サプライチェーン全体でCMMCコンプライアンスリスクを軽減する方法
2025年から、CMMC 2.0は国防総省(DoD)との業務における規制要件となります。英国および米国に拠点を置く請負業者は、コンプライアンス要件の実施を進めていますが、あなたのパートナーも同様に取り組んでいますか?
サプライチェーンの重要なリンクとして、防衛産業基盤(DIB)の請負業者および下請業者は、DoDに対する潜在的なサイバーセキュリティリスクを表しています。請負業者がCMMC 2.0に準拠したい場合、自身のサプライチェーンを評価し、高いセキュリティ基準を満たしていることを確認することが不可欠です。
この記事では、サプライチェーンのリスクを軽減するために、パートナーのセキュリティとコンプライアンスの姿勢を評価するための4つの実践的なステップを紹介します。
CMMCコンプライアンスがサプライチェーンを超越する理由
サイバーセキュリティの脅威はますます巧妙化しており、第三者のサプライヤーへの侵害は、DoDおよび米国の国家安全保障にリスクをもたらす可能性があります。最近の国防省(MoD)のデータ侵害では、第三者の給与システムプロバイダーを通じて人事データがアクセスされたことが、サプライチェーンのセキュリティの重要性を証明しています。
したがって、政府機関はしばしば、サプライヤーが特定のサイバーセキュリティ基準を満たすことを要求する規制を設けています。例えば、MoDはサイバー脅威から防衛サプライチェーンを保護するために設計された防衛サイバー保護パートナーシップ(DCPP)を持っています。
CMMC 2.0は、DoDや請負業者、下請業者と協力する組織に対しても同様の影響を及ぼします。CMMCガイドラインは次のように述べています:
「請負業者および下請業者が同じ種類のFCIおよびCUIを取り扱っている場合、同じCMMCレベルが適用されます。プライムが選択された情報のみを下請業者に流す場合、下請業者にはより低いCMMCレベルが適用されることがあります。」
その結果、DIB請負業者は自身のサプライチェーンがもたらすサイバーリスクを評価することを検討すべきです。そうしないと、DoDとの契約が危険にさらされる可能性があります。実際、MoDやDoDのパートナーのような他の大規模な防衛組織が、この理由で自社のベンダー契約にCMMC 2.0要件を正式に統合する可能性が高いです。
CMMC 2.0の下でサプライチェーンリスクを軽減する4つの方法
サプライチェーンがDoDのCMMC 2.0要件に一致するようにするために、請負業者は次の4つのステップを実行してサイバーリスクを軽減するべきです:
1. 現在のパートナーの自己評価を確認する
CMMC 2.0に備えて、組織は自身のコンプライアンス状況を確認する必要があります。組織は、サイバーセキュリティの実践の成熟度、透明性、意識について評価されます。
自身のサプライチェーンがもたらす潜在的なリスクを管理するために、これらの原則をベンダーのサイバー姿勢を評価する際にも適用するべきです。CMMCのセキュリティ要件に対するギャップ分析を実施し、第三者サプライヤーが取るべき行動を特定します。
回答すべき質問:
- サプライチェーンのメンバーはCMMCコンプライアンスを維持していますか?
- これを証明していますか?
- 今後のCMMC評価に備えていますか?
- 自分自身のCMMCコンプライアンスを証明する準備はできていますか?
2. 定期的に第三者と協力する
DoDは、インシデント、脅威情報、インテリジェンス共有、技術支援などについて、タイムリーで定期的な報告を要求します。DIB請負業者および下請業者は、上流および下流のベンダーをサポートし、CMMC基準を維持するために一貫して協力し、コミュニケーションを取ることができます。
DIB請負業者は、第三者サプライヤーがCMMCの期待を理解していることを確認するべきです。また、自社のCMMCポリシーや手順を共有し、サプライチェーンがそれに一致するように支援します。
CMMC評価の前に下請業者をレビューすることで、DIB請負業者は非準拠の組織を改善するための時間を確保したり、これらの契約を終了することができます。
3. 小規模なサプライヤーと提携する
DoDの小規模な下請業者は、特にこれらの基準を満たすためにインフラや運用に大きな変更が必要な場合、コンプライアンスを満たすためのリソースを持っていないかもしれません。DoDの直接のパートナーは、追加のガイダンスとサポートを提供する機会があります。これには以下が含まれるかもしれません:
- 監査とギャップ分析の実施
- CMMC準拠ツールの推奨を含む是正計画の作成
- フレームワークとポリシーテンプレートの共有
- 内部チームへのトレーニングの提供
- 継続的な評価サポート
4. 組織全体でCMMCコンプライアンスを維持する
第三者サプライヤーが準拠していることを確保するには、まず自らが模範を示すことから始めます。DIB請負業者は、まず自社のコンプライアンスに焦点を当て、CMMC 2.0基準を満たすためのすべての実践とポリシーを整備していることを確認するべきです。
DIB請負業者は、パートナーとの間の通信のセキュリティを管理することもできます。エンドツーエンドのメール暗号化、詳細なアクセス制御、セキュアなファイル共有、またはマネージドファイル転送などのセキュアなコンテンツ通信ツールは、第三者と共有または送信される際に機密データを保護します。
互換性のあるソリューションを選択することで、データが送信される相手に関係なくセキュリティ層が維持され、内部または外部の関係者が許可なくアイテムにアクセス、ダウンロード、共有、編集することを防ぎます。
Kiteworksがどのように役立つか
Kiteworksは、CMMC 2.0レベル2の要件の約90%を標準でサポートするセキュアなファイルおよびメールデータ通信プラットフォームです。FedRAMP中程度の認可を受けており、KiteworksはNIST SP 800-171のコンプライアンス要件を可能にします。
Kiteworksのプライベートコンテンツネットワークは、サプライチェーン全体をサポートします。その強力なセキュリティとアクセス制御機能により、防衛請負業者は、CUIやその他の機密データを保護しながら、メール、ファイル共有、ファイル転送、その他のチャネルを通じて機密コンテンツを内部およびサプライチェーン全体で共有することができます。
Kiteworksを使用することで、すべてのパートナー、請負業者、サプライヤーとコミュニケーションを取り、サイバーセキュリティリスクを最小限に抑えることができます。
CMMCと規制データ環境の未来に備えましょう。
英国に拠点を置くDIB請負業者向けの「セキュアなデータ通信ソリューション」ガイドをダウンロードして、データとサイバーセキュリティのトレンドと、それに対処するために必要なソリューションについての知見を得ましょう。