Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

CMMC 2.0 レベルの理解: 国防総省請負業者のための包括的ガイド

ホーム 用語集 CMMC 2.0 レベルの理解: DoD請負業者向けの包括的ガイド

サイバーセキュリティ成熟度モデル認証(CMMC)は、国防総省(DoD)の機密情報を保護するために設計された認証です。これは、すべてのDoD請負業者および防衛産業基盤(DIB)のサプライヤーが、制御されていない分類情報(CUI)および連邦契約情報(FCI)を保護するために必要なサイバーセキュリティプロセスと手順を持つことを保証するための大規模な取り組みの一環です。

CMMC 2.0は、3つの異なる成熟度レベルで構成されており、この記事の主な焦点です。組織は、基礎、上級、エキスパートの3つの成熟度レベルから選択して、サイバーセキュリティの姿勢をより良く評価し、改善することができます。この記事では、これらの成熟度レベルを詳しく説明し、DoD請負業者、サプライヤー、およびコンプライアンスが必要な他の組織が、必要なセキュリティ対策を実施して理解し、遵守するのを支援します。

CMMC 2.0 レベルの理解: DoD請負業者向けの包括的ガイド

CMMC 2.0 成熟度レベル1: 基礎

基礎レベルは3つのレベルのうちの最初のもので、基本的なサイバーセキュリティリスク管理の実践で構成されています。このレベルは、最も一般的なサイバー脅威に対処することを目的とした、最も基本的なサイバー保護対策を含んでいます。認証とアクセス制御のような、誰がどの情報にアクセスできるかを制御する能力に焦点を当てています。

このレベルの要件は、資産管理、メディア保護、識別と認証、セキュリティ評価と認可、システムと通信の保護など、17の異なる実践に分かれています。組織は、すべての必要な実践が実施されていることを示し、効果的なサイバーセキュリティ管理プロセスを示す必要があります。

基礎レベルに適したセキュリティ実践の例には以下が含まれます:

  • データを定期的にバックアップし、安全なオフサイトの場所に保管する
  • すべてのアカウントに複雑なパスワードと二要素認証を利用する
  • ファイアウォール、アンチウイルス、その他のセキュリティソフトウェアをインストール、維持、更新する
  • 脆弱性を特定し、それに対処するために定期的にセキュリティ監査を実施する

誰がCMMCレベル1コンプライアンスを必要とするのか?

CMMC 2.0 レベル1は、政府に製品やサービスを開発または提供するための契約の下で、政府によって提供されるか、または政府のために生成される連邦契約情報(FCI)を扱うDoD請負業者および下請け業者に適用されます。

基礎レベルは、組織が基本的なサイバーセキュリティ実践を行うことを要求します。彼らは年次自己評価を通じて認証を取得することが許可されています。CMMC第三者評価認定機関(C3PAO)は、レベル1の認証には関与しません。

CMMC 2.0 成熟度レベル2: 上級

上級レベルは、CMMC認証プロセスの次のステップであり、より詳細で専門的なサイバーセキュリティ実践で構成されています。これらの実践は、より高度なサイバー脅威から保護するために設計されています。基礎レベルよりも高いレベルの保護を意図しており、企業の最も価値のある資産を保護するために設計されています。

上級レベルは、アクセス制御、セキュリティ評価と認可、システムと通信の保護、攻撃と対応計画など、110の異なる実践に分かれています。組織は、すべての必要な実践が実施されていることを示し、効果的なサイバーセキュリティ管理プロセスを示す必要があります。CMMC 2.0 レベル2は、NIST 800-171にマッピングされています。

上級レベルに適したセキュリティ実践の例には以下が含まれます:

  • ユーザーアクセスと認証を管理するためのポリシーと手順を確立する
  • 暗号化やネットワーク分離などの効果的なセキュリティシステムと通信保護を実施する
  • サイバー脅威に迅速かつ効果的に対応するためのシステムを導入する
  • 脆弱性を特定し対処するために定期的にセキュリティ評価を実施する
  • 悪意のある活動を防止し検出するための戦略を開発する

誰がCMMCレベル2コンプライアンスを必要とするのか?

同じタイプのCUIを扱うDoD請負業者および下請け業者は、レベル2コンプライアンスを満たす必要があります。国家安全保障に重要なデータを扱う優先取得のDoD請負業者は、3年ごとにC3PAOによる評価を受ける必要がありますが、国家安全保障に重要でないデータを扱う非優先取得の請負業者は、年次自己評価を実施する必要があります。

 

CMMC 2.0 成熟度レベル3: エキスパート

エキスパートレベルは、CMMC認証プロセスの最高レベルであり、最も包括的なサイバーセキュリティ実践で構成されています。これは、組織の最も機密性の高い情報と資産のセキュリティを確保し、複雑で高度なサイバー攻撃に対抗する組織の能力を確保するために設計されています。

CMMC 2.0 レベル3は、最も高度な持続的標的型攻撃に対応し、システムのサイバーセキュリティを強化することを目的としています。組織は、サイバーセキュリティ実践を適切に実施するための計画を確立、維持、資源化する必要があります。この計画には、目標、ミッション、プロジェクト、資源化、トレーニング、組織の利害関係者の関与が含まれるべきです。計画はまた、CUIの保護に焦点を当てるべきです。

具体的な要件はまだ開発中ですが、レベル3にはおそらくNIST SP 800-171の110の管理策とNIST SP 800-172の管理策のサブセットが含まれるでしょう。レベル3の概念と実施は、組織が高度な持続的標的型攻撃に対する脆弱性を減少させ、良好なサイバー衛生実践を確保するのに役立ちます。

NIST SP 800-172のセキュリティ要件に加えて、レベル3にはさらに20の実践が追加されました。さらに、DFARS条項252.204-7012が適用され、DoDプログラムで最も優先度の高いCUIを扱うシステムに対する追加のセキュリティ要件が追加されます。

エキスパートレベルに適したセキュリティ実践の例には以下が含まれます:

  • 悪意のある活動を監視し検出するための効果的なシステムを実施する
  • ユーザーアクセスと認証を管理するためのポリシーと手順を確立する
  • 暗号化やネットワーク分離などの高度なセキュリティシステムと通信保護を実施する
  • サイバー脅威に迅速かつ効果的に対応するためのインシデント対応システムを確立する
  • 潜在的なサイバーセキュリティ問題のためにシステムとネットワークを定期的に監査し監視するシステムを実施する

誰がCMMC 2.0 レベル3コンプライアンスを必要とするのか?

CMMC 2.0 レベル3は、最も優先度の高いDoDプログラムのためにCUIを扱う企業に適用されます。これはCMMC 1.02 レベル5に相当しますが、DoDはまだ具体的なセキュリティ要件を開発中です。

コンプライアンスが必要ない組織のためのCMMC

CMMC基準に準拠する必要がない組織でも、このフレームワークから利益を得ることができます。まず、CMMCレベルは、防衛産業基盤外の組織が自社のセキュリティポリシーと手順を作成し、機密情報が十分に保護されていることを確認するための参考として適用されます。どのCMMC成熟度レベルが自社に最も適しているかを判断するために、セキュリティの姿勢を評価する必要があります。これにより、組織の目標を達成するための効果的なセキュリティ計画を作成するための出発点が得られます。

自社のセキュリティ計画を作成しようとしている組織は、CMMCの対策を実施する必要があります。これには、アクセス制御、システムと情報の整合性、メディア保護、インシデント対応などの分野が含まれます。各分野を進める際には、CMMCレベルの要件を考慮して、計画を自社に合わせて調整する必要があります。また、セキュリティの姿勢を評価して、ギャップを特定し、それに対処する方法を決定する必要があります。これらはすべての組織のサイバーセキュリティリスク管理戦略に含めるべきです。

セキュリティの姿勢を改善するために、継続的な監視とパッチ適用、安全なシステム開発、情報セキュリティ、トレーニングなどの他の対策を実施することも検討する必要があります。これらの対策は、個々の組織のニーズに合わせて調整することができ、全体的なセキュリティ計画に組み込むべきです。

CMMCレベルを参考にして効果的なセキュリティ計画を作成することで、組織は機密情報が十分に保護されていることを確認できます。さらに、顧客やパートナーとの信頼の環境を育むことができ、データ保護法や基準に対する義務を果たすことができます。最終的に、CMMCの原則を指針として使用する組織は、情報とシステムのための安全な環境を開発することができます。

Kiteworks対応プライベートコンテンツネットワークがCMMC 2.0 レベル2コンプライアンスを加速する方法

Kiteworks対応プライベートコンテンツネットワーク(PCN)は、企業のためにCMMC 2.0 レベル2コンプライアンスプロセスを簡素化し、加速します。Kiteworksは、すべての機密コンテンツ通信を1つのプラットフォームで統合、追跡、制御、保護します。また、第一者と第三者が機密コンテンツで協力することを可能にします。Kiteworksは、アクセス制御、セキュアなファイル転送、ファイル暗号化、セキュアなファイル共有、二要素認証と多要素認証を提供することで、CMMC 2.0 レベル2コンプライアンスの達成プロセスを簡素化し、加速します。組織は、データとコンテンツの最高レベルのセキュリティを確保するために、詳細な権限とポリシーを設定できます。

Kiteworksを使用すると、組織はCMMC 2.0 レベル2の文書と証拠をC3PAO(第三者評価機関)およびCMMC認定機関(CMMC-AB)と内部で安全に共有できます。これにより、組織はコンプライアンスプロセスをより迅速かつ効率的に進めることができます。

Kiteworksは、すべての機密コンテンツ通信のためのデジタル監査トレイルを作成するのに役立ちます。これにより、機密コンテンツ通信を監視し、CMMC 2.0 レベル2を含むデータプライバシーとセキュリティ規制への準拠を示すことができます。Kiteworksはまた、C3PAO監査人に認証プロセスを加速するために使用できる完全な監査トレイルを提供します。さらに、KiteworksはCMMC 2.0 レベル2の要件の約90%を標準でサポートしています。

Kiteworksプライベートコンテンツネットワークについての詳細と、CMMC 2.0 レベル2コンプライアンスを加速する方法について知りたい場合は、カスタムデモをスケジュールしてください。

 

リスクとコンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks