CMMC 2.0 レベル1: 知っておくべきすべてのこと

サイバーセキュリティ成熟度モデル認証（CMMC）は、制御されていない分類情報（CUI）や連邦契約情報（FCI）などの機密国家安全保障情報の保護を確保するために設計されています。この認証はすべての国防総省（DoD）請負業者および下請業者に適用され、コンプライアンスを維持できない請負業者はDoD契約に入札できません。CMMC 2.0は、2021年1月に最初にリリースされたCMMC 1.0の更新版です。

DFARSおよびDoDの規則とポリシーの下で、DoDはCUIとFCIを保護するためにCMMC標準にサイバーセキュリティコントロールを実装しました。したがって、CMMCは組織のFCIとCUIを保護する能力を測定します。FCIは「公開を意図しない」情報であり、CUIは保護が必要であり、配布制御の対象となる可能性がある情報です。FCIはFAR条項52.204-21で定義され、CUIは32 CFRパート2002で定義されています。レベル1はFCIの保護に焦点を当てているため、レベル1の適用可能な自己評価の目的は、32 CFR § 170.15(c)(1)(i)に定められているように、CUIではなくFCIに対応するように修正されています。

この記事では、CMMC 2.0 レベル1、そのコントロール、および要件について知っておくべきすべてのことを紹介します。

私のCMMCレベル要件を決定する要因は何ですか？

必要なCMMC認証レベルは、企業が扱う情報の種類とその業務内容によって決まります。特定の認証レベルは、すべての新しいDoD契約で明記されます。指定されたレベルで認証されていないサプライヤーは、DoDビジネスに入札することができません。

契約にFAR 52.204-21（DFARS要件のサブセット）が含まれており、FCIのみを扱う企業は、CMMCレベル1を達成する必要があります。このレベルでは、認定された第三者評価プロバイダーは必要ありません。企業の役員による証明を伴う年次自己評価が必要です。

CMMC 2.0 レベル1とは何ですか？

基礎レベルは3つのレベルのうちの最初のもので、基本的なサイバーセキュリティリスク管理の実践を含みます。このレベルは、最も一般的なサイバー脅威に対処することを目的とした、最も基本的なサイバー保護対策を網羅しています。認証とアクセス制御など、誰がどの情報にアクセスできるかを制御する能力を含む、基本的なセキュリティとリスク管理の対策に焦点を当てています。

このレベルの要件は、アクセス制御、識別と認証、システムと情報の整合性などを含む6つのドメインと15の要件に分かれています。組織は、必要なすべての実践が実施されていることを示し、効果的なサイバーセキュリティリスク管理プロセスを示す必要があります。

誰がCMMC 2.0 レベル1を必要としていますか？

CMMC 2.0 レベル1は、政府に製品やサービスを開発または提供する契約の下で政府から提供された、または政府のために生成されたFCIを扱うDoD請負業者および下請業者に適用されます。

基礎レベルでは、組織が基本的なサイバーセキュリティの実践を行うことが求められます。年次自己評価を通じて認証を取得することが許可されています。CMMC第三者評価認定機関（C3PAO）は、レベル1の認証には関与しません。

CMMC 2.0 レベル1のドメインとコントロール

CMMC成熟度レベル1は、CMMC認証の最初で基礎的なレベルです。このレベルの要件は、次の6つのドメインに分かれています：

ドメイン	コントロールの数
アクセス制御（AC）	4つのコントロール
識別と認証（IA）	2つのコントロール
メディア保護（MP）	1つのコントロール
物理的保護（PE）	2つのコントロール
システムと通信の保護（SC）	2つのコントロール
システムと情報の整合性（SI）	4つのコントロール

各ドメインのコントロールとセキュリティ要件には以下が含まれます：

アクセス制御（AC）

アクセス制御ドメインは、システムとネットワークに誰がアクセスできるかを追跡し理解することに焦点を当てています。これには、ユーザーの権限、リモートアクセス、内部システムアクセスが含まれます。具体的なコントロールには以下が含まれます：

• 情報システムへのアクセスを、認可されたユーザー、認可されたユーザーの代理として行動するプロセス、またはデバイス（他の情報システムを含む）に制限する
• 情報システムへのアクセスを、認可された使用が許可されているトランザクションと機能の種類に制限する
• 外部情報システムへの接続と使用を確認し、制御/制限する
• 公開アクセス可能な情報システムに投稿または処理される情報を制御する

識別と認証（IA）

識別と認証ドメインは、組織内の役割に焦点を当てています。アクセス制御ドメインと連携し、すべてのシステムとネットワークへのアクセスが報告と説明責任のために追跡可能であることを保証します。コントロールには以下が含まれます：

• 情報システムのユーザー、ユーザーの代理として行動するプロセス、またはデバイスを識別する
• 組織の情報システムへのアクセスを許可する前提条件として、これらのユーザー、プロセス、またはデバイスの身元を認証（または確認）する

メディア保護（MP）

メディア保護は、メディアの識別、追跡、および継続的なメンテナンスに焦点を当てています。また、保護、データの消去、許容される輸送に関するポリシーも含まれます。このドメインには1つの要件があります：

• 廃棄または再利用のためにリリースする前に、連邦契約情報を含む情報システムメディアを消去または破壊する

物理的保護（PE）

多くの組織は、カードリーダーによる識別と特定の場所へのアクセスを要求するサインインプロセスを実施しています。しかし、すべての組織が訪問者を滞在中ずっと監督しているわけではありません。このドメインには、組織がそれを助けるための以下の要件があります：

• 組織の情報システム、機器、およびそれぞれの運用環境への物理的アクセスを認可された個人に制限する
• 訪問者をエスコートし、訪問者の活動を監視する
• 物理アクセスデバイスの監査ログを維持する
• 物理アクセスデバイスを制御し管理する

システムと通信の保護（SC）

従業員間の通信は、安全でなければならず、悪意のある者が盗聴して機密データを記録することができないようにする必要があります。システムと通信の保護ドメインは、組織の通信レベルでの境界レベルの防御の実装に焦点を当てています。このドメインの要件には以下が含まれます：

• 情報システムの外部境界および重要な内部境界で、組織の通信（すなわち、組織の情報システムによって送信または受信される情報）を監視、制御、および保護する
• 内部ネットワークから物理的または論理的に分離された、公開アクセス可能なシステムコンポーネントのためのサブネットワークを実装する

システムと情報の整合性（SI）

このドメインは、情報システム内の問題の継続的なメンテナンスと管理に焦点を当てています。組織が悪意のあるコードを特定し、メールとシステムの監視に継続的な保護を施す努力をすることを強調しています。要件には以下が含まれます：

• 情報および情報システムの欠陥をタイムリーに特定、報告、および修正する
• 組織の情報システム内の適切な場所で悪意のあるコードから保護する
• 新しいリリースが利用可能になったときに、悪意のあるコード保護メカニズムを更新する
• 情報システムの定期的なスキャンと、ファイルがダウンロード、開かれ、または実行されるときの外部ソースからのファイルのリアルタイムスキャンを実行する

よくある質問

 

CMMC 2.0とは何ですか？

CMMC 2.0は、サイバーセキュリティ成熟度モデル認証の最新バージョンです。これは、制御されていない分類情報を保護するための一貫したアプローチを確立することを目的として、国防総省によって開発された包括的な手続きと基準のセットです。CMMCモデルは、組織がサイバーセキュリティリスクを評価し、対処し、全体的なセキュリティ姿勢を改善するのを支援するように設計されています。

CMMC 2.0 レベル1の目的は何ですか？

CMMC 2.0 レベル1の主な目的は、組織がFCIを不正使用から保護するための基本的なコントロールを持っていることを確認することです。レベル1は、連邦調達規則（FAR）条項52.204-21で指定された15の基本的な保護要件で構成されています。

CMMC 2.0 レベル1の非準拠の結果は何ですか？

CMMC 2.0 レベル1の非準拠の結果はさまざまです。最低基準を満たさないと、機密情報が漏洩または盗まれる可能性があるため、組織に潜在的な危害をもたらす可能性があります。さらに、コンプライアンスが確認されない場合、国防総省や他の規制機関から罰則を受ける可能性があります。

CMMC 2.0 レベル1の実践をどのように実施できますか？

組織でCMMC 2.0 レベル1の実践を実施することは、さまざまなレベルで行うことができ、組織の状況に合わせて調整することができます。出発点としてリスク評価を作成し、そこから組織は基準を満たすために必要な具体的なコントロールと実践を特定することができます。また、進捗を監視し報告するためのプログラムを確立する必要があります。

CMMC 2.0 レベル1に準拠することの利点は何ですか？

CMMC 2.0 レベル1に準拠することの利点は多数あります。まず、組織はFCIの整合性を保護し、不正使用から安全であることを確信できます。さらに、基本的なサイバーセキュリティの実践を持つことで、顧客や他の利害関係者に対してデューデリジェンスを示すことができ、コストのかかるデータ侵害を防ぐのに役立ちます。最後に、CMMC 2.0 レベル1に準拠することで、DoDとの契約に入札する資格を得ることができます。

KiteworksプライベートコンテンツネットワークはCMMC 2.0 レベル1のコンプライアンスを可能にします

Kiteworksプライベートコンテンツネットワーク（PCN）は、防衛産業基盤（DIB）の組織がCMMC 2.0 レベル1のコンプライアンスプロセスを簡素化し、支援します。Kiteworksは、すべての機密コンテンツ通信を1つのプラットフォームで統合、追跡、制御、保護します。また、第一者と第三者が機密コンテンツで協力することを可能にします。Kiteworksは、アクセス制御、セキュアなファイル転送、ファイル暗号化、セキュアなファイル共有、二要素認証および多要素認証による認証を提供することで、CMMC 2.0 レベル1のコンプライアンスを達成するプロセスを簡素化し、加速します。組織は、データとコンテンツの最高レベルのセキュリティを確保するために、詳細な権限とポリシーを設定できます。

CMMC 2.0 レベル1のコンプライアンスの一環として、Kiteworksは組織が機密コンテンツ通信のデジタル監査トレイルを作成するのを支援します。これにより、機密コンテンツ通信を監視し、CMMC 2.0 レベル1を含むデータプライバシーおよびセキュリティ規制の遵守を示すことができます。

Kiteworksプライベートコンテンツネットワークについて、またCMMC 2.0 レベル1のコンプライアンスをどのように加速できるかについて詳しく知りたい方は、カスタムデモをスケジュールしてください。

リスクとコンプライアンス用語集に戻る