8ステップでCMMC 2.0コンプライアンスを達成する方法：ステップバイステップガイド

米国国防総省（DoD）との取引を目指す組織にとって、サイバーセキュリティ成熟度モデル認証（CMMC）は、政府請負業者間で強固なサイバーセキュリティ慣行を確保するためにDoDが開発した重要なフレームワークとして浮上しています。DoDの契約を獲得または維持することを目指す場合、CMMCコンプライアンスの達成は不可欠です。

しかし、コンプライアンスへの道のりは複雑で困難な場合があります。この包括的なガイドでは、CMMCフレームワークを理解し、必要なアクションを特定し、CMMCコンプライアンスを成功裏に達成するためのステップバイステップのロードマップを提供します。このガイドに従うことで、組織のサイバーセキュリティ体制を強化し、競争が激化しリスク回避が求められる環境で自信を持ってDoD契約を追求するために必要な知識と知見を得ることができます。

CMMC認証プロセスは厳しいものですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。

CMMCコンプライアンス概要

サイバーセキュリティ成熟度モデル認証（CMMC）は、防衛産業基盤（DIB）内の制御されていない分類情報（CUI）の保護を強化するために設計された重要なフレームワークです。米国国防総省（DoD）によって制定されたCMMCコンプライアンスは、サイバーセキュリティへのより統一された標準化されたアプローチへの重要な転換を表しており、サイバー脅威に対する防御を強化するためのプロセス、慣行、戦略の包括的な組み合わせを包含しています。

CMMC 2.0フレームワークの中心には、サイバーセキュリティの準備状況を3つの進行的なレベルに分類することがあり、レベル1の基本的なサイバーハイジーン慣行からレベル3の高度で進行的な能力までをカバーしています。この階層化により、DIB内の請負業者や下請け業者は、運用レベルや取り扱う情報の機密性に応じた特定の要件や脅威に合わせて、サイバーセキュリティ体制を段階的に強化することができます。

CMMCコンプライアンスの達成は、単なる規制上の障害ではなく、DoD契約の競争環境における競争優位性を意味します。これは、必要なサイバーセキュリティ慣行とプロセスの実施を検証するために、認定されたCMMC第三者評価機関（C3PAO）による徹底的な評価を必要とします。この認証プロセスは、機密防衛情報を保護し、サイバー攻撃者によるリスクを効果的に軽減するというDoDのコミットメントを強調しています。

CMMCコンプライアンスはまた、防衛セクターのサイバー回復力を強化するための継続的な取り組みを反映しています。定期的な更新と反復を通じて、CMMCフレームワークは絶えず変化するサイバー脅威の状況に適応し、防衛請負業者が常に最新のサイバーセキュリティのベストプラクティスを採用することを保証します。その結果、DIB請負業者は、CMMCコンプライアンスを静的な基準としてではなく、最高のサイバーセキュリティ基準を達成し維持するための継続的な旅として捉えることが奨励されています。

CMMCコンプライアンスへの8つのステップ

以下の表は、CMMCコンプライアンスプロセスの概要を示し、8つのステップの簡単な説明を提供します。

それでは、これらのステップを詳しく見て、CMMC 2.0コンプライアンスを達成するために必要なことを理解しましょう。

ステップ1: CMMCレベルを理解する

CMMC 2.0は、成熟度レベルへの新しいアプローチを導入し、CMMC 1.0の5つのレベルから3つの階層に削減しました。これらの階層はNIST 800規格と密接に整合し、CMMC 1.0の成熟度プロセスと独自のセキュリティ慣行を排除しています。

CMMC 2.0の3つの階層は次のとおりです：

CMMC 2.0 レベル1: 基礎

このレベルでは、組織は年次自己評価を実施し、企業の役員によって証明される必要があります。焦点は、連邦契約情報（FCI）の基本的な保護要件を満たすことにあります。これらは連邦調達規則（FAR）条項52.204-21で指定されています。

CMMC 2.0 レベル2: 高度

NIST SP 800-171と整合しており、高度なレベルでは、重要な国家安全保障情報を送信、共有、受信、保存する請負業者に対して3年ごとの第三者評価が必要です。これらの評価はCMMC第三者評価機関（C3PAO）によって実施されます。ただし、レベル2に該当する一部の請負業者は、企業の証明を伴う年次自己評価のみを実施する必要があります。レベル2は、NIST SP 800-171 Rev 2に記載されたCUIのセキュリティ要件を含んでいます。これは防衛連邦調達規則補足（DFARS）条項252.204-7012に基づいています。

レベル3では、134の必要なコントロール（NIST SP 800-171から110、NIST SP 800-172から24）があり、これらのコントロールは、ポリシー、手順、ガイドライン、慣行、または組織構造を含むリスク管理の手段であり、管理、技術、管理、または法的性質のものであり、NIST SP 800-171、NIST SP 800-172、およびFAR 52.204-21によって指定されています。これらの慣行は、NIST SP 800-172のサブセットである14の異なるドメインに分類されます。CMMC 2.0は、請負業者がプロセスの単なる文書化を超えて、コントロールの管理と実施に積極的に関与し、可能な限り最高のセキュリティを提供することを求めています。

CMMC 2.0 レベル3: エキスパート

レベル3では、134の必要なコントロール（NIST SP 800-171から110、NIST SP 800-172から24）があり、これらのコントロールは、ポリシー、手順、ガイドライン、慣行、または組織構造を含むリスク管理の手段であり、管理、技術、管理、または法的性質のものであり、NIST SP 800-171、NIST SP 800-172、およびFAR 52.204-21によって指定されています。これらの慣行は、NIST SP 800-172のサブセットである14の異なるドメインに分類されます。CMMC 2.0は、請負業者がプロセスの単なる文書化を超えて、コントロールの管理と実施に積極的に関与し、可能な限り最高のセキュリティを提供することを求めています。

ステップ2: ギャップ分析を実施する

ギャップ分析を実施することは、組織の現在のサイバーセキュリティ体制を関連するCMMCレベルの要件と比較することを含みます。組織が不足している領域を特定し、それらのギャップを埋めるために必要な具体的なアクションを決定します。この分析は、コンプライアンスを達成するために必要な作業の範囲を理解するのに役立ちます。

ステップ3: システムセキュリティ計画（SSP）を作成する

システムセキュリティ計画（SSP）は、CMMCコンプライアンスを目指す組織にとって不可欠な文書です。SSPは、組織のシステム内で実施されているセキュリティコントロールと保護策の包括的な概要を提供します。CMMCのためのSSPの主要な構成要素には通常以下が含まれます：

1. 導入: SSPの目的、範囲、目標を含む導入を提供します。計画でカバーされるシステムまたはシステムを明確に述べます。
2. システム概要: SSPで取り扱うシステムの目的、機能、および特有の特性を含む説明を行います。このセクションは、セキュリティ要件を理解するための十分なコンテキストを提供する必要があります。
3. システム境界: システムの境界を明確に定義し、外部システム、ネットワーク、およびデータフローとの接続を含めます。セキュリティ体制に影響を与える依存関係や相互依存関係を特定します。
4. セキュリティコントロールの実施: システム内で実施されているセキュリティコントロールの詳細な説明を提供します。これらのコントロールを、望ましい認証レベルのCMMC要件に整合させます。各コントロールがどのように実施されているか、および使用されている支援手順、ツール、または技術を概説します。
5. コントロール目的の声明: 各セキュリティコントロールに対して、コントロールの意図された結果または目的を説明する簡潔な目的の声明を提供します。これらの声明は、CMMCフレームワークで指定されたコントロール目的に整合している必要があります。
6. コントロール実施状況: 各コントロールの実施状況を示し、完全に実施されているか、部分的に実施されているか、将来の実施が計画されているかを指定します。まだ完全に実施されていないコントロールに関する関連するメモや説明を含めます。
7. コントロールの責任: 各セキュリティコントロールの実施、運用、および維持に責任を持つ個人またはチームの役割と責任を特定します。コントロールの実施と継続的な監視に対する責任を割り当てます。
8. コントロールの監視: 実施されたコントロールの有効性を監視するためのプロセスとメカニズムを説明します。コントロールのパフォーマンスがどのように測定、評価、および定期的に報告されるかを説明します。
9. インシデント対応と報告: システムのためのインシデント対応手順を概説します。セキュリティインシデントの報告手順、責任者の連絡先情報、および外部機関への必要な通知や報告を含めます。
10. 継続的な監視: システムのセキュリティ体制の継続的な監視のための手順を説明します。セキュリティイベント、脆弱性、およびシステムの変更がどのように評価され、時間をかけて対処されるかを説明します。

SSPは、システムのセキュリティ体制の変化、新たな脅威、またはコンプライアンス要件の変更を反映するために定期的に更新されるべきです。また、SSPがシステム評価計画（SAP）や行動計画とマイルストーン（POA&M）などの他のコンプライアンス文書と整合していることを確認し、組織のセキュリティ対策の包括的なビューを提供することが重要です。

ステップ4: セキュリティコントロールを実施する

ギャップ分析の結果とCMMCフレームワークで概説された要件に基づいて、必要なセキュリティコントロールの実施を開始します。これらのコントロールは、アクセス制御、識別と認証、メディア保護、インシデント対応、システムと通信の保護など、さまざまな領域をカバーしています。技術システム、プロセス、およびポリシーが指定されたセキュリティコントロールと整合していることを確認します。

ステップ5: 行動計画とマイルストーン（POA&M）を確立する

POA&Mは、実施プロセス中に特定された残留リスクと欠陥に対処するための具体的なアクション、責任者、タイムライン、マイルストーンを概説した文書です。コンプライアンスを達成するためのロードマップを提供し、特定されたギャップを埋めるための進捗を追跡するのに役立ちます。CMMCのためのPOA&Mには以下の活動が含まれるべきです：

1. 弱点の特定と優先順位付け: ギャップ分析またはセキュリティ評価の結果をレビューし、サイバーセキュリティコントロールと慣行の弱点や脆弱性を特定します。それらを深刻度と組織のセキュリティ体制への潜在的な影響に基づいて優先順位付けします。
2. 修正アクションの定義: 特定された弱点や脆弱性ごとに、それらに対処し修正するために必要な具体的なアクションを決定します。必要な改善を実施するためのステップ、タスク、および活動を明確に定義します。
3. タイムラインの設定: 各修正アクションを完了するための現実的なタイムラインを設定します。リソースの可用性、アクションの複雑さ、必要な労力のレベルなどの要因を考慮します。タイムラインが達成可能であり、組織の優先事項と整合していることを確認します。
4. 責任の割り当て: 各修正アクションを実施するための明確な責任を個人またはチームに割り当てます。割り当てられた役割を明確に伝え、責任者がその職務と期待を理解していることを確認します。
5. マイルストーンの指定: 修正アクションを小さなマイルストーンまたはチェックポイントに分解し、進捗を追跡します。全体の修正プロセスを完了するための重要な段階や重要なステップを示す具体的なマイルストーンを設定します。
6. 緩和戦略の含め: リソースの制約、依存関係、またはその他の要因により直ちに対処できない弱点や脆弱性に対する緩和戦略を開発します。これらの戦略は、恒久的な解決に向けて作業する間にリスクを軽減するための一時的な措置を概説する必要があります。
7. サポート情報の文書化: POA&Mに各修正アクションの関連する詳細とサポート情報を含めます。これには、追加の文書、標準やベストプラクティスへの参照、または必要な技術情報が含まれる場合があります。
8. 監視と報告の確立: POA&Mの進捗を監視するためのプロセスを定義し、修正アクションの状況に関する定期的な更新と報告を含めます。完了を追跡し、効果を監視し、関連する利害関係者に変更や更新を伝えるためのメカニズムを確立します。
9. レビューと更新: サイバーセキュリティの状況の変化、新たな脅威、または進化するコンプライアンス要件を反映するために、POA&Mを定期的にレビューし更新します。実施された修正アクションの効果を評価し、必要に応じて調整を行います。
10. 他のコンプライアンス努力との整合: POA&MがSSP（ステップ3で概説）や継続的なリスク管理プロセスなどの他のコンプライアンス関連文書や活動と整合していることを確認します。これらの要素間の一貫性と統合は、サイバーセキュリティへの包括的なアプローチを維持するのに役立ちます。

POA&Mは、特定された弱点や脆弱性に対処するための効果を確保するために、定期的にレビューされ、改訂され、主要な利害関係者に伝えられるべきです。これは、組織のセキュリティ体制を改善し、CMMC要件に準拠するためのロードマップとして機能します。

ステップ6: 内部評価を実施する

組織がCMMC要件を遵守しているか定期的に評価するために、内部評価を実施します。これらの評価は、内部チームまたは外部コンサルタントによって実施され、ポリシーのレビュー、技術監査の実施、およびセキュリティコントロールが効果的に実施されていることの確認を含むべきです。内部評価は、改善が必要な領域を特定し、継続的なコンプライアンスを確保するのに役立ちます。

ステップ7: 第三者評価者と連携する

CMMCコンプライアンスを達成するためには、組織はCMMC第三者評価機関（C3PAO）と連携する必要があります。C3PAOは、組織のサイバーセキュリティ慣行の公式評価を行い、DoD契約に入札するために必要な認証を提供します。

C3PAOは、独立した公正な評価を提供することで、組織がCMMC 2.0コンプライアンスを達成するのを支援する重要な役割を果たします。CMMC認定機関（CMMC-AB）によって認定されたこれらの組織は、組織のサイバーセキュリティ慣行を正確に評価するために必要な専門知識と知識を持っています。彼らの外部の視点は、組織のコンプライアンス準備状況の徹底的かつ客観的な評価を可能にします。

C3PAOと協力するもう一つの重要な利点は、彼らが包括的な評価を実施できることです。C3PAOは、組織のセキュリティコントロール、ポリシー、および手順の詳細な評価を行います。厳格なテストと分析を通じて、CMMC要件へのコンプライアンスを妨げる可能性のあるギャップや脆弱性を特定します。これにより、組織は現在のセキュリティ体制を明確に理解し、欠陥に対処するために必要なステップを踏むことができます。

弱点が特定された後、C3PAOは改善のための推奨事項と戦略を提供します。彼らは、組織が行動計画とマイルストーン（POA&M）を開発するのを支援し、サイバーセキュリティ慣行を強化し、CMMC要件に整合させるためのロードマップを提供します。このガイダンスは、組織が修正努力を優先し、コンプライアンスを達成し維持するための堅固な基盤を確立するのに役立ちます。

ステップ8: コンプライアンスを維持する

CMMCコンプライアンスは継続的なプロセスです。一度認証を受けたら、組織は変化する脅威や進化するCMMC要件に適応するために、セキュリティ対策を継続的に監視し更新することが不可欠です。定期的な内部評価を実施し、ポリシーと手順をレビューし更新し、従業員に継続的なトレーニングを提供し、DoDからの最新のガイドラインと更新情報を把握し続けます。

KiteworksでCMMC 2.0コンプライアンスを大きく飛躍させる

Kiteworksプライベートコンテンツネットワークは、現在利用可能な他の技術ソリューションを超えて、CMMC 2.0レベル2の実践コントロールの約90%をサポートしています。Kiteworksはまた、FedRAMPの中程度の影響レベルに対して認可されています。さらに、KiteworksはISO 27001、27017、27018、SOC 2、Cyber Essentials Plus、FIPS 140-2、情報セキュリティ登録評価者プログラム（IRAP）の保護レベルコントロール、およびその他の措置を含むさまざまなコンプライアンス要件をサポートしています。

これらの成果は、特定されたリスクに対処し、評価と認定のためにC3PAOと協力することで、強固な保護を保証します。

強化された仮想アプライアンス、安全な展開オプション、認証メカニズム、自動エンドツーエンド暗号化、セキュリティインフラストラクチャとの統合、堅牢なログ記録および監査報告機能は、CUI、顧客記録、財務情報、知的財産などの機密コンテンツをさらに保護します。

Kiteworksは、メール、ファイル共有、マネージドファイル転送（MFT）、ウェブフォーム、またはアプリケーションプログラミングインターフェース（API）を通じて共有される場合でも、このコンテンツを安全かつコンプライアンスに準拠して送信することを組織に可能にします。すべてのファイル共有活動は追跡され、ログに記録されるため、組織は誰が機密コンテンツにアクセスしているかを規制当局に証明することができます。

KiteworksがどのようにしてCMMC 2.0コンプライアンスを加速できるかを理解するために、カスタムデモを今すぐスケジュールしてください。