Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > CMMCコンプライアンス > DIBサプライヤー向け12ステップCMMCコンプライアンスガイド
Blog Banner - How to Prepare for CMMC Compliance as a DIB Supplier

DIBサプライヤー向け12ステップCMMCコンプライアンスガイド

by Robert Dougherty updated 1月 16, 2025 CMMCコンプライアンス
Reading Time: < 1 minutes

今日の急速に進化するデジタル環境において、サイバーセキュリティの脅威はますます高度化し、頻繁に発生しており、防衛産業基盤(DIB)や国家安全保障に重大なリスクをもたらしています。これらのリスクを軽減するために、国防総省(DoD)は、すべてのDIBサプライヤーが遵守しなければならない包括的なセキュリティ基準のセットであるサイバーセキュリティ成熟度モデル認証(CMMC)フレームワークを実施しました。

CMMC 2.0コンプライアンスはすべての防衛請負業者にとって必須であり、規制に従わない場合、重大な財務的および評判的な損害を被る可能性があります。このブログ記事では、防衛産業基盤(DIB)サプライヤー向けのCMMCコンプライアンスに関する包括的なガイドを提供します。CMMCフレームワークの理解から現在のコンプライアンス状態の評価、CMMC準拠のセキュリティプログラムの構築、CMMC 2.0監査の準備、継続的なコンプライアンスの維持まで、すべてをカバーします。最後に、DIBの組織がCMMCコンプライアンスの旅でKiteworksを活用する方法を概説します。

CMMC認証プロセスは困難ですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。

CMMC 2.0コンプライアンスとは何ですか?

CMMC 2.0コンプライアンスは、DIBの請負業者が遵守しなければならない一連のサイバーセキュリティ基準です。これは、主要請負業者から下請け業者まで、DoDのサプライチェーン全体でサイバーセキュリティを実施するための統一基準です。CMMCフレームワークは、進化するサイバーセキュリティの脅威の状況に適応できる包括的で柔軟かつスケーラブルなサイバーセキュリティ基準を提供するように設計されています。

CMMC 2.0フレームワークは、以前のCMMCバージョンを基に構築され、コンプライアンスおよび認証プロセスに変更を導入しています。レベル2および3では、CMMC 2.0認証にはCMMC第三者評価認定機関(C3PAO)による評価が必要であり、請負業者が制御されていない分類情報(CUI)およびその他の機密データを保護するために必要なセキュリティ要件を満たしていることを確認します。

防衛産業基盤サプライヤーにとってCMMCが重要な理由は何ですか?

CMMC 2.0コンプライアンスは、業務の規模や範囲に関係なく、すべての防衛請負業者にとって必須です。規制に従わない場合、DoD契約の取り消し、財務的な罰則、評判の損害を被る可能性があります。CMMC 2.0への準拠は、DoDサプライヤーがサプライチェーンでの地位を確保し、競争力を維持するために不可欠です。

さらに、CMMC 2.0コンプライアンスは国家安全保障にとって重要です。DIBは、軍の任務に不可欠な製品やサービスを開発・提供する責任を負っており、サイバー犯罪者や外国の敵対者にとって高価値の標的となっています。CMMCフレームワークは、請負業者が国家安全保障への脅威から保護するために強固なサイバーセキュリティ基準を実施することを保証します。

CMMC 2.0フレームワークの理解

CMMC 2.0フレームワークは、進化するサイバーセキュリティの脅威の状況に適応できる包括的で柔軟かつスケーラブルなサイバーセキュリティ基準を提供するように設計されています。このフレームワークは、互いに積み重なる3つのセキュリティ成熟度レベルで構成されており、各レベルには異なるドメインにわたる一連の要件が含まれています。

CMMC 2.0レベル1(基礎)

レベル1(基礎)は、CMMC 2.0フレームワークの最初のレベルです。CMMC 2.0レベル1の主な目的は、組織がFCIを不正使用から保護するための基本的な管理策を持っていることを確認することです。レベル1は、連邦調達規則(FAR)条項52.204-21で指定された15の基本的な保護要件で構成されています。

CMMC 2.0レベル2(高度)

レベル2(高度)は、CMMC 2.0フレームワークの第2レベルです。これは中間レベルであり、企業がCUIを保護するためにより具体的な実践を実施することを要求します。企業は、サイバーセキュリティに関して業界のベストプラクティスに従っていることを示さなければなりません。このレベルでは、構成管理、インシデント対応、識別と認証、メンテナンスを含む110の実践を実施する必要があります。

CMMC 2.0レベル3(エキスパート)

レベル3(エキスパート)は、CMMC 2.0フレームワークの最高レベルです。企業は、CUIを保護するためのサイバーセキュリティのベストプラクティスを深く理解していることが求められます。レベル3では、NIST SP 800-171からの110の管理策とNIST SP 800-172からの追加の24の管理策を含む134の管理策が必要です。これらの管理策は、リスクを管理する手段であり、ポリシー、手順、ガイドライン、実践、または組織構造を含むもので、NIST SP 800-171、NIST SP 800-172、およびFAR 52.204-21によって指定されています。これらの実践は、NIST SP 800-172のサブセットである14の異なるドメインに属しています。CMMC 2.0は、請負業者がプロセスの単なる文書化を超えて、管理策の管理と実施に積極的に関与し、可能な限り最高のセキュリティを提供することを要求します。

DIBサプライヤー向けの12ステップCMMCコンプライアンスガイド

CMMC認定の準備をしているDIBサプライヤーには、次の12ステップガイドを提案し、成功への道を確実にします:

1. 現在のコンプライアンス状態を評価する

CMMC準拠のセキュリティプログラムを構築する前に、現在のコンプライアンス状態を評価する必要があります。ギャップ分析は、改善の余地を特定し、行動計画を立てるための有用なツールです。ギャップ分析は、CMMCフレームワークの各レベルのセキュリティ要件と実践に焦点を当て、現在のサイバーセキュリティ対策のギャップを特定する必要があります。

これらのギャップを特定したら、それらを優先順位付けし、修正するための行動計画を立てることができます。この計画には、実施のタイムライン、責任者、マイルストーンを含める必要があります。組織全体での賛同と協力を確保するために、計画プロセスには主要な利害関係者を関与させることが重要です。

2. CMMC準拠のセキュリティプログラムを構築する

CMMC準拠のセキュリティプログラムを構築するには、ポリシーと手順の開発、アクセス制御の実施、システムとネットワークの保護、定期的なセキュリティ評価の実施など、いくつかのステップが含まれます。

ポリシーと手順の開発は、CMMC準拠のセキュリティプログラムを構築する上で重要な最初のステップです。ポリシーと手順は、組織のニーズに合わせてカスタマイズされ、CMMCフレームワークの要件を反映する必要があります。

アクセス制御の実施も、CMMC準拠のセキュリティプログラムを構築するために不可欠です。アクセス制御は、許可された個人のみが機密データにアクセスできるようにし、アクセスは必要に応じて付与されるべきです。

システムとネットワークの保護は、CMMC準拠のセキュリティプログラムを構築する上でのもう一つの重要な側面です。これには、サーバー、ワークステーション、モバイルデバイスを含むすべてのハードウェアおよびソフトウェアシステムが含まれます。セキュリティ対策には、ファイアウォール、アンチウイルスソフトウェア、侵入検知および防止システム、定期的なソフトウェア更新が含まれるべきです。

定期的なセキュリティ評価の実施も、CMMC準拠のセキュリティプログラムを維持するために不可欠です。これらの評価は定期的に行われ、脆弱性スキャン、ペネトレーションテスト、リスク評価を含むべきです。

3. CMMC 2.0監査の準備をする

CMMC 2.0監査の準備には、監査プロセスの理解、第三者評価者との協力、成功するためのヒントなど、いくつかのステップが含まれます。

監査プロセスの理解は、CMMC 2.0監査の準備において重要です。監査プロセスには、第三者評価者が組織のCMMCフレームワークへの準拠を評価することが含まれます。評価には通常、ポリシーと手順のレビュー、従業員とのインタビュー、システムとネットワークの技術的評価が含まれます。

第三者評価者との協力は、CMMC 2.0認証に必要です。組織は、CMMCフレームワークに関する経験と専門知識を持つ評価者を慎重に選択する必要があります。評価者との良好な関係を築き、評価を実施するために必要なすべての文書とアクセスを提供することが重要です。

成功するためのヒントには、すべてのポリシーと手順が最新であり、従業員が自分の役割と責任を認識していることを確認することが含まれます。また、定期的にセキュリティ評価を実施し、特定された脆弱性に迅速に対処することも重要です。最後に、組織は評価者に対して透明性を持ち、CMMCフレームワークへの準拠をサポートするために必要なすべての文書を提供するべきです。

4. CMMCコンプライアンスを維持する

CMMCコンプライアンスを維持するには、継続的な監視とテスト、再評価と再認証、セキュリティインシデントの処理が含まれます。

継続的な監視とテストは、CMMCコンプライアンスを維持するために重要です。組織は、潜在的なセキュリティ脅威と弱点を特定するために、定期的な脆弱性スキャン、ペネトレーションテスト、リスク評価を実施するべきです。システムとネットワークの定期的な監視も、セキュリティインシデントの検出と防止に役立ちます。

再評価と再認証は、CMMCコンプライアンスを維持するために必要です。CMMC 2.0認証は3年間有効であり、その後、組織は再評価と再認証を受けてコンプライアンスを維持する必要があります。

セキュリティインシデントの処理も、CMMCコンプライアンスを維持するために重要です。組織は、セキュリティインシデントを迅速に検出し対応するための計画を持っているべきです。これには、インシデントの報告手順とその影響を軽減するための手順が含まれるべきです。

5. 中小規模のサプライヤー向けのCMMC 2.0をナビゲートする

中小規模のサプライヤーにとって、CMMC 2.0をナビゲートすることは特に困難です。これらの組織は限られたリソースを持っているため、強固なサイバーセキュリティ対策を実施することが難しい場合があります。しかし、中小規模のサプライヤーがCMMCコンプライアンスを達成するために利用できるリソースとサポートがいくつかあります。

小規模企業向けの特別な考慮事項には、サイバーセキュリティ投資の優先順位付け、サイバーセキュリティ成熟度モデル認証センターオブエクセレンスなどの利用可能なリソースの活用、ガイダンスとサポートを提供できる大規模な組織との提携が含まれます。さらに、一部のCMMC評価者は小規模な組織と協力することを専門としており、カスタマイズされた評価とガイダンスを提供できます。

6. CMMCコンプライアンスの利点を伝える

CMMCコンプライアンスは、防衛産業基盤サプライヤーに競争上の優位性、強化されたサイバーセキュリティ防御、成長と協力の機会を提供します。

CMMCコンプライアンスの大きな利点の一つは、DIBサプライチェーンで競争上の優位性を提供することです。CMMCコンプライアンスは、サイバーセキュリティへのコミットメントを示し、サイバー攻撃やデータ侵害のリスクから保護します。コンプライアンスはまた、サイバーセキュリティを重視する他の組織との新しいビジネス機会やパートナーシップの扉を開くことができます。

さらに、CMMCコンプライアンスは、フレームワークの要件を満たす強固なセキュリティ対策を請負業者が実施することを保証することで、サイバーセキュリティ防御を強化します。コンプライアンスは、サイバー攻撃やデータ侵害のリスクを軽減し、機密情報と国家安全保障を保護します。

最後に、CMMCコンプライアンスは、DIBサプライチェーン内での成長と協力の機会を提供します。上流および下流のパートナーとの協力は、サプライチェーン全体でのコンプライアンスを確保し、サイバーインシデントのリスクを軽減し、サプライチェーンのレジリエンスを向上させます。

7. CMMCコンプライアンスに関する一般的な誤解を理解する

CMMCコンプライアンスに関する一般的な誤解がいくつかあり、ガイドラインの混乱や誤解を招く可能性があります。事実とフィクションを区別することは、CMMCコンプライアンスの要件と重要性を理解するために重要です。

最も一般的な誤解の一つは、CMMCが防衛主要請負業者にのみ適用されるというものです。しかし、CMMCコンプライアンスは、下請け業者やサプライヤーを含むすべてのDIBサプライヤーにとって必須です。

8. サプライチェーンにおけるCMMCコンプライアンス

上流および下流のパートナーとの協力は、サプライチェーン全体でのコンプライアンスを確保するために不可欠です。サプライチェーン内の各組織は、機密情報と国家安全保障を保護するためにサイバーセキュリティ対策を実施し、維持する責任があります。

CMMCコンプライアンス要件は、サプライチェーン全体で明確かつ効果的に伝達される必要があります。契約や合意には、コンプライアンスの期待と非遵守の結果に関する明確な言葉が含まれるべきです。

最後に、組織は、サプライチェーンパートナーのサイバーセキュリティ対策を定期的に監視し、検証して、継続的なコンプライアンスを確保する必要があります。

9. CMMCが国際サプライヤーに与える影響を学ぶ

外国企業にとってのCMMCコンプライアンスの影響は複雑です。しかし、DIBと協力したい外国企業は、フレームワークの要件を遵守しなければなりません。

国際サプライヤーとしてのコンプライアンスのステップには、フレームワークの要件を理解し、適切な第三者評価者を選択し、コンプライアンスが組織の運営に与える影響を理解することが含まれます。

10. 非伝統的な防衛請負業者向けのCMMCコンプライアンスを考慮する

研究機関や大学などの非伝統的な防衛請負業者は、CMMCコンプライアンスを達成する上で独自の課題に直面する可能性があります。しかし、機密情報を扱い、国家安全保障に貢献する組織にとって、コンプライアンスは不可欠です。

非伝統的な請負業者へのCMMCコンプライアンスの範囲を拡大するには、限られたリソースや複雑な組織構造などの独自の課題に対処する必要があります。主要な利害関係者を関与させ、コンプライアンスのための明確な役割と責任を確立することが重要です。

11. 補完的なデータ保護規制を考慮する

CMMCコンプライアンスは、一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)などの他のデータ保護規制といくつかの異なる方法で重なっています。

まず、3つのフレームワークすべてがデータ保護の重要性を強調していますが、主な焦点は異なります。CMMC 2.0はCUIとFCIの保護を目的としており、GDPRとCCPAは個人データの保護に焦点を当てています。しかし、CUIとFCIには個人情報が含まれる可能性があるため、組織はサイバーセキュリティとデータプライバシーの両方に対して強力なセキュリティ制御を実施する必要があります。

第二に、CMMC 2.0とデータプライバシー規制の両方が、データセキュリティを確保するために文書化されたポリシー、手順、技術的措置を確立することを組織に要求しています。これには、アクセス制御、暗号化、インシデント対応計画、継続的な監視の実施が含まれます。

最後に、CMMC 2.0、GDPR、およびCCPAはすべて、組織が評価と監査を受けることによってコンプライアンスを示すことを要求しています。CMMC 2.0は第三者認証プロセスを含み、GDPRとCCPAはプライバシー影響評価プライバシー・バイ・デザインの原則の遵守を必要とします。これらのさまざまな規制要件を整合させることにより、企業はサイバーセキュリティとデータプライバシーに対する堅牢で包括的なアプローチを確保し、リスクを最小限に抑え、利害関係者の信頼を守ることができます。

12. CMMCコンプライアンスと防衛契約の変化を予測する

CMMCコンプライアンスは、防衛契約の未来における重要な要素です。サイバー脅威が進化し続ける中、DoDは国家安全保障を保護するために厳格なサイバーセキュリティ基準を実施し続けます。

進化するセキュリティ要件に備えるには、CMMCフレームワークの変更に関する最新情報を維持し、サイバーセキュリティの文化を確立し、従業員の継続的なトレーニングと教育を優先することが含まれます。

DIBサプライヤーはKiteworksでCMMCコンプライアンスを加速

Kiteworksは、機密コンテンツの送信、共有、受信、保存のたびに規制コンプライアンスを確保し、リスクを効果的に管理します。KiteworksプライベートコンテンツネットワークはFedRAMP Moderate Authorizedであり、CMMCコンプライアンスのレベル2要件の約90%をサポートしています。これにより、DoDとビジネスを行う請負業者や下請け業者が直面する多くのCMMCの障壁が取り除かれ、数ヶ月ではなく数週間でCMMC 2.0コンプライアンスを示すことが可能になります。

Kiteworksプライベートコンテンツネットワーク(PCN)は、暗号化されたメール、ファイル共有、SFTPマネージドファイル転送(MFT)、フォーム、カスタムエンタープライズ統合を含むコンテンツ通信の幅を保護および管理するために単一のプラットフォームを展開することで、コスト、管理、および複雑さを削減します。ファイルサイズの制限はありません。

Kiteworksで迅速なCMMC 2.0コンプライアンスを可能にするコア機能の一部には、次のものがあります:

  • セキュアなメール、ファイル共有、ファイル転送、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース(API)の統合を1つのプラットフォームに統合し、メタデータを統一
  • FedRAMPやSOC 2を含む、米国政府の主要なコンプライアンス基準と要件に準拠
  • FIPS 140-2コンプライアンスのためにNISTによって検証済み
  • NIST SP 800-171やNIST SP 800-172などの規制や基準に準拠した機密コンテンツ通信のコンプライアンスを可能に
  • FedRAMP Authorized for Moderate Level Impactは、CMMC 2.0レベル2および300以上のガバナンスコントロールに対する即時のコンプライアンスを提供
  • ファイルレベルのAES-256暗号化などのエンタープライズグレードのセキュリティでCUIを保護
  • CMMC 2.0の実践に基づいて機密データ通信を保護するために使用されるセキュリティ投資の単一の統合ポイント
  • プライベートコンテンツネットワークでのセキュリティとコンプライアンスの設計と管理を支援する信頼できるソリューションエンジニアとカスタマーサクセスマネージャーおよびスペシャリスト

競合他社に先駆けてCMMC 2.0レベル2認定を達成しようとしているDoD請負業者および下請け業者は、Kiteworksを真剣に検討する必要があります。今日、あなたのニーズに合わせたカスタムデモをスケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks