CMMCレベル2コンプライアンスへの道筋を設定する:CMMCエキスパートからの知見とヒント
2021年11月4日、米国国防総省(DoD)は、サイバーセキュリティ成熟度モデル認証(CMMC)2.0の更新版を発表しました。この新しいバージョンは、サプライヤーがサイバーセキュリティの姿勢を評価し、強化するのを支援するために設計されたCMMC認証レベルの階層システムを組み込んでいます。すべてのDoD請負業者が、制御されていない分類情報(CUI)および連邦契約情報(FCI)を保護するために適切なサイバーセキュリティ対策とプロトコルを利用していることを保証することを目的としています。
CMMC認証プロセスは厳しいものですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。
CMMCレベル2は、防衛請負業者が達成すべき重要なマイルストーンです。これは中間的なサイバーハイジーンに焦点を当てており、組織がレベル1からステップアップするための論理的な進展を提供します。FCIとCUIを保護することに加えて、レベル2のコンプライアンスは、レベル1でカバーされているよりも深刻なサイバー脅威に対して組織をより良く防御するのに役立ちます。レベル1は自己証明のみですが、レベル2は自己証明および認定された第三者評価機関(C3PAO)による認証が必要です。
CMMC 2.0 レベル2コンプライアンス要件
CMMCレベル2は、中間段階であり、企業がCUIを保護するために特定のセキュリティコントロールを実施する必要があります。CMMCレベル2のコンプライアンスは、14のドメインにわたる110の実践に基づいて評価され、幅広いサイバーセキュリティ対策をカバーしています。
最初の要件セットはアクセス制御ドメインに該当します。これらは、組織がシステムアクセス要件を確立し、内部システムアクセスを制御し、データアクセスを認可されたユーザーに限定し、非特権ユーザーがセキュリティ侵害につながる可能性のある機能を実行することを防ぐことを求めています。
次に、監査とアカウンタビリティがあり、企業は監査要件を定義し、システム監査ログを作成して保持し、定期的に監査ログをレビューして更新する必要があります。さらに、監査情報とツールを不正アクセスから保護し、特定された欠陥を報告して対処するプロセスも必要です。
構成管理ドメインでは、組織がすべてのネットワーク情報システムに対してセキュリティ構成設定を確立し、施行することが求められます。これには、システムの変更を追跡、制御、適切に管理し、不正なソフトウェアの使用を防ぎ、構成変更ツールへのアクセスを認可された人員のみに制限することが含まれます。
識別と認証は、もう一つの重要なドメインです。これには、情報システムユーザーとユーザーの代理として行動するプロセスを識別し、セッションを確立する前にその身元を認証することが求められます。これには、多要素認証や暗号化されたセッション識別子の強制が含まれることがあります。
インシデント対応ドメインでは、組織は運用インシデント処理能力を確立し、インシデントを追跡、文書化し、適切な組織に報告し、インシデント対応とエスカレーションを徹底的に分析する必要があります。
メンテナンスとメディア保護もCMMCレベル2要件において重要なドメインです。定期的なシステムメンテナンス、タイムリーな欠陥修正、ツールの検査、保護、デジタルメディアの消毒、メディアへのアクセス制御とマーキングは、すべてコンプライアンスに不可欠です。
その他のドメインとしては、人的セキュリティ、物理的保護、リスク評価、セキュリティ評価、システムと通信の保護、システムと情報の整合性、復旧、状況認識、資産管理、サイバーセキュリティガバナンス、サプライチェーンリスク管理などがあり、それぞれに特定の要件があります。これらは、人的スクリーニングの実施、アクセスポイントの物理的監視と制御、定期的なリスク評価の実施、復旧と継続性の計画の開発と実施、サプライチェーンリスクの管理などに及びます。
組織はまた、実践の実施活動を管理する計画を確立し、維持することが期待されています。この計画には、ミッション、目標、プロジェクト計画、リソース、トレーニング、ステークホルダーがレベル2のコンプライアンスを達成するために必要な詳細が含まれています。
合計で、CMMCレベル2の要件は包括的なサイバーセキュリティ実践のセットを提示しています。これは、広範なセキュリティ対策と組織にとっての実用的な実現可能性のバランスを保ち、CUIの効果的な保護を保証し、重大な運用上の混乱を引き起こさないようにしています。これらの基準へのコンプライアンスは、複雑に見えるかもしれませんが、最終的にはサイバーセキュリティの成熟度を向上させ、脆弱性と潜在的なリスクを減少させます。
CMMC 2.0 レベル2コンプライアンスの達成
CMMC 2.0 レベル2コンプライアンスを達成するための道のりは、この認証レベルの具体的な要件を理解することから始まります。その後、ギャップ分析を実施して、現在のサイバーセキュリティ実践における改善が必要な弱点を特定します。次に、これらの弱点に対処し、サイバーセキュリティの姿勢を強化するための修正措置を講じる必要があります。理想的には、プロセスを通じて組織を指導できる経験豊富なサイバーセキュリティ専門家と協力することが最善です。
CMMC 2.0 レベル2コンプライアンスの準備
CMMC 2.0 レベル2コンプライアンスを目指す際には、準備が鍵となります。これには、従業員のサイバーセキュリティトレーニングの改善、サイバーセキュリティポリシーの強化、プロアクティブなサイバー脅威検出と対応システムの確立が含まれます。さらに、すべてのプロセスと実践を文書化し、コンプライアンスの証拠として残すことが重要です。
最近のKitecastエピソードでは、Schellmanのシニアアソシエイトであり、CMMCトレーナー兼エキスパートであるMichael Redmanが、DoD請負業者と下請け業者が活用できるCMMCレベル2コンプライアンスへの成功のロードマップを示し、認証プロセスを加速させるための知見とヒントを明らかにしています。
防衛産業基盤はCMMCレベル2コンプライアンスを真剣に受け止めているか?
防衛産業基盤がCMMCレベル2コンプライアンスをどれほど真剣に受け止めているかという問題は多面的です。この質問への答えは、参加者のタイプとそれぞれの関与レベルに大きく依存します。Redmanは、ほとんどのDIB参加者がCMMC 2.0を非常に真剣に受け止めている一方で、認証へのロードマップを構築するのが遅れている参加者もいることを明らかにしています。これは、DoDのサプライチェーンに潜在的なリスクを生じさせます。
Redmanは、大企業、中規模企業、小規模企業がDoDの請負業者または下請け業者として必要なステップを踏んでCMMCコンプライアンスを達成しようとしていると述べています。多くの企業は、CMMCが正式に法律に組み込まれる前から取り組みを始めています。レベル1は自己証明のみが必要ですが、レベル2は自己証明に加えて承認された第三者による認証が必要です。
レベル2のCMMC認証において、DoDサプライチェーンの参加者は、規制に対してさまざまな関与レベルでアプローチしています。一部の参加者は「風向きを見る」ことを待っている一方で、他の参加者はCMMCを積極的に推進しているDoDのCIOオフィスや司法省からリードを取っています。
残念ながら、一部の参加者はCMMCコンプライアンスの重要性について無知のままです。これらの参加者は、異なる、しばしば矛盾する意見やアドバイスに圧倒され、混乱し、やる気を失っています。DIBで圧倒されていると感じている人々にとって、CMMCはここにあり、法律に組み込まれることを忘れないことが重要です。そのため、適切なコンサルタントやC3PAOを見つけて、正しい方向に導いてもらうことが不可欠です。
CMMCは、DIBに多くの利益をもたらす長期的な投資です。ROIの向上からセキュリティ基準の向上、評価能力の向上まで、潜在的な利益は非常に大きいです。プログラムの重要性を理解し、ビジネスの規模や種類に関係なく、コンプライアンスを確保するために必要なステップを踏むよう参加者を促すことが課題です。
CMMC自己評価の課題
DoDはそのサプライヤーにCMMCの実施を要求しています。レベル1とレベル2のコンプライアンスは、DoDサプライヤーが各レベルで指定されたコントロールに基づいてサイバーセキュリティ実践の成熟度を自己評価することを要求します。レベル2はさらに第三者による認証が必要です。
CMMC自己評価の課題は二重です。第一に、企業の自己評価とDoDによる評価の間にギャップがあります。71%の組織がレベル2の実践要件に準拠していると信じているにもかかわらず、DoDの調査ではそのうちのわずか29%が準拠していることが判明しました。これは、組織が自分たちのコンプライアンスを正確に測定しておらず、したがってCMMC評価に適切に準備できていないことを意味します。
CMMC自己評価の第二の課題は、基準の言語です。多くのコントロールは、異なる方法で解釈できるように書かれています。この曖昧な言語により、組織のCEOは「実施済み」という言葉の自分たちの定義に基づいて準拠していると考えるかもしれませんが、実際にはコンプライアンスにはそれ以上のものが必要です。これにより、組織は自分たちのコンプライアンスレベルについて過信し、実際には準拠していないため、DoDからの標準以下の評価を受けることになります。
組織が自己評価プロセスを真剣に受け止め、DoDの期待を理解することが、CMMC評価で成功するために不可欠です。組織はコンプライアンス要件の定義を明確にし、DoD評価に合格するために完全なコンプライアンスを実証する準備をする必要があります。要件を十分に理解し、正確な自己評価を行うことで、自己評価とDoD評価のギャップを埋めることができます。
CMMC 2.0の段階的実施を理解する
DoDは最近、新しいCMMC 2.0の実施において中間規則ステップをスキップし、最終規則に直接進むことを発表しました。これは大きな出来事であり、最終規則が6月に発表されると、CMMC 2.0が現実のものとなることを意味します。
立ち上げ期間は少なくとも8か月かかると予想されていますが、まだCMMC認証を取得していない組織も2.0へのコンプライアンスが求められます。DoDは、これらの組織が必要な基準を満たしていることを確認するためにランダムな監査を実施することができますし、実際に行います。企業は、連邦政府がこの問題に対して手を抜いていないことを理解することが重要であり、必要な要件を満たしていないと判断された場合、契約が停止される可能性があります。
CMMC認証プロセスにおけるC3PAOの役割
CMMCは、FCIとCUIをサイバー攻撃から保護するために設計されています。CMMCの導入により、CMMC認定機関(CMMC-AB)によって監督されるCMMC第三者評価機関(C3PAO)が設立されました。
C3PAOは、DoD請負業者と下請け業者がCMMCの要件を満たしていることを確認する責任を負っています。C3PAOは、独立した検査、評価、および推奨を提供し、サプライヤーが必要なセキュリティコントロールを備えているかどうかをDoDが判断できるようにします。
C3PAOは、DoDが請負業者の情報システムが安全であり、請負業者がCMMCの実践要件に準拠していることを確認するのを支援します。さらに、C3PAOは、CMMCの実施に関するガイダンスをDoDに提供し、彼らのサイバーセキュリティ実践がCMMCレベル2に反映されているNIST 800-171基準に準拠していることを確認します。
CMMC 2.0 レベル2コンプライアンスのコストを考慮する
CMMC 2.0 レベル2コンプライアンスを取得するコストは、中小企業にとって特に圧倒的に見えることがあります。しかし、この投資は不要な費用としてではなく、組織のデータセキュリティを確保するための重要なステップとして見なされるべきです。コストは、組織の規模、情報システムの複雑さ、現在のサイバーセキュリティインフラの状態など、いくつかの要因によって大きく異なることを覚えておくことが重要です。
CMMC 2.0 レベル2コンプライアンスの最初の主要なコスト要素は準備に関連しています。最初に、組織は現在の脆弱性とシステムのギャップを特定するためにサイバーセキュリティ評価に費用をかける必要があるかもしれません。しかし、このプロセスは、必要な改善のための明確なロードマップを提供するのに役立ちます。
次に、必要なセキュリティコントロールとソリューションを実施するための大きなコストが発生します。これには、必要なハードウェアとソフトウェアの購入、インストール、メンテナンスが含まれます。また、サイバーセキュリティの人員を採用するか、サイバーセキュリティ企業からのサービスをアウトソーシングする必要があるかもしれません。
最後に、3番目の大きなコストは認証プロセス自体であり、コンプライアンスを監査し確認するために認定第三者評価機関(C3PAO)を雇うことが含まれます。
再び、CMMC 2.0 レベル2のコンプライアンスのコストは、特定の状況に基づいて組織ごとに大きく異なる可能性があります。したがって、このコンプライアンスの旅に乗り出す前に、徹底的な費用対効果分析を行うことをお勧めします。それにもかかわらず、コンプライアンスのコストは、顧客やパートナーからの信頼の低下によるビジネス機会の損失や重大な罰則など、非コンプライアンスの潜在的な悪影響を考慮すると正当化されます。
合計で、CMMC 2.0 レベル2コンプライアンスを達成することは財政的な課題を提示しますが、組織の将来のサイバーセキュリティの健康において不可欠な投資です。潜在的な脅威からシステムとデータを保護することで、会社の評判を守り、長期的な成長を維持することができます。
KiteworksがCMMC 2.0 レベル2コンプライアンスを加速
Kiteworksのプライベートコンテンツネットワークは、業界の他のどの機密コンテンツ通信プロバイダーよりも多く、CMMC 2.0 レベル2の要件の約90%を標準でサポートしています。KiteworksがCMMCにおいてリーダーシップを発揮している理由の一つは、プライベートコンテンツネットワークが連邦リスク承認管理プログラム(FedRAMP)で中程度のレベルの影響を連続して認可されていることです。また、FIPS 140-2、ISO 27001、27017、27018、SOC 2などの他の業界標準にも準拠しています。
さらに、Kiteworksのプライベートコンテンツネットワークを包む強化された仮想アプライアンスにより、公共および民間部門の組織のファイルおよびメールデータ通信は、内部および第三者に送信されるものも含めて、プライベートに保たれ、機密性が維持されます。
Kiteworksがどのようにして組織のCMMCコンプライアンスを加速させることができるかを理解するために、カスタムデモを今すぐスケジュールしてください。