CMMC 2.0 レベル2監査に向けての期待事項
CMMCコンプライアンスには、厳格なCMMCコンプライアンス監査を受けて合格することが含まれます。このウェビナーでは、CMMCコンプライアンスの専門家が、CMMC監査を成功裏に完了するためのベストプラクティスを提供します。推奨事項には、認定第三者評価機関(C3PAO)をどこで見つけ、どのように効果的に審査するか、行動計画とマイルストーン(POA&M)をどのように開発し使用するか、そして防衛請負業者がCMMCコンプライアンスを達成するための多くの戦略が含まれています。
防衛請負業者におけるCMMCコンプライアンスの課題
CMMCコンプライアンスは、防衛請負業者に対して、制御されていない分類情報(CUI)や連邦契約情報(FCI)のような機密情報のセキュリティと適切な取り扱いを確保することを要求します。以下は、防衛産業基盤(DIB)の請負業者がCMMCコンプライアンスの文脈で機密コンテンツを交換する際に直面する最大の課題のいくつかです。
セキュアなメール 通信
メールは一般的な通信手段ですが、傍受や不正アクセスのリスクがあります。このリスクを軽減し、CMMCコンプライアンスを遵守するために、DIB請負業者は、暗号化やデジタル署名などのセキュアなメールプロトコルを実装し、メールで送信される機密情報の保護と整合性の確認を行う必要があります。さらに、FedRAMP中程度の認可を受けたメールソリューションを使用することを検討すべきです。これにより、サービスプロバイダーが米国政府の厳格なセキュリティ要件を満たしていることが保証されます。
CUIの識別 とラベリング
制御されていない分類情報(CUI)は、保護が必要な広範な機密情報を含んでおり、CMMCコンプライアンスの要件です。防衛請負業者は、デジタルおよび物理的な文書、メール、デジタル資産を含むさまざまな形式でCUIを正しく識別し、ラベル付けするプロセスを開発し、実施する必要があります。CUIを適切に識別しラベル付けすることで、機密情報が適切なレベルの保護を受け、許可された個人のみと共有されることを保証し、CMMCコンプライアンスを促進します。
セキュアなファイル共有 とコラボレーション
DIB請負業者は、DoDの同僚と日常的にCUIやFCIについて協力しています。CMMCコンプライアンスは、これらのコラボレーションがセキュアであることを要求します。したがって、DIB請負業者は、エンドツーエンドの暗号化、アクセス制御、監査機能を提供するセキュアなファイル共有ソリューションを使用する必要があります。ファイル共有プラットフォームを選択する際には、FedRAMP中程度の影響レベル情報またはそれ以上の認可を受けたソリューションを選ぶべきです。これにより、保護措置が最高レベルのセキュリティとコンプライアンス基準に準拠していることが保証されます。
大容量または一括ファイルのマネージドファイル転送
CMMCコンプライアンスは、DIB請負業者とDoDクライアント間でCUIおよびFCIを含む大容量または一括ファイルのセキュアな転送を義務付けています。セキュアなマネージドファイル転送ソリューションには、転送中および保存中のデータの暗号化、アクセス制御、詳細な権限設定、詳細な監査ログなどの機能が含まれているべきです。理想的には、マネージドファイル転送ソリューションは、FedRAMP中程度の影響レベル情報の認可を受けているべきで、最高レベルのセキュリティとコンプライアンスを満たしていることを保証します。
効率的にコンプライアンスを実証
メール、SFTP、ファイル共有プラットフォームなどのほとんどの通信ツールはサイロ化されており、別々の監査ログを生成します。これらのログをCMMCコンプライアンス監査の一環として集約し、調整することは、事実上不可能でないにしても、非常に困難で時間のかかる作業です。対照的に、組織に出入りするCUIおよびFCIを含むすべてのファイルを追跡する統合された包括的な監査ログは、貴重な時間とコストを節約することができます。
KiteworksでCMMC 2.0コンプライアンスの旅を加速
機密DoD通信を管理、保護、追跡
CUIおよびFCIを送信、共有、受信、または保存する際にCMMCコンプライアンスを実証します。詳細なアクセス制御、多要素認証、エンドツーエンド暗号化、およびセキュアリンクにより、この機密コンテンツへのアクセスが許可されたユーザーのみに制限されます。セキュアメール、セキュアファイル共有、セキュアマネージドファイル転送、セキュアウェブフォーム、およびAPIを1つのプラットフォームに統合し、メタデータを統一し、セキュリティポリシーと制御を標準化します。最後に、ATP、DLP、CDR、LDAP/AD、SIEMなどのセキュリティ投資のための単一の統合ポイントにより、防衛請負業者および下請け業者は、CMMCコンプライアンスのために機密コンテンツを保護します。
FedRAMP展開でCMMCコンプライアンスを迅速化
クラウドプラットフォームがCMMCコンプライアンスに不可欠な325のNIST 800-53セキュリティ制御を満たしていることを証明する時間とコストを避け、米国連邦政府がすでに承認したKiteworksのFedRAMP Moderate Authorizedプライベートコンテンツネットワークを採用します。「FedRAMP相当」と主張するベンダーとは異なり、Kiteworksは定期的なペンテストと従業員スクリーニングを受け、強力な暗号化、物理的セキュリティ、インシデント対応計画などでバックアップされています。FedRAMP Moderate Authorizationは、防衛請負業者にセキュリティ制御の確かな証拠を提供し、重要なCMMC要件を満たし、CMMCコンプライアンスを加速します。
包括的なアクセス制御でCUIを保護
Kiteworksプラットフォームが統合するすべての通信チャネルを通じて流れるCUIを保護するために、単一のユーザーロールとポリシーを中央で管理します。フォルダー、メール、SFTP、マネージドファイル転送フロー、ウェブフォーム、およびクライアント、機能、リポジトリ、ドメインに対するデフォルトの最小権限アクセス制御で、意図しないまたは悪意のあるCUIの露出リスクを軽減します。Kiteworksを使用すると、管理者は外部ユーザーに対して詳細なポリシー制御とロールベースの権限を適用し、CUIを不正アクセスから保護します。これはCMMCコンプライアンスの重要な要件です。
シームレスなエンドツーエンドメール暗号化でCUIを保護
強力な暗号化アルゴリズムで、DoDのステークホルダーとメールで共有するCUIを保護します。メール暗号化にセキュリティポリシーを適用し、各メールを暗号化するかどうかの判断を自動化します。自動化された鍵交換により、ユーザーの利便性が確保され、従業員はプラグインやトレーニングなしで通常のメールクライアントを使用して作業できます。エンドツーエンド暗号化により、メールの内容と添付ファイルは送信クライアントから受信クライアントまで暗号化され、プライベート復号鍵は受信クライアントに保持されるため、サーバー側のベンダーや攻撃者は復号できません。最後に、DLPをアウトバウンドトラフィックに適用し、アンチマルウェアとアンチフィッシングをインバウンドトラフィックに適用します。C3PAOの前で素晴らしい印象を与え、CMMCコンプライアンスに向けてさらに一歩進みます。
すべてのファイル活動を追跡し、CMMCコンプライアンス監査を簡素化
誰が、いつ、どのようにCUIまたはFCIを送信したかを確認し、組織に出入りする機密コンテンツを追跡し、疑わしい活動を検出し、異常に対処します。すべてのユーザー、自動化、および管理者の活動を含む、コンテンツ、権限、構成に関するすべてのアクションの包括的で不変の監査ログでCMMCコンプライアンス監査を加速します。組み込みツールを使用してイベントを分析、アラート、報告するか、syslogまたはSplunk Forwarderを介してSIEMに転送して、より深い分析を行います。
厳密に管理された構成で最大限のセキュリティを維持
CMMCコンプライアンスに必要な最小限の機能の原則に従い、必要最小限のポートのみを公開し、すべての不要なサービスを無効にします。強化された仮想アプライアンスで保護されているため、Kiteworksはユーザーや管理者がオペレーティングシステムにアクセスしたり、ソフトウェアをインストールしたりすることを防ぎ、職務の厳格な分離を強制し、すべての構成変更をログに記録します。そして、CMMCコンプライアンス監査の準備をする際には、構成と文書化された制御を検証するために必要な報告を提供します。
データ管理を妥協せずに生産性を向上
元のソースドキュメントの管理を放棄することなく、機密ファイルでの安全な外部コラボレーションを可能にすることで、CUIを保護し、CMMCコンプライアンスを実証します。Kiteworks SafeEDIT次世代DRMを使用すると、CUIおよびFCIは環境内に安全に保管されます。ファイルの編集可能なビデオレンダリングをストリーミングすることで、所有権を移転することなく、CUIはセキュリティ境界を離れることがなく、最高レベルのセキュリティ、制御、追跡を提供します。ストリーミングされたファイルレンダリングの編集とコラボレーションのためのネイティブアプリケーション体験で、厳格なデータ保護を維持しながらシームレスなリモートワークフローを楽しむことができます。
CMMC よくある質問
CMMC 2.0 は、2021年1月に初めて発表されたサイバーセキュリティ成熟度モデル認証(CMMC)のアップデートです。これは、国防総省(DoD)のサプライチェーンに属する組織が、連邦契約情報(FCI)および制御されていない分類情報(CUI)を適切なレベルで保護することを求める方法です(CMMC 2.0には3つのレベルがあります)。CMMC 2.0は、元の5つの評価のうち2つを削除し、請負業者のコストを削減するための評価プロトコルを改善し、行動計画とマイルストーン(POA&M)を通じて認証へのより柔軟な道を導入することで、CMMCの成熟度レベルを再構築しています。
NIST 規格への準拠は、FAR 52.204-21 や DFARS 252.204-7012 などの条項を含めることで契約要件として課されます。CMMC の要件は、請負業者の自己評価、または CMMC 第三者評価認定機関(C3PAO)による第三者評価を通じて、DFARS 条項で特定された適用可能な NIST 規格が満たされているかどうかを判断します。CMMC 2.0 では、レベル 2 の評価は NIST SP 800-171 規格に対して行われ、レベル 3 の評価は NIST SP 800-172 要件のサブセットに基づいて行われます。
CMMC C3PAO は、CMMC 認定機関(CMMC-AB)によって認定され、認可された CMMC 第三者評価認定機関(C3PAO)であり、CMMC 規格への準拠を証明するための認証を求める請負業者および下請け業者の評価を行います。C3PAO は、防衛産業基盤(DIB)サプライチェーン内の企業が CMMC 規格のサイバーセキュリティ要件を満たしていることを評価し、認証する責任を負っています。彼らの責任には、CMMC 規格への準拠を示す証明書の評価と発行が含まれます。C3PAO は、DoD のサイバーセキュリティ成熟度モデルに基づいて、請負業者または下請け業者の監査および自己評価報告書をレビューし、認証する必要があります。また、必要に応じて是正措置を推奨し、実施する能力も求められます。
CMMC 2.0 は、防衛サプライチェーン内のすべての第三者、請負業者、ベンダー、および国防総省(DoD)の支援に関連するその他の契約された第三者に適用されます。DoD と取引を行うすべての民間組織は、取り扱いおよび交換する CUI および FCI の種類に基づいて、CMMC 2.0 に準拠する必要があります。対象となるエンティティのリストには以下が含まれます:
- DoD 主契約者
- DoD 下請け業者
- DIB のすべての階層のサプライヤー
- DoD の中小企業サプライヤー
- CUI を処理、取り扱い、または保存する商業サプライヤー
- 外国のサプライヤー
- IT マネージドサービスプロバイダーなど、CUI を取り扱う DoD 請負業者のチームメンバー
Kiteworks によれば、CMMC 第三者評価認定機関(C3PAO)と協力することは、CMMC 2.0 規格の下で認証を求める組織にいくつかの利点を提供します:
- 専門知識: 認定された第三者評価者は、複数の業界にわたるサイバーセキュリティプログラムの評価に豊富な経験を持ち、CMMC コンプライアンスを達成するためのベストプラクティスに関する貴重な知見を提供できます。
- 客観性: 独立した第三者評価者は、組織のセキュリティ体制に関する偏りのないフィードバックを提供し、特定の CMMC コントロールを満たすために改善が必要な領域を特定し、CMMC コンプライアンス監査を通過し、CMMC コンプライアンスを達成するのに役立ちます。
- コスト削減: 認定された第三者評価者と協力することで、サイバーセキュリティプログラムの評価、CMMC コンプライアンス監査の実施、または CMMC コンプライアンスの証明に専門知識を持たない内部スタッフやコンサルタントを雇うよりも、時間と費用を節約できます。
- 効率性: 認定された第三者評価者は、組織のセキュリティ体制のギャップを迅速に特定し、CMMC コンプライアンスの準備に費やす時間を短縮するのに役立ちます。
- 安心感: 独立した第三者評価者が DoD サプライヤーのサイバーセキュリティプログラムをレビューすることで、組織が CMMC コンプライアンスを達成するために必要なすべてのステップを踏んでいることを確認し、安心感を提供します。