Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > CMMCコンプライアンス > CMMC 2.0 – 英国拠点の国防総省請負業者が知っておくべきこと
Blog Banner - CMMC 2.0 – What UK-Based DOD Contractors Need to Know

CMMC 2.0 – 英国拠点の国防総省請負業者が知っておくべきこと

by Tim Freestone updated 1月 17, 2025 CMMCコンプライアンス
Reading Time: < 1 minutes

英国を拠点とする請負業者または下請け業者として、あなたは国防総省(DOD)のサプライチェーンにおける重要なリンクを担っています。サイバーセキュリティ成熟度モデル認証(CMMC)プログラムは、このサプライチェーンを強化し、DODの戦闘員を支える情報を保護するために設計されています。

防衛産業基盤(DIB)は「より頻繁で複雑なサイバー攻撃の標的」です。米国の機密情報を保護するため、DODは進化する脅威に対応するために設計されたサイバーセキュリティ基準でCMMCプログラムを刷新しました。

このブログでは、CMMC 2.0 レベル2の進化を追跡し、CMMC 2.0コンプライアンスを達成するために請負業者が知っておくべきことを要約します。

CMMCプログラムの背景

CMMCプログラムの初期のビジョンと基本的な特徴は、2020年9月に連邦官報のDFARSへの暫定規則を通じて導入されました。これは、請負業者のための階層モデル、評価、実施を含むフレームワークを概説しました。次の年にわたり、DODはDOD内のサイバーセキュリティおよび調達リーダーからのフィードバック、ならびに一般からのコメントを収集し、ポリシーを洗練するのに役立てました。

これにより、2021年にリリースされ、2025年に施行される予定のプログラムの第2版であるCMMC 2.0が誕生しました。

CMMC 1.0とCMMC 2.0の違い

CMMC 1.0と2.0の両方は、防衛産業基盤内の制御されていない分類情報(CUI)および連邦契約情報(FCI)を保護するために設計されました。

CMMCは、DODが請負業者を評価し認証するためのサイバーセキュリティ要件を概説するフレームワークです。これらの要件を満たさない組織は、2025年以降DODと協力することができません。

フィードバックに基づいて、CMMC 1.0は以下の目標を達成するためにCMMC 2.0に置き換えられました:

  • CMMC要件を満たすためのコストを削減する
  • CMMC評価エコシステムへの信頼を高める
  • CMMC要件を他の連邦要件および共通基準と整合させる

これらの更新により、CMMCモデルが簡素化され、追加の明確性が提供され、規制の負担が軽減され、請負業者がその要件を遵守しやすくなりました。

主な違いのいくつかは以下に関連しています:

成熟度レベル

CMMC 1.0では5つの成熟度レベルが概説されていましたが、CMMC 2.0では3つに減少し、レベル2と4が削除されました。

  • レベル1: 基礎的なものは変更されていません。企業の役員による証明を伴う年次自己評価が必要です。また、FAR条項52.204-21からのFCI保護要件を含んでいます。
  • レベル2: 高度なものは、以前のレベル3を再編成し、NIST SP 800-171で指定されたファミリーに整合する14のドメインに整合させました。重要な国家安全保障情報を送信、共有、受信、保存する請負業者には、3年ごとの第三者評価が必要です。
  • レベル3: エキスパートは、以前のレベル4と5を統合します。NIST SP 800-172に整合することを目指し、3年ごとの政府主導の評価が必要ですが、まだ開発中です。

ドメイン構造

CMMC 2.0のドメイン構造は、CMMC 1.0モデルで概説されたものよりもはるかに包括的です。これらの追加ドメインは、請負業者の日常業務により具体的であり、資産のセキュリティに対するより大きな保証を生み出すことを目的としています。

第三者評価者

CMMC 2.0は、DIBサプライチェーンの請負業者が必要な基準を満たしていることを証明するために第三者評価者を導入しました。C3PAOは、レベル2での評価と証明書の発行を担当します。

CMMCモデル

図1: 出典: 米国国防総省

CMMC 2.0コンプライアンスを達成する方法

現在DODと協力している、または協力を計画している請負業者および下請け業者は、2025年までにCMMC 2.0のコンプライアンスを示さなければなりません。

全体として、CMMC 2.0コンプライアンスのレベル1および2の要件は、14の異なるドメインに分類され、これらのドメイン全体で合計110以上のコントロール(すなわち要件)で構成されています。

CMMC 2.0コンプライアンスドメイン:

  1. アクセス制御
  2. 監査と説明責任
  3. 意識とトレーニング
  4. 構成管理
  5. 識別と認証
  6. インシデント対応
  7. メンテナンス
  8. メディア保護
  9. 物理的保護
  10. 人事セキュリティ
  11. リスク評価
  12. セキュリティ評価
  13. システムと通信の保護
  14. システムと情報の整合性

CMMCコンプライアンスのチェックリストを入手する

まず、組織は自分たちがどの階層に属するかを判断し、適切に行動する必要があります。

異なる成熟度レベルは、コンプライアンスのために異なる行動を必要とします。たとえば、あなたの入札または契約がCUI、制御技術情報(CTI)、またはITAR/輸出管理データを扱うことを伴う場合、レベル2の基準に該当します。

レベル2コンプライアンスのガイドを読む

次に、組織は以下のステップを準備として実行するべきです:

    ✓ リスク自己評価を実施する
    ✓ 既存のNISTフレームワークをレビューし活用する
    ✓ POA&MとSSPを作成する
    ✓ C3PAOを選択する
    ✓ タイムラインと予算を設定する
    ✓ カスタマイズされたセキュリティコントロールを実施する
    インシデント対応計画を確立する
    ✓ セキュリティコントロールのパフォーマンスを監視し、問題を特定する
    ✓ コンプライアンス行動を文書化する

KiteworksがCMMC 2.0コンプライアンスをサポートする方法

Kiteworksは、レベル2要件の約90%をすぐにサポートするセキュアコンテンツ通信プラットフォームです。このプラットフォームは、FedRAMP中程度認定のプライベートコンテンツネットワーク(PCN)であり、防衛請負業者が機密データの内部および外部での共有を制御、追跡、保護するのを支援します。

次世代デジタル著作権管理(DRM)からマネージドファイル転送まで、複数の高度なセキュリティ機能を備えたKiteworksは、CMMC 2.0に準拠しながら、サプライチェーンや下請け業者内で発生する可能性のある通信リスクを管理するのに役立ちます。

CMMC 2.0の準備ができているか確認したいですか?組織全体およびサプライチェーン全体でCMMCコンプライアンスリスクを軽減する方法についてさらに読む。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks