Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > CMMCコンプライアンス > 防衛セキュリティを強化する: CMMC 2.0 レベル3の必須事項
Blog Banner - A Comprehensive Look at CMMC 2.0 Level 3

防衛セキュリティを強化する: CMMC 2.0 レベル3の必須事項

by Danielle Barbour updated 1月 16, 2025 CMMCコンプライアンス
Reading Time: < 1 minutes

サイバーセキュリティ成熟度モデル認証(CMMC)2.0は、国防総省(DoD)が防衛産業基盤(DIB)のサイバーセキュリティ体制を強化するために開発したフレームワークです。これは、特に制御されていない分類情報(CUI)と連邦契約情報(FCI)を含む、機密性の高い未分類情報を保護することを目的としています。CMMC 2.0は、すべてのDoD請負業者および下請け業者に対してサイバーセキュリティを実施するための統一基準を確立し、企業がますます巧妙化するサイバー脅威からDoDの機密情報を適切に保護できるようにします。

CMMC認証プロセスは困難ですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。

CMMC 2.0 レベル3の主な特徴

CMMCレベル3認証は、CMMC 2.0フレームワーク内で最も高いサイバーセキュリティ成熟度を表します。これは、最も機密性の高い未分類情報を扱う企業や、重要なDoDプログラムに携わる企業向けに設計されています。

レベル3の主な特徴には以下が含まれます:

CUIの包括的な保護

CMMC 2.0 レベル3の必要性は、制御されていない分類情報(CUI)の包括的な保護の重要性を強調しています。このレベルでは、CUIを不正アクセスやサイバー脅威から保護するための厳格な管理策を実施し、防衛サプライチェーン内の請負業者および下請け業者が機密データを保護するために必要なセキュリティ基準を達成することを保証します。

高度な脅威検出と対応能力

CMMC 2.0 レベル3を達成するには、高度な脅威検出と対応能力を実装する必要があります。これらの対策は、請負業者および下請け業者が潜在的なセキュリティ侵害を迅速に特定し、軽減するために不可欠です。最先端の技術と戦略を活用することで、組織は新たな脅威に積極的に対処し、国防総省(DoD)フレームワーク内で堅牢なセキュリティ体制を維持できます。

堅牢なアクセス制御対策

CMMC 2.0 レベル3の要件は、重要なシステムとデータへの不正アクセスを防ぐための堅牢なアクセス制御対策を強調しています。これらの管理策には、厳格な認証プロセスとユーザー権限管理が含まれ、許可された人員のみが機密情報にアクセスできるようにします。このアプローチは、DoDが設定したサイバーセキュリティコンプライアンスの厳しい基準を満たすことを目指す請負業者にとって重要です。

強化されたシステムと通信の保護

CMMC 2.0のレベル3は、強化されたシステムと通信の保護に焦点を当てています。すべての通信チャネルとシステムが潜在的なサイバー脅威に対して安全で回復力があることを保証します。これらの管理策を実施することで、請負業者および下請け業者はインフラストラクチャを保護し、データの整合性を強化し、防衛分野での業務の継続性を確保できます。

厳格なリスク評価と管理の実践

CMMC 2.0 レベル3の管理策は、潜在的な脆弱性を特定、評価、軽減するための厳格なリスク評価と管理の実践を要求します。請負業者および下請け業者は、サイバーセキュリティの状況を理解するために徹底的なリスク評価を実施し、適切なリスク軽減戦略を実施し、潜在的な脅威を継続的に監視し、DoD基準に準拠し、機密情報を保護することを保証します。

主なポイント

  1. 包括的なセキュリティフレームワーク

    CMMC 2.0 レベル3は、DoD請負業者全体でのサイバーセキュリティのための統一フレームワークを確立し、CUIとFCIの厳格な保護に焦点を当てています。高度な脅威検出、堅牢なアクセス、通信保護などの厳しい管理策を実施することが含まれます。

  2. 高度な脅威への準備

    レベル3のコンプライアンスを達成するには、洗練された脅威検出、対応能力、積極的な脅威ハンティングなどの高度なサイバーセキュリティ対策を実施することが必要であり、持続的標的型攻撃(APT)を含むサイバー脅威からのリスクを軽減するために重要です。

  3. 戦略的リスク管理

    レベル3は、厳格なリスク評価と管理の実践を強調し、組織が包括的なリスク評価を実施し、軽減戦略を実施し、DoDの機密情報を保護し、基準に準拠するために継続的な監視を維持することを要求します。

  4. 必須の認証プロセス

    CMMCレベル3認証は、DCMA DIBCACによって実施される厳格な評価を受けることを要求し、NIST SP 800-172からの追加管理策に焦点を当て、より高いサイバーセキュリティ成熟度を確保し、組織の全体的なセキュリティ体制をさらに強化します。

  5. CMMCレベル3コンプライアンスのベストプラクティス

    徹底的なギャップ分析を実施し、堅牢なサイバーセキュリティポリシーを開発し、トレーニングプログラムを実施し、多要素認証を採用し、サイバーセキュリティの専門家と連携してコンプライアンスを維持し、機密データを効果的に保護します。

レベル3コンプライアンスがセキュリティを強化する方法

CMMC 2.0 レベル3コンプライアンスを達成することで、組織のセキュリティ体制が大幅に向上します。これにより、持続的標的型攻撃(APT)を含む高度なサイバー脅威を検出し対応し、機密情報を不正アクセスや流出から保護し、重要なシステムとデータの整合性と可用性を維持し、DoDやその他の利害関係者に対して高いサイバーセキュリティ成熟度を示し、サプライチェーンリスク管理に包括的なアプローチを実施します。

CMMC非準拠のリスクと影響

CMMC認証を達成できない場合、重大な結果を招く可能性があります。組織はDoD契約の資格を失い、データ侵害に対する法的責任を負う可能性があり、防衛業界内での評判が損なわれ、ビジネスチャンスを逃すことで財務的損失を被り、サイバー攻撃に対してより脆弱になる可能性があります。これらのリスクは、防衛分野で活動する組織にとって、CMMCコンプライアンスを達成し維持することの重要性を強調しています。

CMMC 2.0 レベル3の要件

CMMC 2.0 レベル3認証を達成するには、防衛契約管理局の防衛産業基盤サイバーセキュリティ評価センター(DCMA DIBCAC)によってのみ実施されるプロセスが必要です。組織はまず、CMMC評価スコープ内のすべての適用情報システムに対して、C3PAOを通じて最終レベル2のCMMCステータスを達成する必要があります。この前提条件が満たされた後、組織は32 CFR § 170.14(c)(4)で指定されたレベル3の要件を実施する必要があります。

その後、組織はDCMA DIBCACにレベル3の評価を依頼できます。この評価は包括的であり、すべてのレベル3セキュリティ要件の実施を評価することを含みます。組織は公式評価の準備として自己評価を行うためにCMMC評価ガイドを使用することができますが、これらの自己評価の結果はレベル3認証のために提出することはできません。DCMA DIBCACによって実施された評価のみが、条件付きレベル3(DIBCAC)または最終レベル3(DIBCAC)のCMMCステータスを授与するために考慮されます。このプロセス全体は、CMMC 2.0フレームワークの最高レベルで組織のサイバーセキュリティ成熟度を厳格に評価することを保証します。

CMMCレベル3は、NIST SP 800-171で指定された110のセキュリティ要件を使用してCUIを保護することに焦点を当てたレベル2によって確立された基盤に基づいています。レベル2は、組織が標準的なサイバーセキュリティ実践を確立し、文書化し、必要なポリシーと戦略計画を開発し、良好なサイバー衛生実践を実施することを要求します。レベル2はCUIを保護するための堅実な基盤を提供しますが、レベル3は、より多くの持続的標的型攻撃(APT)に対処するために、NIST SP 800-172から派生した24の追加管理策を導入します。

レベル3のこれらの強化された要件は、組織がより高い敵対的リスクに見合ったレベルでCUIを適切に保護できることをDoDに対してより高い保証を提供し、組織内およびその多層サプライチェーン全体での情報フローを保護します。レベル3認証を達成するために、組織は次の24のセキュリティ要件を実施する必要があります:

  1. AC.L3-3.1.2e: 組織管理資産 この管理策は、システムおよびコンポーネントへのアクセスを組織所有または発行されたリソースのみに制限します。個人または非組織デバイスからの不正アクセスを防ぐのに役立ちます。
  2. AC.L3-3.1.3e: 安全な情報転送 この管理策は、接続されたシステム上のセキュリティドメイン間の情報フローを制御するために、安全な情報転送ソリューションを使用します。異なるセキュリティ環境間での送信中に機密データが保護されることを保証します。
  3. AT.L3-3.2.1e: 高度な脅威認識 この管理策は、高度な脅威を認識し対応するための定期的なトレーニングを提供します。組織の高度なサイバー攻撃を検出し軽減する能力を強化します。
  4. AT.L3-3.2.2e: 実践的なトレーニング演習 この管理策は、組織内の異なる役割に合わせた意識向上トレーニングに実践的な演習を含めます。従業員が実際のシナリオでサイバーセキュリティの知識を適用できることを保証します。
  5. CM.L3-3.4.1e: 権威あるリポジトリ この管理策は、承認され実施されたシステムコンポーネントのための権威ある情報源を確立し維持します。構成管理とシステム整合性のための信頼できる参照を提供します。
  6. CM.L3-3.4.2e: 自動検出と修正 この管理策は、誤った構成または不正なシステムコンポーネントを検出し対処するために自動化されたメカニズムを使用します。組織がセキュリティ問題を迅速に特定し解決する能力を強化します。
  7. CM.L3-3.4.3e: 自動化されたインベントリ この管理策は、システムコンポーネントの最新のインベントリを維持するために自動化ツールを使用します。組織のIT環境内のすべての資産の正確な追跡を保証します。
  8. IA.L3-3.5.1e: 双方向認証 この管理策は、システムとコンポーネント間の暗号ベースのリプレイ耐性認証を実施します。システム通信における相互認証を保証することでセキュリティを強化します。
  9. IA.L3-3.5.3e: 信頼されていない資産のブロック この管理策は、信頼されていないシステムコンポーネントが組織のシステムに接続することを禁止するメカニズムを使用します。不正または侵害されたデバイスからの潜在的なセキュリティ侵害を防ぐのに役立ちます。
  10. IR.L3-3.6.1e: セキュリティオペレーションセンター この管理策は、24時間365日のセキュリティオペレーションセンター機能を確立し維持します。セキュリティインシデントの継続的な監視と迅速な対応を保証します。
  11. IR.L3-3.6.2e: サイバーインシデント対応チーム この管理策は、24時間以内に展開可能なサイバーインシデント対応チームを作成し維持します。サイバーセキュリティインシデントへの迅速かつ効果的な対応を可能にします。
  12. PS.L3-3.9.2e: 不利な情報 この管理策は、CUIアクセスを持つ個人に関する不利な情報が得られた場合に組織のシステムを保護します。インサイダー脅威と人員からの潜在的なセキュリティリスクを軽減するのに役立ちます。
  13. RA.L3-3.11.1e: 脅威に基づくリスク評価 この管理策は、リスク評価を導き、セキュリティ決定を通知するために脅威インテリジェンスを使用します。リスク管理プロセスが現在の脅威の状況に整合していることを保証します。
  14. RA.L3-3.11.2e: 脅威ハンティング この管理策は、妥協の指標を検索するための積極的な脅威ハンティング活動を実施します。従来のセキュリティ対策を回避した可能性のある脅威を特定し軽減するのに役立ちます。
  15. RA.L3-3.11.3e: 高度なリスク識別 この管理策は、高度な自動化と分析を使用してリスクを予測し識別します。組織が潜在的なセキュリティ脅威を予測し準備する能力を強化します。
  16. RA.L3-3.11.4e: セキュリティソリューションの根拠 この管理策は、システムセキュリティ計画におけるセキュリティソリューションの根拠を文書化します。セキュリティ決定が十分に正当化され、組織のニーズに整合していることを保証します。
  17. RA.L3-3.11.5e: セキュリティソリューションの有効性 この管理策は、脅威インテリジェンスに基づいてセキュリティソリューションの有効性を定期的に評価します。実施されたセキュリティ対策が進化する脅威に対して効果的であり続けることを保証します。
  18. RA.L3-3.11.6e: サプライチェーンリスク対応 この管理策は、組織のシステムに関連するサプライチェーンリスクを評価し、対応し、監視します。第三者ベンダーやサプライヤーからのリスクを軽減するのに役立ちます。
  19. RA.L3-3.11.7e: サプライチェーンリスク計画 この管理策は、サプライチェーンリスクを管理するための計画を開発し維持します。サプライチェーンにおけるセキュリティ懸念に対処するための体系的なアプローチを保証します。
  20. CA.L3-3.12.1e: ペネトレーションテスト この管理策は、自動化ツールと専門家を使用して定期的なペネトレーションテストを実施します。組織のシステムとネットワークの脆弱性を特定し対処するのに役立ちます。
  21. SC.L3-3.13.4e: 隔離 この管理策は、組織のシステムとコンポーネントに物理的または論理的な隔離技術を使用します。潜在的なセキュリティ侵害を封じ込め、重要な資産を保護するのに役立ちます。
  22. SI.L3-3.14.1e: 整合性検証 この管理策は、信頼の根拠メカニズムまたは暗号署名を使用して重要なソフトウェアの整合性を検証します。ソフトウェアが改ざんされていないことを保証します。
  23. SI.L3-3.14.3e: 専門的な資産のセキュリティ この管理策は、専門的な資産がセキュリティ要件に含まれているか、目的特化型ネットワークで分離されていることを保証します。IoT、OT、その他の専門的なシステムの独自のセキュリティニーズに対処します。
  24. SI.L3-3.14.6e: 脅威に基づく侵入検知 この管理策は、脅威インテリジェンスを使用して侵入検知と脅威ハンティング活動を導き、通知します。組織が高度なサイバー脅威を検出し対応する能力を強化します。

CMMCに準拠する必要がありますか?こちらが完全なCMMCコンプライアンスチェックリストです。

レベル3コンプライアンスの実施と維持のためのベストプラクティス

サイバーセキュリティ成熟度モデル認証(CMMC)2.0の下でレベル3コンプライアンスを実施し維持することは、特に請負業者および下請け業者にとって、国防総省(DoD)契約に関与する組織にとって重要です。CMMC 2.0 レベル3を達成するには、高度なサイバーセキュリティ実践の堅牢な理解と実施が必要です。以下では、これらの要件を満たし維持するのに役立つベストプラクティスを探ります。

1. 徹底的なギャップ分析を実施する

この初期段階では、現在のセキュリティ対策をCMMC 2.0 レベル3の要件と比較して評価します。欠陥を特定することで、組織は改善の優先順位を決定し、CMMC 2.0 レベル3コンプライアンスを達成するためのロードマップを提供します。詳細なギャップ分析は、重要な領域に焦点を当てるだけでなく、リソースの配分にも役立ちます。

2. 堅牢なサイバーセキュリティポリシーフレームワークを開発する

CMMC 2.0 レベル3の管理策は、インシデント対応からユーザーアクセス管理に至るまで、サイバーセキュリティのすべての領域をカバーする十分に文書化されたポリシーを必要とします。明確で包括的なポリシーは、基準と期待を確立し、すべての利害関係者がサイバーセキュリティを維持する上での責任を理解することを保証します。

3. トレーニングと意識向上プログラムを実施する

トレーニングと意識向上プログラムは、組織内のすべての従業員と利害関係者にとって重要です。CMMC 2.0 レベル3の高度な要件を考慮すると、包括的なトレーニングは、従業員がサイバーセキュリティにおける役割を認識し、脅威を認識し対応することを保証します。定期的に更新されるトレーニングプログラムは、セキュリティと警戒の文化を促進します。

4. 多要素認証(MFA)を実施する

MFAは、CMMC 2.0 レベル3の重要な要件です。従来のパスワードを超えた追加のセキュリティ層を追加し、不正アクセスをより困難にします。この管理策は、機密性の高いDoD関連情報を保護するために重要であり、組織のITインフラストラクチャ内で可能な限り適用されるべきです。

5. 定期的なシステム監査と脆弱性評価を実施する

定期的なシステム監査と脆弱性評価は、組織が潜在的なセキュリティ脅威に先んじるのに役立ちます。システムを頻繁に評価することで、組織は脆弱性を特定し、積極的に対処することができます。定期的な監査は、技術と脅威が進化する中で、システムがCMMC 2.0 レベル3の基準に準拠し続けることを保証します。

6. インシデント対応計画を開発する

インシデント対応計画の策定は、CMMC 2.0 レベル3コンプライアンスを達成し維持するためのもう一つの基盤です。組織は、セキュリティ侵害を検出し、管理し、回復するための手順を示した十分に開発されたインシデント対応計画を必要とします。テストされ効果的なインシデント対応計画は、被害を最小限に抑え、通常の業務への迅速な復帰を保証します。

7. サイバーセキュリティの専門家やコンサルタントと協力する

サイバーセキュリティの専門家やコンサルタントとの協力は、CMMC 2.0 レベル3の要件を満たすための貴重な知見と支援を提供します。専門家は、ベストプラクティス、新たな脅威、高度なサイバーセキュリティ技術に関するガイダンスを提供できます。また、厳格な文書化とテストを通じてコンプライアンスを示すのを支援することもできます。

8. 継続的な監視戦略を確立する

継続的な監視は、異常な活動や潜在的な侵害を検出するためのネットワーク活動のリアルタイム追跡と分析を含みます。この積極的なアプローチは、継続的なコンプライアンス状態を維持し、発生する問題に迅速に対処するために重要です。

これらのベストプラクティスを採用することで、組織はサイバーセキュリティ体制を改善し、CMMC 2.0 レベル3の基準を満たし、国家安全保障にとって重要な機密情報を保護することができます。この体系的なアプローチは、CMMC 2.0 レベル3コンプライアンスを達成するだけでなく、サイバー脅威に対する組織全体のレジリエンスを強化します。

CMMC 2.0 レベル3認証: ゴールドスタンダード

CMMC 2.0 レベル3認証は、機密情報を扱うDoD請負業者および下請け業者にとってサイバーセキュリティのゴールドスタンダードを表します。これは、制御されていない分類情報を保護するための高度なサイバーセキュリティ対策を実施するための包括的なフレームワークを提供し、組織の堅牢なセキュリティ実践へのコミットメントを示します。レベル3コンプライアンスを達成するには、アクセス制御、インシデント対応、リスク管理などのさまざまな領域で厳格な管理策を実施するために、かなりの努力とリソースが必要です。しかし、その利益はコストをはるかに上回ります。DoD契約の資格を確保することに加えて、レベル3認証は全体的なセキュリティ体制を強化し、データ侵害やサイバー攻撃のリスクを低減します。

サイバー脅威がますます巧妙化し頻度が増す中、継続的な評価と改善を通じてCMMCコンプライアンスを維持することは、防衛業界での長期的な成功に不可欠です。この課題に取り組み、サイバーセキュリティを業務の中核に据える組織は、脅威が増大する環境で繁栄し、国家の防衛産業基盤の全体的なセキュリティに貢献するための良い位置に立つでしょう。

Kiteworksは防衛請負業者がCMMC 2.0 レベル3コンプライアンスを達成するのを支援します

CMMC 2.0 レベル3コンプライアンスを目指す防衛請負業者にとって、Kiteworksは大きなスタートを提供できます。

Kiteworksのプライベートコンテンツネットワークは、FIPS 140-2レベルで検証されたセキュアなファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTPマネージドファイル転送、次世代デジタル著作権管理ソリューションを統合し、組織がファイルを出入りする際にすべてのファイルを制御、保護、追跡できるようにします。

Kiteworksは、CMMC 2.0 レベル2の要件の約90%をすぐにサポートします。その結果、DoD請負業者および下請け業者は、適切な機密コンテンツ通信プラットフォームを確保することで、CMMC 2.0 レベル2の認定プロセスを加速できます。

Kiteworksを使用することで、DoD請負業者および下請け業者は、機密コンテンツ通信を専用のプライベートコンテンツネットワークに統合し、CMMC 2.0の実践に整合した自動化ポリシー制御と追跡およびサイバーセキュリティプロトコルを活用します。

Kiteworksは、次のような主要な機能と特徴を備えた迅速なCMMC 2.0コンプライアンスを可能にします:

  • SSAE-16/SOC 2、NIST SP 800-171、NIST SP 800-172を含む、米国政府の主要なコンプライアンス基準および要件に基づく認証
  • FIPS 140-2 レベル1の検証
  • 中程度の影響レベルCUIに対するFedRAMP認可
  • データの保存時にAES 256ビット暗号化、データの転送時にTLS 1.2、唯一の暗号化キー所有権

Kiteworksの展開オプションには、オンプレミス、ホスト型、プライベート、ハイブリッド、FedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用することで、機密コンテンツへのアクセスを制御し、外部で共有される際には自動化されたエンドツーエンド暗号化、多要素認証、セキュリティインフラストラクチャ統合を使用して保護し、すべてのファイル活動、つまり誰が何を誰に、いつ、どのように送信するかを確認、追跡、報告します。最後に、GDPR、HIPAA、CMMC、サイバーエッセンシャルプラス、IRAPなどの規制や基準に準拠していることを示します。

Kiteworksについて詳しく知りたい方は、今日カスタムデモをスケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks