」的安全議題,參酌美國國家標準技術研究所(NIST)的SP800-171、SP800-172標準,建立了分為五級的CMMC 1.0版。
2021年,美國國防部因應國防承包商反映的意見,承包商表示CMMC v1.0的五級框架太複雜、難以滿足國防部的安全規格需求,因此美國國防部再次著手修訂CMMC,並在同年11月發布CMMC 2.0版,從五級簡化為三級,並預計2023年上路實施 (Gray, Martin, & VanEvery, 2022)、2026年成為國防採購案的強制需求 (Lopez, 2020)。
圖 1 CMMC v1.0五級指標與CMMC v2.0三級指標之對應
資料來源: (U.S. DoD, 2021)
產業趨勢說明
依據美國國防產業協會(NDIA)的雜誌《National Defense》在2021年的報導 (Harper, 2020),2020年國防承包商的投入資金高達4,470億美金。另外,根據國防安全研究院指出,美國結合英國、加拿大、澳洲、紐西蘭、日本、南韓等盟邦共同參與CMMC,尤其南韓完全移植美軍CMMC的規格,除了推動南韓國防產業逐步達到美軍採購水準外,甚至還以俄烏戰爭為契機,成功將軍火打入波蘭市場,帶動國防和資安發展的相輔相成。
未來展望/挑戰
有鑑於台灣面臨中國網路攻擊的威脅與日俱增,可謂道高一尺、魔高一丈,現在國內已有鼓勵台灣國防產業加入CMMC認證的呼聲,藉由打進美軍採購生態系,來提升台灣國防產業資安技術能量。
另外,我國因應戰前準備,需要生產大量的彈藥,軍工產業也是駭客攻擊的重點目標;藉由讓國內軍工產業滿足CMMC的需求,可有望進一步深化與美軍、美國國防承包商的合作,在未來可預見的戰爭中,得以立於不敗之地。
封面圖片獲123RF圖庫授權使用
參考資料