株式会社SHIFT(東京都港区)のグループ会社で、防衛領域特化のコンサルティング企業である株式会社Japan Aerospace & Defense Consulting(東京都港区、以下JADC)は6日、RMF(リスク管理枠組み)教育プログラムで「実務者編」の正式提供を始めた。従来の「技術者編」を拡充し、対象をオーナー組織と製造・開発ベンダーへ広げた。
実務者編は、RMF対応業務の初動対応で必要となる「セキュリティ計画」と「リスク分析・評価」の対応プロセスに加え、「継続的監視」と「将来計画」の対応プロセスに関する演習や講義を新たに追加した。JADCは、これまで防衛装備品製造・納入企業を対象として提供していたが、RMF対応業務に携わる多様なステークホルダーからのニーズの高まりを受け、オーナー組織向けの「組織向けコース」と、製造・開発ベンダー向けの「技術向けコース」の2種類を展開する。JADCはRMF対応支援コンサルティングサービスも手がけており、その支援知見を踏まえた教育コンテンツの開発・提供を進める取り組みの一部となる。
10組織超へ提供実績
RMF教育プログラムは2025年8月からJADCが提供している。提供開始以来、防衛装備品や情報システムのオーナー組織および製造・開発ベンダーに提供してきた。追加リサーチ情報によると、提供実績は10組織以上に及ぶ。カリキュラムは、米国防総省が定めるサイバーセキュリティ基準・DoDM 8140.03に基づく資格保有者が監修したとしている。
実務者編の受講対象は、一定の情報セキュリティの知識を有する人、またはRMF教育プログラム「入門編」を修了した人としている。所属組織の性質に応じて、組織向けコースと技術向けコースから選択する形をとる。従来の技術者編で扱っていた初動対応の演習を土台にしつつ、実務者編②には実務者編①の内容を復習するコンテンツも含め、RMF対応業務プロセス全体にわたる体系的な知識習得と知識定着につなげる設計とした。
2コースのうち組織向けコースは、防衛装備品や情報システムのオーナー組織におけるガバナンス/リスク管理に必要となる規定・基準・ガイドラインの整備、組織内の教育、ベンダーに対する組織向け管理策の実装要求などを学ぶ。技術向けコースは、防衛装備品や情報システムに実装し、あらかじめ備えておく必要のあるセキュリティ技術上の要求事項として、アクセス制御、暗号化、監査ログなどを扱う。
新たに加えた領域のうち、継続監視の領域では「継続監視対応状況表」、将来計画の領域では「将来計画対応状況表」の策定に必要な考え方を、実務に近いフォーマットを使って学ぶとしている。初動対応に加え、運用局面を含むプロセスを演習と講義で扱う構成を示した格好だ。
継続監視まで演習拡張
実務者編の提供開始は、RMF対応業務に携わる関係者の範囲を、従来の防衛装備品製造・納入企業に加えて、オーナー組織へも広げる枠組みを伴う。JADCは、オーナー組織向けに組織内の規定・基準・ガイドライン整備や教育、外部ベンダーへの実装要求などを学ぶコースを置き、製造・開発ベンダー向けには技術上の要求事項を扱うコースを置く形をとる。受講は、一定の情報セキュリティ知識を有する人、または入門編修了者を対象にし、所属組織の性質に応じてコースを選択する。
経緯面では、RMF教育プログラムが2025年8月に提供を開始し、その後の提供実績を積み上げてきたとされる。背景には、RMF対応業務に携わるステークホルダーからのニーズの高まりがあるとして、対象を防衛装備品や情報システムのオーナー組織と製造・開発ベンダーに分けた。追入門者向けの「入門者編」を提供していることも示され、RMF対応業務初学者向けに情報セキュリティとRMFの基礎知識解説と演習を組み合わせた2日間カリキュラムを用意している。
市場環境に関して、RMFが米国防総省基準(DoDM 8140.03)に基づくサイバーセキュリティ枠組みである点が示されている。日本の防衛装備品・情報システムに関わる組織が、オーナー組織と製造・開発ベンダーの双方でRMF対応業務に関与する構図を踏まえると、教育プログラム側でも役割別のコース設計を置く形となった。
今回の動きでは、RMF対応業務を初動対応だけでなく継続監視や将来計画まで含めた演習・講義に拡張し、受講対象をオーナー組織と製造・開発ベンダーに分けて提供する点が焦点となる。