CMMC 2.0最終規則：国防総省請負業者が知っておくべきこと

サイバーセキュリティ成熟度モデル認証（CMMC）2.0は、米国国防総省（DoD）が防衛産業基盤（DIB）全体のサイバーセキュリティを強化するための重要な取り組みを表しています。元々は請負業者が最低限のサイバーセキュリティ基準を満たすことを保証するために導入され、CMMCは制御されていない分類情報（CUI）や連邦契約情報（FCI）などの機密情報をサイバー脅威から保護することを目的としています。これらの脅威がますます複雑化する中、CMMCは簡素化されたフレームワークへと進化し、中小企業にとってよりアクセスしやすくなっています。

2024年10月11日、DoDはCMMC 32 CFRを公開検査のためにリリースし、CMMC 2.0の新しいルールを概説しました。この重要な更新は、2024年10月15日に連邦官報で正式に発表されます。更新されたプログラムは、以前の5つのサイバーセキュリティ要件レベルを3つに削減し、企業がサイバーセキュリティの実践を評価し強化することを容易にします。今後の変更は、DoDのサプライチェーン内のすべての請負業者と下請け業者に影響を与え、国家安全保障の利益を保護するための強固なサイバーセキュリティ対策の重要性を強調しています。

CMMC 2.0導入の重要な日程とタイムライン

2024年10月11日にCMMC 32 CFRが公開検査のためにリリースされることは、国防総省がその請負業者ネットワーク内でサイバーセキュリティを強化するための重要なマイルストーンを示しています。この予備的なリリースにより、利害関係者は公式発表前に更新されたルールを確認することができ、公式発表は2024年10月15日に連邦官報で行われる予定です。このタイムラインは、すべての請負業者が今後の変更に適切に準備できるようにするというDoDのコミットメントを強調しています。

CMMC 2.0の予想される発効日は2024年12月16日で、発表からちょうど60日後です。この期間は、請負業者が新しい要件に慣れ、コンプライアンスの準備を始めるための短いウィンドウを提供します。DoDは、これらの要件を段階的に請負業者基盤全体に適用する段階的な実施戦略を策定しており、企業が調整し、新しいサイバーセキュリティ基準を満たすことを可能にします。

この段階的アプローチの下で、CMMC 2.0は段階的に導入され、基本的なサイバーセキュリティ対策の自己評価から、機密情報を扱う請負業者のためのより厳格な評価へと進行します。この段階的な実施はバランスの取れたアプローチを提供し、請負業者がコンプライアンスを達成するための時間を与えながら、DoDの全体的なサイバーセキュリティ目標を強化します。

CMMC 2.0の主な変更点

CMMC 2.0は、元の5つのサイバーセキュリティ成熟度レベルを3つに削減する簡素化された評価フレームワークを導入しています。この簡素化された構造は、DoDがコンプライアンスをよりアクセスしやすくしながら、強固なセキュリティ基準を維持する意図を反映しています。以下は、新しい3つのレベルとその内容の概要です：

CMMCレベル1：基本的なサイバー衛生

CMMCレベル1は、連邦契約情報（FCI）を扱う請負業者向けに設計されたエントリーレベルの認証です。15の基本的なサイバーセキュリティ実践で構成されており、年次自己評価を通じて評価されます。CMMCレベル1は、強力なパスワードの維持やソフトウェアの定期的な更新など、請負業者が基本的なサイバーセキュリティ実践を確立していることを保証します。

CMMCレベル2：高度なサイバー衛生

制御されていない分類情報（CUI）を管理する請負業者は、CMMCレベル2に該当します。このレベルでは、NIST 800-171で概説されている110のセキュリティ管理策すべてを遵守する必要があります。これには、アクセス制御、インシデント対応、リスク評価などの包括的なサイバーセキュリティ実践が含まれます。レベル1とは異なり、CMMCレベル2は、コンプライアンスを確認するために3年ごとに独立した第三者評価を必要とします。このより厳格な認証は、請負業者と共有される機密DoD情報を保護することを目的としています。

CMMC 1.0と2.0の違いを理解する

CMMCレベル3：エキスパートサイバー衛生

CMMCレベル3は、CMMC 2.0の下での最高レベルの認証であり、非常に機密性の高いCUIやその他の重要な資産を扱う請負業者に適用されます。レベル3のコンプライアンスを達成するには、NIST SP 800-171を超える追加のセキュリティ管理策を評価するDoD主導の評価が必要です。このレベルの請負業者は、持続的標的型攻撃（APT）に対する保護能力を示し、厳格なサイバーセキュリティ要件を満たす必要があります。CMMCレベル3は、最も機密性の高い情報を扱う最も安全な請負業者のみが国家安全保障の利益を保護することを保証します。

これらの3つのレベルにフレームワークを統合することで、CMMC 2.0はコンプライアンスプロセスを簡素化し、請負業者が扱う情報の機密性に適切にサイバーセキュリティ実践を整合させることを保証します。このアプローチにより、中小企業にとって認証がより達成可能になり、DIB全体のセキュリティが向上します。

中小企業へのCMMC 2.0の影響

CMMC 2.0の簡素化されたフレームワークは、中小企業（SMB）のコンプライアンス負担を大幅に軽減します。中小企業は大企業に比べてリソースが限られていることが多いためです。評価レベルを5から3に統合することで、新しいモデルはすべての規模の企業がコンプライアンスを達成するための明確な道筋を提供します。この簡素化された構造は、評価ポイントが少なくなることを意味し、コストを削減し、小規模企業が認証プロセスの準備と完了に必要な時間を短縮します。

SMBにとってのもう一つの利点は、CMMC 2.0のサイバーセキュリティ要件を満たすためにクラウドサービスを活用するオプションです。クラウドサービスプロバイダーは、CMMCで概説されている基準に整合するセキュリティ機能を備えていることが多く、企業がこれらのソリューションを業務に統合することを容易にします。NIST SP 800-171やその他の関連基準に準拠したクラウドサービスを使用することで、SMBは広範な内部インフラストラクチャ投資を必要とせずにサイバーセキュリティ要件を満たすことができます。

しかし、これらの利点にもかかわらず、SMBはコンプライアンスを達成する上で依然として課題に直面しています。CMMC要件を満たすには、慎重な計画、リソース、場合によっては第三者評価が必要であり、これがコストを伴う可能性があります。さらに、クラウドサービスはコンプライアンスを支援することができますが、適切なプロバイダーを選択し、クラウドセキュリティを効果的に管理するには、小規模企業が持っていないかもしれない専門知識が必要です。したがって、SMBはサイバーセキュリティ能力を慎重に評価し、知識豊富な第三者と提携してCMMC認証を確実に成功させることを検討する必要があります。

CMMC認証とCMMCコンプライアンスの違いを理解する

評価要件とコンプライアンス基準

CMMC 2.0の評価要件の中心には、CUIを保護するためのセキュリティ実践を概説したNIST SP 800-171の管理策があります。レベル1では、FCIを扱う請負業者は15の基本的なサイバーセキュリティ実践を遵守する必要があります。これらの実践には、ユーザーアクセス制御、定期的なソフトウェア更新、基本的なデータ保護対策などの基本的な管理策が含まれます。レベル1の評価は年次で自己実施され、リソースが少ない請負業者にとってアクセスしやすいものとなっています。

CMMCレベル2では、請負業者はNIST SP 800-171で指定された110の管理策すべてを満たす必要があります。このレベルでは、アクセス制御、監査ログ、インシデント対応、リスク評価などのサイバーセキュリティの包括的なアプローチが求められます。CMMCレベル2のコンプライアンスは、3年ごとに行われる独立した第三者評価によって検証されます。この評価は、請負業者がCUIを適切に保護するために必要な管理策を実施し維持していることを確認します。

CMMCレベル3は、NIST SP 800-171を超える追加の要件を導入し、より高度なサイバーセキュリティ実践に焦点を当てています。レベル3を目指す請負業者は、APTなどの高度なサイバー脅威に対する保護能力を評価するDoD主導の評価を受ける必要があります。このレベルには、CMMCレベル1および2を超える強化された管理策とプロセスが含まれており、DIB内の最も機密性の高い情報を確実に保護します。

CMMC 2.0コンプライアンスのもう一つの重要な側面は、対象防衛情報を保護するために適切なセキュリティ対策を実施し、サイバーインシデントをDoDに報告することを請負業者に義務付けるDFARS条項252.204-7012への遵守です。この条項は、防衛サプライチェーン内の請負業者にとっての基本的な要件として機能し、すべてのCMMCレベルにわたるサイバーセキュリティ実践の重要性を強調しています。これらの基準に整合することで、請負業者はDoD情報を保護し、国家安全保障を維持するためのコミットメントを示すことができます。

CMMC認証を達成するためのヒント

CMMC 2.0認証を達成するには、各レベルの特定の要件に合わせた体系的なプロセスが必要です。CMMCレベル1では、請負業者は基本的なサイバーセキュリティ実践に準拠していることを確認するために年次自己評価を実施する必要があります。レベル1は、連邦調達規則（FAR）条項52.204-21で指定された15の基本的な保護要件で構成されています。

CMMCレベル2認証はより厳格であり、NIST SP 800-171の110の管理策に準拠していることを確認するために、請負業者が独立した第三者評価を受ける必要があります。このレベルを目指す企業は、評価者の需要が増加する可能性があるため、認定されたCMMC第三者評価機関（C3PAOs）との評価を早めにスケジュールする必要があります。レベル2の準備には、内部レビューの実施、管理策のギャップの特定、是正措置の実施が含まれます。

CMMCレベル3では、高度なサイバーセキュリティ要件に焦点を当てたDoD主導の評価が含まれます。請負業者は、APTに対抗する能力を持つ強固なセキュリティ対策を示す必要があります。レベル3の準備は集中的であり、徹底した文書化、インシデント対応計画、定期的なセキュリティテストを含む重要なリソース投資が必要な場合があります。請負業者は、サイバーセキュリティの専門家と相談し、継続的な監視とコンプライアンスをサポートするツールを活用することをお勧めします。

どのレベルでもCMMC認証の準備をするために、請負業者は以下を行うべきです：

• 関連するNIST SP 800-171の管理策を確認し、システムがこれらの基準に整合していることを確認します。
• 内部評価を実施して脆弱性を特定し、公式評価の前に是正措置を講じます。
• CMMC認定機関（CMMC AB）からのリソースを活用し、トレーニングプログラムやガイダンス文書を含め、認証プロセスをよりよく理解します。

これらのステップを踏むことで、請負業者はスムーズな認証プロセスを確保し、DoDのサイバーセキュリティ期待に効果的に応えることができます。

CMMC 2.0に準拠する必要がある場合、こちらが完全なCMMCコンプライアンスチェックリストです

防衛産業基盤（DIB）への影響

CMMC 2.0フレームワークは、DIB内のCUIとFCIを保護するために重要です。DoD請負業者は、軍事作戦や国家安全保障を支える機密データを扱うため、厳格なサイバーセキュリティ対策を維持することが不可欠です。CMMC 2.0は、請負業者がこの情報を保護するための体系的なアプローチを提供し、サプライチェーン内の脆弱性を最小限に抑えることを保証します。

CMMC要件に準拠しないことは、請負業者にとって深刻な結果をもたらす可能性があります。必要な認証レベルを達成できない場合、DoD契約の資格を失う可能性があり、企業の収益と評判に直接影響を与える可能性があります。さらに、サイバーセキュリティの欠如は、データ侵害、知的財産の盗難、または機密の防衛関連情報の露出を引き起こし、国家安全保障を危険にさらし、DoDとその請負業者間の信頼を損なう可能性があります。

CMMC 2.0への準拠を要求することで、DoDはサイバー脅威に対する請負業者ネットワークのレジリエンスを強化することを目指しています。このフレームワークは、規模に関係なくすべての請負業者がNIST SP 800-171に整合した最低限のサイバーセキュリティ基準を満たすことを保証します。この統一されたアプローチは、重要な情報を保護し、DoDの運用の整合性を強化し、防衛サプライチェーン全体のセキュリティを向上させます。

国家安全保障の文脈において、CMMC 2.0は、アメリカの創意工夫と技術的進歩をサイバー敵から保護するための積極的な措置です。このプログラムは、機密情報を保護するだけでなく、DIB内でのセキュリティ文化を育成します。サイバーセキュリティに投資する請負業者は、自分自身を保護するだけでなく、より強力でレジリエントな国家防衛姿勢に貢献します。このセキュリティへの集団的なコミットメントは、DoDの使命をサポートし、進化するサイバー脅威から重要な防衛能力を保護することを保証します。

CMMC 2.0の形成における公衆と業界のフィードバックの役割

CMMC 2.0の開発は、公衆およびさまざまな業界の利害関係者からのフィードバックによって大きく影響を受けました。初期のCMMCモデルのリリース後、DoDはフレームワークの影響を受ける人々からの知見や懸念を収集するために公衆コメント期間を設けました。このプロセスにより、あらゆる規模の企業、業界団体、サイバーセキュリティ専門家が提案された認証要件についての意見を提供することができました。

フィードバックは、中小企業を含む幅広い参加者から受け取られ、コンプライアンスを達成するためのコストと複雑さについての懸念が提起されました。大手防衛請負業者や業界団体も、サプライチェーンの異なるレベルでフレームワークを実施する際の実際の課題についての意見を提供しました。この集団的なフィードバックは、さまざまなサイバーセキュリティリソースを持つ企業に対応できる、より簡素化されたアプローチの必要性を浮き彫りにしました。

この入力に応じて、DoDは元のフレームワークにいくつかの調整を加え、CMMC 2.0で見られるより簡素化された構造を導入しました。評価レベルを5から3に削減することで、特に小規模企業にとってのアクセス性とコストに関する懸念に対処しています。この協力的なアプローチは、機密情報を保護するだけでなく、請負業者の多様なニーズをサポートするフレームワークを作成するというDoDのコミットメントを示しています。

CMMC 2.0とDoD請負業者のサイバーセキュリティの未来

CMMC 2.0が施行されることで、防衛セクター内のサイバーセキュリティ要件の進化する風景が形成されます。現在のフレームワークは大きな前進を表していますが、DoDが新たなサイバー脅威や技術の進展に適応するにつれて、将来的な更新が予想されます。請負業者は、継続的な評価を通じて特定された脆弱性に対処し、新しいサイバーセキュリティのベストプラクティスを取り入れる定期的な改訂を期待できます。

サイバーセキュリティコンプライアンスの未来を形作るいくつかのトレンドがあります。脅威検出と対応における自動化と人工知能（AI）の使用の増加は、請負業者がCMMC要件を満たす方法に影響を与える可能性があります。これらの技術が防衛システムにますます統合されるにつれて、DoDは請負業者にAI駆動のセキュリティツールを管理する能力を示すことを要求するかもしれません。さらに、サイバー脅威がますます巧妙化する中、請負業者は継続的な監視や高度な脅威インテリジェンスなどの積極的なセキュリティ対策を採用して先を行く必要があります。

CMMC 2.0の実施は、防衛サプライチェーンにも影響を与えます。統一されたサイバーセキュリティ基準のセットにより、サプライチェーンのあらゆるレベルの請負業者がセキュリティを優先することが奨励されます。この標準化への焦点は、個々の請負業者を強化するだけでなく、防衛セクター内の協力と信頼を強化します。より多くの請負業者がCMMC認証を取得するにつれて、DIBの全体的なセキュリティ姿勢が向上し、サイバー攻撃に対してよりレジリエントになります。

将来的には、CMMCフレームワークが現在の範囲を超えて拡大し、他の連邦機関が請負業者に対して同様のモデルを採用する可能性があります。この広範な採用は、政府セクター全体でサイバーセキュリティ基準を強化し、機密情報を保護するための統一されたアプローチを確保します。DoD請負業者にとって、これらの進展について情報を得て、潜在的な更新に備えることは、コンプライアンスを維持し、国家安全保障の利益を保護するために不可欠です。

KiteworksがCMMC 2.0コンプライアンスへの道をサポート

CMMC 2.0の導入は、DIBにとって重要な瞬間を迎え、コンプライアンス要件を簡素化し、防衛セクター全体でサイバーセキュリティの重要性を強化します。レベルを5から3に削減することで、CMMC 2.0は請負業者が機密情報を保護するための明確な道筋を提供します。簡素化された構造と段階的な実施を組み合わせることで、あらゆる規模の組織が適応し、DoDのサイバーセキュリティ基準を満たすことができます。

これらの今後の変更に備える中で、CMMC 2.0要件に整合することは、DoD契約の資格を維持するために不可欠です。レベル2コンプライアンスへの道を加速させたい組織にとって、Kiteworksは効果的なソリューションを提供します。Kiteworksの堅牢なセキュリティフレームワークを備えたプライベートコンテンツネットワークは、FedRAMP Moderate Authorizedであり、CMMCレベル2要件の約90%を即座にサポートします。Kiteworksを使用することで、組織は効率的にコンプライアンス基準を満たし、CUIを保護することができます。

サイバーセキュリティは国家防衛の重要な要素であり、CMMC 2.0へのコンプライアンスは、請負業者が機密情報の保護に貢献することを保証します。これらの基準を採用することで、防衛請負業者は契約上の義務を果たすだけでなく、防衛サプライチェーンのレジリエンスを強化します。サイバー脅威が進化し続ける中、強力なサイバーセキュリティ姿勢を維持することは、アメリカの防衛能力を保護するために不可欠です。

Kiteworksのプライベートコンテンツネットワークは、FIPS 140-2レベル検証済みのセキュアなファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTP、マネージドファイル転送、および次世代デジタル著作権管理ソリューションを統合し、組織がすべてのファイルを管理し、保護し、追跡できるようにします。

Kiteworksを使用することで、DoD請負業者および下請け業者は、専用のプライベートコンテンツネットワークに機密コンテンツ通信を統合し、CMMC 2.0の実践に整合する自動化されたポリシー制御と追跡およびサイバーセキュリティプロトコルを活用します。

Kiteworksは、以下のコア機能と特徴を備えた迅速なCMMC 2.0コンプライアンスを可能にします：

• SSAE-16/SOC 2、NIST SP 800-171、およびNIST SP 800-172を含む、米国政府の主要なコンプライアンス基準および要件に基づく認証
• FIPS 140-2レベル1の検証
• 中程度の影響レベルCUIに対するFedRAMP認証
• データの保存時にAES 256ビット暗号化、転送時にTLS 1.2、および唯一の暗号化キー所有権

KiteworksのCMMCコンプライアンスについて詳しく知りたい方は、カスタムデモをスケジュールしてください。