Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > CMMCコンプライアンス > CMMC対応のMFT: マネージドファイル転送ソリューションをCMMC準拠にする方法
Blog Banner - MFT for CMMC Ensure Your Managed File Transfer Solution is CMMC Compliant

CMMC対応のMFT: マネージドファイル転送ソリューションをCMMC準拠にする方法

by Danielle Barbour updated 1月 13, 2025 CMMCコンプライアンス
Reading Time: < 1 minutes

あなたのマネージドファイル転送はCMMCに準拠していますか?準拠していない場合、現在または将来の契約を失う可能性があります。

CMMCは誰に適用されますか?CMMC、つまりサイバーセキュリティ成熟度モデル認証は、米国国防総省と協力するすべての人、請負業者や下請け業者を含むすべての人に適用されます。最初に導入された際には、CMMCの実施は30万以上の組織に影響を与えました。

CMMC認証プロセスは厳しいものですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。

CMMCとは何か、そしてそれが私のビジネスにどのように影響するのか?

CMMCは、国防総省(DoD)のサプライチェーンで展開されている比較的新しいサイバーセキュリティ規制の体系です。特別出版物800-171、連邦情報処理規格(FIPS)200、および米国国立標準技術研究所(NIST)によって発行された他の文書に基づいて、CMMCはサプライチェーンの請負業者に対し、制御されていない分類情報(CUI)を扱う能力を決定する成熟度モデルを提供します。

CUIはデータの特別な指定です。2010年に当時のバラク・オバマ大統領による大統領令で作成されたCUIは、分類されていない(したがって軍事または連邦法の対象ではない)情報のカテゴリーを定義し、防衛または行政機関の運営において重要な役割を果たします。NIST 800-171とCMMCは、CUIを保護するために必要な要件を概説しています。

サイバー請負業者の成熟度を評価するために、CMMCはサイバーセキュリティの衛生状態(実施された技術的セキュリティプラクティスの数を含む)とプロセス(組織のセキュリティを管理する能力)によって決定される5つのレベルに基づく階層的アプローチを提供します。

CMMC 2.0フレームワークには3つのCMMC成熟度があります:

  1. CMMCレベル1(基礎): CMMCレベル1は、企業の役員による証明を伴う年次自己評価を必要とします。このレベルは、FAR条項52.204-21で指定されたFCIの基本的な保護要件を包含しています。
  2. CMMC 2.0レベル2(高度): CMMCレベル2はNIST SP 800-171と整合しています。重要な国家安全保障情報を送信、共有、受信、保存する請負業者には、3年ごとの第三者評価が必要です。これらの第三者評価はC3PAOによって実施されます。レベル2に該当する選択された請負業者は、企業の証明を伴う年次自己評価のみが必要です。このレベルは、DFARS条項252.204-7012に基づくNIST SP 800-171 Rev 2で指定されたCUIのセキュリティ要件を包含しています。
  3. CMMC 2.0レベル3(エキスパート): CMMCレベル3はNIST 800-172と整合しており、3年ごとの政府主導の評価が必要です。レベル3にはNIST SP 800-172からの24の要件が含まれます。

CUIが関与するコンテキストでファイルを転送する場合、どのファイル転送ソリューションも少なくともCMMCレベル2の最低セキュリティ要件を満たす必要があることは確かです。

MFTはCMMCコンプライアンスにどのように影響しますか?

CMMC規制は、データを保護するための単純な技術的セキュリティ対策以上のものを要求するため、準拠したマネージドファイル転送(MFT)ソリューションは、多くのデータ制御、セキュリティ、および監査機能を提供します。このため、多くの請負業者は、Kiteworks Secure MFTのようなマネージドファイル転送ソリューションを選択して、エンタープライズファイル転送を処理します。

CUIを扱うために必要な最低レベルであるCMMCレベル2を考慮してください。このレベルでは、マネージドファイル転送ソリューションには以下の機能が含まれている必要があります:

  • 保存中および転送中のすべてのデータの暗号化:このレベルでの一般的な暗号化アルゴリズムには、AES-128またはAES-256(保存中のデータ用)およびTLS 1.2以上(転送中のデータ用)が含まれます。
  • 十分なアクセス制御:コンプライアンスを維持するMFTソリューションには、強力なアクセス制御が含まれます。これには、システムアクセスを認可されたユーザーに制限する方法、トランザクションタイプに基づくアクセス制限、ログイン試行の制限、ユーザー特権の厳格な制御、システム上のトランザクション数の確認または制御が含まれます。
  • 監査ログCMMCは、システム上のユーザーの行動に対する監査ログを提供するITシステムを求めています。これには、システム全体でのステップを一意に追跡する能力、不変のログを法医学分析のために維持する能力、ログに正確なタイムスタンプを付ける能力、ログイベントに基づいてアラートを作成する能力、監査情報を改ざんや破損から保護する能力、監査ログに基づいてレポートを生成する能力が含まれます。
  • 報告と文書化:MFTは、システム内の活動を報告する方法を含むべきであり、通常は報告と文書化の取り組みをサポートするダッシュボードを通じて行われます。これらの文書は監査要求に対応するために必要なことが多いですが、リスク管理のような重要で必要なプラクティスを知らせることもあります。

重要なポイント

  1. CMMCコンプライアンスの適用性と重要性

    CMMCは、米国国防総省と協力するすべての請負業者および下請け業者に適用されます。非準拠は、現在または将来の契約の喪失につながる可能性があります。

  2. CMMCコンプライアンスのレベル

    CMMC 2.0フレームワークには、基礎、高度、エキスパートの3つの成熟度レベルが含まれており、それぞれに特定の要件があります。制御されていない分類情報(CUI)を扱うには、最低でもCMMCレベル2のコンプライアンスが必要です。

  3. コンプライアンスのための必須MFT機能

    CMMCレベル2の要件を満たすために、MFTソリューションは強力な暗号化、アクセス制御、および詳細な監査ログを提供する必要があります。これらの機能は、安全なファイル転送とDoDのセキュリティ要件への準拠を保証します。

  4. 追加のMFT機能

    CMMC準拠のMFTソリューションは、高ボリュームおよびスケジュールされた転送、スケーラビリティ、および他のエンタープライズツール(例:SIEMシステム)との統合をサポートする必要があります。これにより、セキュリティと使いやすさの両方が向上します。

  5. 包括的なCMMCコンプライアンスのためのKiteworks Secure MFT

    Kiteworksは、AES-256暗号化、FedRAMP認証、包括的な監査ログ、およびCISOダッシュボードのようなデータ可視化ツールなどの主要機能を提供します。

さらに、準拠したMFTは高性能なエンタープライズワークロードにも対応する必要があります:

  • スケジュールおよびバッチ転送:大容量ファイル転送や高ボリュームのバッチ転送を処理しながら、速度と機敏性を維持することは、MFTのようなファイル転送を使用する主な理由です。MFTはまた、これらの転送をスケジュールすることができ、ネットワーク集約型の転送を営業時間外にオフロードする重要な目的を果たすことができます。
  • スケーラビリティ:MFTは、戦略的な転送とデータ監視が組織のニーズに応じて大きくまたは小さく柔軟に対応できるスケーラブルなファイル転送スキーマのための堅固なバックボーンを提供します。
  • エンタープライズ統合:適切な統合を備えたMFTは、その価値を金に換えることができます。生産性ツール、セキュリティ情報およびイベント管理(SIEM)ソリューション、クラウドプラットフォーム、およびクラウドコンピューティングアプリケーションとの機能を組み込むことができるMFTは、組織がそのデータを効果的に活用する方法を拡張します。

防衛請負業者がCMMC準拠のマネージドファイル転送ソリューションに求めるものは何ですか?

MFTとコンプライアンスに関して、組織は次の2つの基準に基づいてソリューションを評価します:

  • 機能とエンタープライズツール:このツールは私のビジネスに何をもたらすのか?データを有意義に活用するのにどのように役立つのか?インテリジェンスと知見、柔軟性とスケーラビリティの観点で何をもたらすことができるのか?
  • コンプライアンスとセキュリティ:このMFTはCMMCに沿ったセキュリティ対策をどのように提供するのか?技術的対策、管理的制御、物理的セキュリティ、またはそれら3つの組み合わせを提供するのか?

これを念頭に置いて、MFTソリューションは次のすべてのボックスをチェックする必要があります:

  1. 技術が望ましいCMMC成熟度レベルを満たしていること。
  2. 技術が広範な監査とログを提供すること。
  3. 技術が生産性統合や組み込みダッシュボードのような機能を含み、システムの使用方法に対する制御をより多く提供すること。
  4. 技術が詳細なスケジューリングと追跡、高ボリューム転送のような強力なMFT制御をサポートすること。

CMMCコンプライアンスのためのKiteworks MFT

CMMCに関して、防衛請負業者および下請け業者は、エンタープライズの使いやすさと機能性を犠牲にすることなく、CMMC要件を満たすMFTプロバイダーと協力する必要があります。Kiteworksのプライベートコンテンツネットワークは、安全で準拠した技術を備えた最先端のMFT機能を組織が活用するのを支援します。

Kiteworksを使用すると、防衛請負業者は次のことができます:

  • セキュリティとコンプライアンス:Kiteworksは、保存中のデータに対してAES-256暗号化を使用し、転送中のデータに対してTLS 1.3を使用します。その強化された仮想アプライアンス、詳細な制御、認証、および他のセキュリティスタック統合、包括的なログと監査により、組織は効率的にコンプライアンスを達成できます。
  • 監査ログ:Kiteworksの不変の監査ログを使用すると、組織は攻撃を早期に検出し、法医学を実行するための正しい証拠の連鎖を維持できることを信頼できます。システムはすべてのコンポーネントからのエントリを統合し標準化するため、その統一されたSyslogとアラートはセキュリティオペレーションセンター(SOC)チームの貴重な時間を節約し、コンプライアンスチームが監査の準備をするのを助けます。
  • シングルテナントプライベートクラウド:ファイル転送、ファイルストレージ、およびアクセスは、オンプレミス、インフラストラクチャー・アズ・ア・サービス(IaaS)リソース、またはKiteworksクラウドサーバーによってホストされるクラウドに展開された専用のKiteworksインスタンスで行われます。つまり、共有ランタイム、データベースやリポジトリ、リソース、またはクロスクラウドの侵害や攻撃の可能性はありません。Kiteworksはまた、FedRAMPの中程度の影響レベル情報に対して認可されており、FedRAMPコンプライアンスは、CMMCレベル2の基盤であるNIST 800-171の要件を満たすため、CMMCコンプライアンスプロセスを簡素化します。
  • スケーラビリティとコスト統合:集中管理、ログ、および管理は、管理時間とコストを節約します。すべてのKiteworksサーバーは、セキュアで最良のファイル共有とセキュアメールをシームレスに装備しています。
  • シームレスな自動化:Kiteworksプラットフォームは、SFTPやファイル共有、AWS S3のような他のリポジトリへのコンテンツ転送を促進するためにMFT自動化をサポートします。
  • セルフサービスの使いやすさ:ビジネスユーザーは、Kiteworks SFTPサーバーのバックエンドに、馴染みのあるウェブファイル共有フォルダを通じてアクセスします。管理者によって委任された従業員は、新しいパートナーのための新しいフォルダツリーを作成したり、新しいデータ主体のために新しいフォルダをネストしたりするためにフォルダを管理します。
  • データの可視性と管理:私たちのCISOダッシュボードは、組織にデータの概要を提供します:どこにあるのか、誰がアクセスしているのか、どのように使用されているのか、CMMCに準拠しているかどうか。CISOダッシュボードは、ビジネスリーダーがセキュリティと規制要件に関する情報に基づいた意思決定を行うのを支援します。

CMMCコンプライアンスとマネージドファイル転送について詳しく知るには、Kiteworksのカスタムデモを今すぐスケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks