国防総省とCMMCの要件

国防総省（DoD）は、外部および内部の脅威からアメリカ合衆国を守り、合法的かつ効果的な軍事作戦を維持し、国家を守るために必要なあらゆる軍事任務を遂行する能力を開発・維持する責任を負っています。これらの責任には、国家安全保障政策と監督の提供、国家安全保障の脅威への対応、新技術の研究開発の管理も含まれます。

DoDはこれらの機能を単独で実行することはできず、30万以上の請負業者および下請け業者に依存しています。この広大なサプライチェーンネットワークは、防衛産業基盤（DIB）と呼ばれています。DoDの業務の性質上、DIBの請負業者がDoDと共有する機密情報を保護するために適切なサイバーセキュリティツールを備えていることが不可欠です。これに応じて、DoDはこの情報の機密性を保護するためにサイバーセキュリティ成熟度モデル認証（CMMC）を開発しました。CMMCは、データセキュリティに関する政府の基準を遵守するために、防衛請負業者のネットワークとシステムのセキュリティを評価することで、DIBのサプライチェーンを保護することを目的としています。

国防総省とCMMCの理解

DoDのDIBは、DoDが目標を達成するために必要な民間企業で構成される重要なエコシステムです。これには、重要な材料、部品、サービスの供給が含まれます。以下は、DIBが提供する製品とサービスの一部の概要です。

1. 軍用航空機: 輸送機、戦闘機、偵察機を含む軍用航空機の製造、改造、保守。
2. 誘導およびナビゲーションシステム: 非GPSベースの慣性航法システムを含む戦闘プラットフォーム用の誘導およびナビゲーションシステムの設計と製造。
3. 兵器システム: ミサイルやロケット、砲兵、魚雷、爆弾、電子対抗手段などの兵器システムの製造、保守、サポートサービス。
4. 通信システム: 運用および情報ネットワーク用の通信システムの設計と製造。
5. 物流およびサポートサービス: 倉庫管理、輸送、サプライチェーン管理、人的支援などの物流およびサポートサービスの提供。
6. 無人プラットフォーム: ドローン、ロボット、自律型水中車両などの無人プラットフォームの設計、製造、保守。
7. サイバーセキュリティソリューション: ファイアウォール、マルウェア保護、ネットワークセキュリティ監視を含むサイバーセキュリティソリューションの設計と実装。
8. 造船および修理: 軍用および民間船舶の設計、建造、保守。
9. 訓練およびシミュレーション: 軍事要員のための訓練およびシミュレーションサービスの提供、ならびに物流およびミッション支援。
10. 研究開発: 人工知能、生体認証、ロボティクスを含む新たな戦闘技術の研究開発。

CMMC 2.0は、DoDのサプライヤーが悪意のある脅威や偶発的な脅威からネットワークとデータを保護するための一連の措置を定めています。この認証スキームは、DIBで活動する組織のセキュリティ慣行と能力を評価する3レベルのフレームワークです。CMMC認証を取得しようとする企業は、業務の複雑さと保有する情報の機密性に応じて、3つのレベルのいずれかの基準を満たす必要があります。

CMMCレベル1は、機密情報への物理的アクセスを適切に保護し、適切なパスワード管理プロセスを使用するなど、組織に基本的なセキュリティ要件を課します。CMMCレベル2には、ユーザーロールの特定と特権の適切な割り当て、アクセスの制限などの追加のコントロールが含まれます。CMMCレベル3は、最も厳格なサイバーセキュリティ要件を組み込み、制御されていない分類情報（CUI）を扱う組織に適用されます。

制御されていない分類情報（CUI）とは

CUIとは、DoDによって機密性があると見なされるが、分類されていない情報を指します。CUIには、連邦および非連邦の法律や規制によって規制または制限されている情報が含まれます。CUIの例としては、専有情報、機密ビジネス情報、政府所有または政府管理の情報などがあります。

 

CMMCとNIST SP 800-171の比較

CMMC 2.0レベル2は、NIST 800-171の実践要件と一致しており、CUIを扱う政府請負業者が遵守しなければならない110の実践コントロールのリストです。NIST特別出版物（SP）800-171と比較して、CMMC 2.0レベル2はより徹底的で、NIST SP 800-171では利用できないより詳細で信頼性のある評価を必要とします。CMMC 2.0レベル2は、暗号化、脆弱性管理、インシデント対応などの高度なサイバーセキュリティ実践を組織に実施させることを要求します。一方、NIST 800-171は基本的なサイバーセキュリティ実践の実施のみを要求します。CMMC 2.0はまた、組織がフレームワークに準拠していることを証明するための証拠を提供することを要求します。組織は、さまざまな要件とコントロールの実施を文書化し、DoDにコンプライアンス文書を提出する必要があります。NIST 800-171は同じレベルの文書化を要求しません。組織は、データセキュリティの実践が要件を満たしていることを確認するだけで済みます。

CMMC 2.0レベル2は、DoDサプライチェーンのセキュリティを向上させるための効果的なツールであり、請負業者がセキュリティ実践を常に更新し、最高のセキュリティ基準を満たすことを保証します。これにより、CUIが安全に保たれ、リスクにさらされることがないようにします。さらに、DoDは請負業者が取っているセキュリティ対策をよりよく理解できるようになり、CUIを保護できる組織と協力していることに自信を持つことができます。

3つのCMMC 2.0レベルの理解

CMMC 2.0のレベルは、基本からエキスパートまであり、各レベルは前のレベルで対処されたものよりも厳格なセキュリティ対策を要求します。その結果、請負業者はセキュリティとリスク管理に対してより積極的なアプローチを取ることを余儀なくされます。これらは、組織のサイバーセキュリティリスク管理戦略の一部として組み込まれる必要があります。

CMMC 2.0レベル1は、組織に基本的なセキュリティ対策を確立することを要求します。これには、物理的セキュリティ、アクセス制御、システムインベントリ、データ保護、インシデント対応が含まれます。組織はまた、暗号化やユーザー認証など、NIST SP 800-171の要件を遵守する必要があります。

CMMC 2.0レベル2は、より包括的なセキュリティ対策を組織に要求します。これには、レベル1の要件だけでなく、機密システムやデータへのアクセスの制限、ユーザーロールの特定と特権の適切な割り当て、システム資産のインベントリの維持など、より詳細なポリシーと手順が含まれます。組織はまた、NIST SP 800-171の要件を遵守する必要があります。

CMMC 2.0レベル3は、最高レベルの認証であり、NIST SP 800-172と一致しています。組織は、リスクベースのセキュリティ対策を実施し、より高度なデータセキュリティコントロールを確立する必要があります。これには、高度な脅威検出と対応能力が含まれます。また、すべてのスタッフ、下請け業者、ベンダーがCMMC要件を遵守することを保証する必要があります。組織はまた、暗号化やユーザー認証など、NIST SP 800-171の要件を遵守する必要があります。

CMMC要件の理解

CMMC要件を理解することは、現在DoDと協力している、または将来的に協力したいと考えている組織にとって不可欠です。CMMC要件を理解することで、請負業者のシステムが機密操作を実行するために必要なセキュリティ対策を満たしていることを保証できます。

さまざまなCMMC要件を遵守するために、DoD請負業者は既存のサイバーセキュリティ実践とプロセスをマッピングする必要があります。多くの組織は、請負業者のコンプライアンスレベルを評価し、改善のためのガイダンスを提供し、承認されたCMMCアクションプランの開発と実行を支援するC3PAO（CMMC第三者評価機関）を利用しています。データ共有に大きく依存するDoD請負業者にとって、プライベートコンテンツネットワークを活用することで、CMMCコンプライアンスの達成プロセスを簡素化し、加速することができます。

DoD請負業者は、必要なCMMC要件を満たさない場合に直面する可能性のある罰則についても認識しておく必要があります。これには、罰金、契約の停止、または極端な場合には契約の喪失や新しいDoD契約への入札権の喪失が含まれます。DoD請負業者は、CMMC要件を満たさないことの影響を理解し、適切に準備し、CMMC要件を満たすための長期的な対策を実施することが重要です。

CMMC認証の利点

CMMC認証は、DoDが協力する請負業者が厳格なサイバーセキュリティ要件を満たしていることを確認することで、望ましいパートナーであることを保証します。CMMCフレームワークは、DoD請負業者に堅牢なセキュリティ対策を実施することを要求するため、CMMC認証を取得した請負業者は、より広範な（民間部門）市場で競争優位性を得ることができます。CMMC認証は、送信、共有、受信、保存するプライベートデータの種類に基づいて、DoDサプライチェーン全体でセキュリティの基準を確立します。CMMC認証を取得した請負業者（特にレベル2およびレベル3）は、サイバー攻撃、データ侵害、コンプライアンス違反、その他の潜在的なサイバーセキュリティ脅威を防ぐのに役立つ強力なサイバーセキュリティ体制を持っています。

CMMC認証はまた、請負業者が評判の良いブランド名を構築し、顧客の信頼を高めるのに役立ちます。認証はまた、より望ましいまたは収益性の高い契約へのアクセスやその他の重要な利点を含む、法的および契約上の利点を請負業者に提供することができます。最終的に、CMMC認証を取得したDoD請負業者は、多くのビジネス上の利益を享受します。

CMMC認証の取得

3つのCMMCレベルのいずれかで認証を取得したい組織は、まずそのレベルのすべての要件を満たしていることを確認する必要があります。これには、CMMC 2.0の実践コントロールで指定されたセキュリティ対策の実施が含まれます。（注：CMMC 2.0レベル2の実践要件に準拠していることを示す企業は、NIST 800-171に自動的に準拠しているわけではありません。）

企業が自己証明を通じてCMMCレベル2およびレベル3の要件を満たした後、企業はCMMC認定の第三者認証機関（C3PAO）から認証を取得する必要があります。認証プロセスには、企業のセキュリティ対策を評価し、希望するレベルの認証要件を満たしているかどうかを判断することが含まれます。企業が要件を満たしている場合、適切なCMMC認証が授与されます。

CMMC認証を取得しようとする企業は、認証プロセス中に共通の課題に直面します。これらの課題には、CMMC要件の理解の難しさや、必要なセキュリティ対策の実施の難しさが含まれます。企業は、CMMC認定のコンサルタントに相談するか、CMMC関連サービスを提供することを専門とするCMMC認定の第三者組織と協力することで、これらの課題を克服することができます。

KiteworksがCMMCコンプライアンスの達成を支援

Kiteworksは、CMMC 2.0レベル2の要件の約90%を標準でサポートしています。Kiteworksプライベートコンテンツネットワークは、メール、ファイル共有、マネージドファイル転送（MFT）、ウェブフォーム、およびアプリケーションプログラミングインターフェース（API）を1つのプラットフォームに統合し、CMMC 2.0レベル2の実践に一致する自動化されたポリシーコントロールとトラッキングを提供します。

Kiteworksプライベートコンテンツネットワークは、DoDサプライヤーのCMMC認証を加速します。プラットフォームに関連する主要な機能には以下が含まれます：

• 転送中のファイルレベルのTLS 1.2暗号化と保存中のAES 256ビット暗号化などのエンタープライズグレードのセキュリティ
• セキュリティに最適化された自己完結型の事前構成済み強化された仮想アプライアンス
• 中程度の影響レベルに対してFedRAMP認可済み
• FIPS 140-2検証済み
• SOC 2レベル1の証明書を取得し、SOC 2認証を可能にする
• ISO 27001、27017、および27018認証済み
• NIST SP 800-171、NIST SP 800-172、FISMAなどに準拠

Kiteworksはまた、現在および将来のDoD請負業者および下請け業者に、送信、受信、共有、または保存されるCUIの完全なコントロールと可視性を提供します。たとえば、Kiteworksは、組織が詳細なポリシーコントロールを適用し、すべての通信チャネルでセキュリティポリシーを標準化し、外部ユーザーのための役割ベースの権限を定義することを可能にします。

さらに、Kiteworksは、すべてのインバウンドおよびアウトバウンドのファイル移動のリアルタイムおよび履歴ビューを提供し、この活動を記録します。具体的には、誰が何を誰に、いつ、どこで送信しているかを記録し、包括的な監査トレイルを作成します。組織に出入りするコンテンツの完全なコントロールと可視性により、DoD請負業者は、EU一般データ保護規則（GDPR）、医療保険の相互運用性と説明責任に関する法律（HIPAA）、カリフォルニア州消費者プライバシー法（CCPA）、情報セキュリティ登録評価者プログラム（IRAP）、個人情報保護及び電子文書法（PIPEDA）など、世界中のデータプライバシー規制に準拠していることを示すことができます。

Kiteworksプラットフォームの実際の動作を確認し、CMMCコンプライアンスの旅を加速する方法を学ぶために、カスタムデモを今日スケジュールしてください。

リスクとコンプライアンス用語集に戻る