Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > CMMCコンプライアンス > CMMCレベル2評価ガイド:DIBにおけるIT、リスク、コンプライアンス専門家のための包括的概要
CMMCレベル2評価ガイド

CMMCレベル2評価ガイド:DIBにおけるIT、リスク、コンプライアンス専門家のための包括的概要

by Danielle Barbour updated 1月 23, 2025 CMMCコンプライアンス
Reading Time: < 1 minutes

サイバーセキュリティ成熟度モデル認証(CMMC)は、防衛産業基盤(DIB)全体でサイバーセキュリティを確保するための重要な規格です。防衛請負業者とその下請け業者が制御されていない分類情報(CUI)および連邦契約情報(FCI)を確保し管理することを目指す場合、CMMCレベル2の要件を理解することが不可欠です。このガイドは、これらの要件の権威ある概要を提供し、IT、リスク、コンプライアンスの専門家が最新のCMMCプロトコルに沿った実践を行うのを支援します。

CMMCレベル2は、CMMCレベル1の基本的な保護要件と、CMMCレベル3のより高度なコントロールを橋渡しします。組織は、CUIを保護するために設計された包括的な実践とプロセスの配列を含む、堅牢なサイバーセキュリティ姿勢を示さなければなりません。この評価ガイドは、これらの実践の具体的な内容を検討し、専門家がCMMCレベル2コンプライアンスを達成するために必要なことを理解するのを助けます。

CMMC認証プロセスは困難ですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。

CMMCレベル2の要件

CMMCレベル2は、CMMCレベル1に基づく一連の実践を導入し、組織がより高いレベルのサイバーセキュリティ衛生を確保することを目的としています。これらの実践は、CUIの保護を概説する米国国立標準技術研究所(NIST)特別出版物800-171に準拠しています。これらの基準に従うことで、重要な情報がサイバー脅威から安全に保たれます。

CMMCレベル2の要件は、アクセス制御、インシデント対応、リスク管理など、さまざまなドメインにわたる110のセキュリティコントロールを含んでいます。これらのコントロールは、組織が潜在的なセキュリティインシデントを検出、抑止、対応する能力を向上させることを目的としています。これらの対策を実施することで、企業は国防総省の命令に従うだけでなく、運用の整合性を保護することができます。

これらは、防衛請負業者がCMMCレベル2の準備を判断するために対処しなければならない、CMMCレベル2の主要な要件またはドメインの一部です。

重要なポイント

  1. CMMCレベル2の理解

    CMMCレベル2は、CUIとFCIを管理する防衛請負業者にとって重要です。NIST SP 800-171に準拠した包括的な実践セットを通じて、強力なサイバーセキュリティ姿勢を示す必要があります。

  2. 主要なセキュリティドメイン

    CMMCレベル2は、アクセス制御などのCMMCレベル2の準備におけるいくつかの重要なドメインを強調しています。これらの領域で堅牢な実践を実施することで、組織はセキュリティインシデントを効果的に検出、抑止、対応することができます。

  3. 準備と計画

    CMMCレベル2のコンプライアンスには、機密情報のインベントリを取り、ギャップ分析を行い、必要なセキュリティコントロールを実施し、包括的なポリシーと手順を開発するなど、綿密な準備が必要です。

  4. 従業員の関与とトレーニング

    定期的な従業員トレーニングと意識向上プログラムへの投資は重要です。サイバーセキュリティのベストプラクティスとCUIの保護における役割について従業員を教育することで、セキュリティ文化を構築し、侵害のリスクを低減します。

  5. 継続的な改善と協力

    C3PAOとの早期の関与とサイバーセキュリティ対策の継続的な更新は重要なステップです。これにより、コンプライアンス基準との整合性が確保され、進化するサイバー脅威に対する耐性が強化されます。

アクセス制御

アクセス制御は、許可された個人のみが機密情報にアクセスできるようにすることに焦点を当てています。このドメインでは、ユーザーの資格情報を管理し、アクセス権限を管理し、アクセスログを監視するプロセスとプロトコルを確立する必要があります。これらの行動は、不正アクセスを防ぎ、データ侵害のリスクを低減します。

アクセス制御の義務を遵守するために、組織は堅牢な身元確認システムを実装し、アクセス制御を定期的に監査する必要があります。これらの対策は、すべてのデジタルおよび物理的なアクセスポイントをカバーし、包括的なセキュリティを保証する必要があります。アクセスを厳格に管理することで、企業は重要なデータ資産の機密性と整合性を維持できます。

インシデント対応

インシデント対応は、組織が潜在的なセキュリティインシデントに備え、対処する必要性を強調しています。包括的なインシデント対応計画を策定することで、企業はサイバー脅威の影響を効率的に管理し、軽減することができます。このドメインでは、役割と責任を定義し、コミュニケーションプロトコルを確立し、定期的なトレーニング演習を実施する必要があります。

効果的なインシデント対応戦略により、組織はセキュリティインシデントを迅速に特定し、その影響を評価し、是正措置を講じることができます。対応計画を定期的に更新し、テストすることで、企業は進化するサイバー脅威に対する準備を確保します。この積極的なアプローチは、ダウンタイムを最小限に抑え、貴重な情報を保護し、利害関係者との信頼を維持します。

リスク管理

リスク管理は、組織がサイバーセキュリティリスクを特定、評価、軽減することを要求します。これには、潜在的な脅威と脆弱性を認識し、その影響を評価し、リスクレベルに基づいて戦略を優先するための体系的なアプローチを作成することが含まれます。組織は、リスク管理プロセスを文書化し、進化する脅威とビジネスニーズに合わせて定期的に見直し、調整する必要があります。

徹底したリスク管理計画を実施するには、定期的なリスク評価を行い、潜在的な脅威が迅速に特定され、対処されることを保証する必要があります。企業はまた、動的なリスクレジスターを維持し、特定されたリスクとそれを軽減するために講じたステップを文書化する必要があります。積極的なリスク管理プロセスに従うことで、企業はCMMCレベル2の要件を満たすだけでなく、潜在的なサイバー脅威に対する耐性を強化します。

セキュリティ評価

セキュリティ評価は、実施されたセキュリティ対策の有効性を評価し、継続的なコンプライアンスを確保することを含みます。このドメインでは、組織が定期的な内部監査と評価を実施し、セキュリティ実践が包括的で効果的であることを確認する必要があります。目標は、現在の設定の弱点を特定し、それらが悪用可能な脆弱性になる前に是正措置を講じることです。

組織は、確立された基準とプロトコルに準拠していることを確認するために、構造化されたセキュリティ評価を実施する必要があります。これらの評価は徹底的であり、CUIを扱うすべてのシステム、アプリケーション、プロセスをテストする必要があります。改善の余地を特定することで、企業は防御を強化し、サイバーセキュリティ実践が堅牢でCMMCレベル2の基準に準拠していることを保証します。

プロセス成熟度

CMMCレベル2のドメインではありませんが、プロセス成熟度を達成することは、CMMCレベル2に準拠しようとする組織にとって重要です。これは、サイバーセキュリティ対策の一貫した実施と継続的な改善を確保するための実践を確立し、制度化することを含みます。組織は、サイバーセキュリティ実践が存在するだけでなく、時間をかけて繰り返し可能で信頼できることを示さなければなりません。

プロセス成熟度は、企業がサイバーセキュリティ活動を指導するための定義されたポリシー、手順、基準を開発することを要求します。これらの文書の定期的なレビューと更新は、変化する脅威の状況と技術の進歩に適応するために必要です。成熟したプロセスフレームワークを構築することで、企業はCMMCレベル2の要件を満たし、CUIを効果的に保護する能力を強化します。

CMMC 2.0評価ガイド

CMMCコンプライアンスの重要な側面は、レベル2評価の要件を理解することです。CMMCコンプライアンスを達成し、最終的にCMMCレベル2認証を取得するためには、NIST SP 800-171に記載された110のセキュリティコントロールに準拠し、データの整合性と機密性を保護することに焦点を当てる必要があります。評価は、認定第三者評価機関(C3PAO)によって実施され、組織内でのこれらの実践の実施と有効性を評価します。

CMMCレベル2評価の準備には、綿密な計画と実行が必要です。したがって、IT、リスク、コンプライアンスの専門家は、CMMC要件に対する現在のサイバーセキュリティ姿勢を評価する包括的な準備評価を実施する必要があります。これには、ギャップを特定し、必要なコントロールを実施し、セキュリティ実践の継続的な監視と改善を確保することが含まれます。成功した準備評価は、公式のC3PAO評価中の潜在的な問題を最小限に抑え、認証を取得する可能性を高めます。

以下の推奨事項は、IT、リスク、コンプライアンスの専門家にC3PAO評価の準備状況を知らせ、最終的にCMMCコンプライアンスを確保するためのものです。

情報のインベントリと分類を行う

組織内の機密情報を効果的に保護するためには、すべての制御されていない分類情報、またはCUIを体系的に特定し、分類することが重要です。このプロセスは、連邦規制、契約上の義務、または組織の内部ポリシーに従って保護が必要なデータを特定するための包括的な評価から始まります。

一度特定されたら、この情報を感度、重要性、または規制要件に基づいて異なるグループまたは分類に分類することが不可欠です。この分類には、財務情報、個人データ、知的財産、または健康関連情報などのカテゴリが含まれる場合があります。組織内のCUIの種類と場所を理解することで、カスタマイズされたセキュリティ対策の開発と実施が可能になります。これらの対策には、アクセス制御、暗号化基準、データ損失防止技術、従業員トレーニングプログラムが含まれる場合があります。

保護が必要な情報の種類と、それが組織のネットワークやシステム内のどこに存在するかを具体的に知ることで、セキュリティチームは最も効果的なコントロールを適用してリスクを軽減し、データプライバシーを強化し、関連する法律に準拠することができます。この戦略的アプローチは、組織のセキュリティ姿勢を強化するだけでなく、機密データの保護に対するコミットメントを示すことで、パートナー、顧客、利害関係者との信頼を築きます。

ギャップ分析を実施する

包括的なギャップ分析を実施することは、既存のサイバーセキュリティ対策を評価し、それをNIST SP 800-171に記載された基準と比較することを含みます。このフレームワークは、非連邦システムにおける制御されていない分類情報の保護に関するガイドラインを提供します。プロセスは、現在のセキュリティポリシー、手順、およびコントロールを徹底的にレビューし、NIST SP 800-171の具体的な要件とどのように一致しているかを特定することから始まります。これには、アクセス制御、インシデント対応、構成管理、リスク評価などの側面を調査することが含まれます。

現在の実践がどこで不足しているかを詳細にマッピングすることで、この分析は強化が必要な正確な領域を特定します。セキュリティコントロールの不一致、実施のギャップ、およびコンプライアンスが不十分な領域を特定することに焦点を当てています。この慎重な調査は、弱点を明らかにするだけでなく、これらの脆弱性に対処するために必要な行動を優先するのに役立ちます。

目標は、サイバーセキュリティ対策を強化し、NIST SP 800-171に準拠するための詳細なロードマップを作成することです。

CMMCに準拠する必要がありますか?こちらが完全なCMMCコンプライアンスチェックリストです。

必要なセキュリティコントロールを実施する

CMMCレベル2の要件に準拠するためには、機密情報の保護を強化するためのさまざまなセキュリティコントロールを実施することが重要です。これには、潜在的な脅威を特定し、セキュリティ侵害に迅速に対応し、最小限の混乱でインシデントから回復するのに役立つ堅牢なインシデント対応計画の確立が含まれます。

さらに、アクセス制御対策を講じて、許可された人員のみが機密システムとデータにアクセスできるようにする必要があります。これには、多要素認証、役割ベースのアクセス権限、およびユーザーアクセス権の定期的な監査を通じて達成できます。

システムの継続的な監視も、リアルタイムでの異常な活動や潜在的なセキュリティ脅威を検出するために不可欠です。これには、侵入検知システムの展開、疑わしい活動に対する自動アラートの設定、および徹底的な分析と報告のための詳細なログの維持が含まれます。

これらのコントロールを統合することで、組織はシステムを効果的に保護し、CMMCレベル2の厳格な要件に準拠し、重要な情報を保護し、利害関係者との信頼を維持することができます。

ポリシーと手順を開発する

組織のサイバーセキュリティ姿勢を強化するためには、CMMC要件に密接に一致する包括的なサイバーセキュリティポリシーと手順を開発することが重要です。これには、組織の運用とコンプライアンス義務に関連するセキュリティコントロール、リスク管理、およびデータ保護戦略を扱う構造化されたフレームワークを作成することが含まれます。

これらのポリシーは、アクセス制御、インシデント対応、データ暗号化、従業員のセキュリティトレーニングなど、さまざまな領域をカバーする必要があります。これらのポリシーは、スタッフが従うべき明確なガイドラインとプロトコルを提供するために、綿密に文書化されることが不可欠です。これにより、実施の一貫性が確保され、トレーニング目的の参考資料として機能します。

これらの実践を組織文化に埋め込むためには、効果的なコミュニケーションが重要です。定期的な更新、トレーニングセッション、および意識向上プログラムを実施して、すべてのレベルの従業員にサイバーセキュリティの維持における役割と責任について教育する必要があります。これにより、組織は機密情報の保護に対する積極的なアプローチを促進し、サイバー脅威のリスクを低減し、CMMC基準に一致し、全体的なセキュリティ姿勢を強化します。

従業員トレーニングと意識向上に投資する

従業員に対する定期的なトレーニングセッションと意識向上プログラムを実施することは、重要な取り組みです。スタッフメンバーにサイバーセキュリティのベストプラクティスを教育し、CUIの保護における彼らの重要な役割を強調することに焦点を当てます。これらのトレーニングプログラムは、フィッシングの試みを認識すること、強力なパスワードを作成すること、ソフトウェアの更新とパッチの重要性を理解することなど、さまざまな重要なトピックをカバーするように構成できます。

従業員は、セキュリティ侵害の潜在的な結果についても認識しておく必要があります。それは、組織だけでなく、データが侵害される可能性のある個人にとってもです。

これらの概念を定期的に強化することで、組織はすべてのスタッフメンバーが最新の脅威とサイバーセキュリティのトレンドについて警戒し、情報を持ち続けることを保証します。さらに、これらのセッションは、従業員が質問をしたり、シナリオを議論したりするためのプラットフォームを提供し、組織全体でセキュリティ意識の文化を構築するのに役立ちます。トレーニングの効果を測定し、より重点を置く必要がある領域を特定するために、トレーニングに定期的な評価を組み込むことができます。

内部監査とモニタリングを実施する

内部セキュリティコントロールを定期的に監査することは、組織内の既存のセキュリティ対策とプロトコルを体系的にレビューし、評価して、それらが意図したとおりに機能しているか、最新のセキュリティ基準に準拠しているかを確認することを含みます。

これらの監査は、改善が必要な領域を特定するのに役立ちます。たとえば、古いソフトウェア、誤った設定のシステム、またはセキュリティポリシーのギャップなどです。これにより、組織はサイバー脅威や不正アクセスに対する防御を強化できます。

システムの継続的なモニタリングを実施することは、効果的なセキュリティ戦略の重要な要素です。この継続的なプロセスは、自動化されたツールと技術を使用して、ネットワーク活動、システム操作、ユーザーの行動を一貫して観察し、分析して、異常や疑わしい活動を検出することを含みます。

継続的なモニタリングを通じて、組織は潜在的な脆弱性や侵害を迅速に検出し、露出の窓を最小限に抑え、迅速な対応を可能にします。この積極的なアプローチは、規制要件の遵守を維持するのに役立つだけでなく、機密データを保護し、重要なシステムの整合性と可用性を維持する能力を向上させます。

早期にC3PAOと連携する

正式な評価手続きの前に、第三者評価機関、またはC3PAOとの関係を築き始めることが重要です。これにより、組織は評価中に何を期待するか、評価される具体的な基準と要件を包括的に理解することができます。

早期の協力により、企業はC3PAOの専門知識を活用し、改善が必要な領域に関する重要なフィードバックとベストプラクティスに関するガイダンスを得ることができます。さらに、この関係から得られる知見は、組織がプロセスと文書をコンプライアンス基準に合わせるのに役立ち、最終的に正式な評価プロセスをスムーズかつ効率的にします。

この接続を早期に確立することで、継続的なコミュニケーションが可能になり、組織は潜在的な問題に対して積極的に対処することができ、長期的には時間とリソースを節約できます。

サイバーセキュリティ実践を継続的に更新し改善する

既存のサイバーセキュリティ対策を継続的に見直し、改善することは、進化する脅威の状況と変化するコンプライアンス基準に対処するために重要です。

技術が進化し、サイバー犯罪者がより洗練された方法を開発する中で、組織は定期的にセキュリティプロトコルを評価し、脆弱性を特定し、システムとデータを保護するために必要な更新を実施する必要があります。積極的な姿勢を採用することで、組織は脅威インテリジェンスと業界のベストプラクティスを活用して、潜在的なリスクを予測し、それに応じて準備することができます。これには、技術的なコントロールの更新だけでなく、新しい脅威に効果的に対処するためのポリシー、トレーニングプログラム、インシデント対応戦略の改善も含まれます。

サイバーセキュリティの専門家と協力し、更新されたフレームワークを参照することで、新たな脅威と最適な防御メカニズムに関する貴重な知見を得ることができます。このようなアプローチにより、組織はサイバー脅威に対して耐性を維持しながら、コンプライアンス義務を果たし、重要な情報資産を保護することができます。

Kiteworksはプライベートデータネットワークで防衛請負業者がCMMCコンプライアンスを達成するのを支援します

この評価ガイドに記載されたガイドラインに従うことで、IT、リスク、コンプライアンスの専門家は、C3PAO評価の成功に向けて組織をよりよく準備することができます。このプロセスは、コンプライアンスを促進するだけでなく、組織の全体的なセキュリティ姿勢を大幅に強化し、利害関係者との信頼を築き、重要な防衛関連情報の保護を確保します。

Kiteworksは、CMMC 2.0レベル2の要件の約90%を即座にサポートします。その結果、DoD請負業者と下請け業者は、適切な機密コンテンツ通信プラットフォームを確保することで、CMMC 2.0レベル2の認定プロセスを加速することができます。

Kiteworksのプライベートコンテンツネットワークは、FIPS 140-2レベルで検証されたセキュアなファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTP、マネージドファイル転送、および次世代デジタル著作権管理ソリューションを統合し、組織がすべてのファイルを組織に出入りする際に制御し、保護し、追跡します。

Kiteworksは、以下のコア機能と特徴を備えた迅速なCMMC 2.0コンプライアンスを可能にします:

  • SSAE-16/SOC 2、NIST SP 800-171、NIST SP 800-172を含む、主要な米国政府のコンプライアンス基準と要件に基づく認証
  • FIPS 140-2レベル1の検証
  • 中程度の影響レベルCUIに対するFedRAMP認定
  • データの保存時にAES 256ビット暗号化、データの転送時にTLS 1.2、唯一の暗号化キー所有

Kiteworksについて詳しく知りたい方は、カスタムデモをスケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks