CMMC: サイバーセキュリティ成熟度モデル認証

CMMCは進化を続けていますが、CMMC認証とは何か、その更新がどのように影響するかを常に把握しておくことが重要です。

CMMC認証プロセスは厳しいものですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。

CMMCとは何ですか？サイバーセキュリティ成熟度モデル認証は、国防総省の機密データを保護するために、国防総省の請負業者が特定のサイバーセキュリティレベルを満たすことを要求する標準です。

CMMCとは何ですか？

サイバーセキュリティ成熟度モデル認証（CMMC）は、防衛産業基盤（DIB）内で制御されていない分類情報（CUI）を保護するための統一された標準です。これは、組織のサイバーセキュリティ慣行を評価するためのフレームワークであり、国防総省（DoD）がこれらの慣行がNIST SP 800-171で定められた要件を満たしていることを認証することを可能にします。CMMCは、サイバー脅威からCUIを保護し、請負業者が同じサイバーセキュリティポリシーと手順に従うことを保証するために設計されており、DoDと協力するすべての組織に必要です。

CMMCフレームワークとは何ですか？

サイバーセキュリティ成熟度モデル認証（CMMC）は、米国国防総省によって作成された、防衛請負業者のサプライチェーンコンプライアンスとセキュリティの取り組みを支援するための簡素化された集中型サイバーセキュリティフレームワークです。

CMMCフレームワークを理解することは、防衛請負業者にとって重要です。なぜなら、それは機密データを保護し、コンプライアンスを確保するために必要なサイバーセキュリティ標準と慣行を概説しているからです。CMMCは、階層化されたサイバーセキュリティフレームワークを義務付けることで、防衛セクターのセキュリティ姿勢を強化するように設計されています。このフレームワークは、DoDおよび関連機関と協力する請負業者にとって不可欠であり、取り扱うデータの機密性に基づいて実施されるべきサイバーセキュリティの衛生状態とプロセスのレベルを指定しています。

以前の規制では、請負業者が自らのサイバーセキュリティ対策を自己認証することが許可されていましたが、CMMCフレームワークは、基本的なサイバー衛生要件から高度なセキュリティプロトコルまでの階層化されたコンプライアンスシステムを導入し、すべての防衛請負業者が国家安全保障に重要な非分類情報と制御されていない分類情報を保護するためのサイバーセキュリティ標準の基準を満たすことを保証します。

2019年に導入されたCMMCフレームワークは、防衛請負業者のサイバーセキュリティ姿勢を強化し、連邦契約情報（FCI）および制御されていない分類情報（CUI）を保護するために必要なセキュリティレベルを確保するために設立されました。NIST 800-171ガイドラインに基づく以前の自己認証プロセスとは異なり、CMMCフレームワークはコンプライアンスを検証するために第三者評価を義務付け、サイバーセキュリティの準備と回復力のための構造化された基準を設定することによって「CMMCとは何か」という重要な質問に答えています。

CMMCフレームワークは、防衛請負業者がサイバーセキュリティコンプライアンスを確保する方法において重要な転換点を示しています。以前は自己証明に依存していましたが、CMMCフレームワークは、サイバーセキュリティ標準へのコンプライアンスを検証するために第三者監査を必要とする構造化されたモデルを導入しています。このフレームワークは、国防総省のサプライチェーン全体でサイバーセキュリティ対策を強化するという国防総省のコミットメントを強調し、CMMCとは何か、その防衛請負業者への影響を理解することの重要性を浮き彫りにしています。

2021年11月、DoDはCMMC 2.0フレームワークを発表し、防衛請負業者のサイバーセキュリティ標準における重要な進化を示しました。以下でCMMC 2.0フレームワークで導入された強化点を詳しく探ります。

CMMCフレームワークの範囲は何ですか？

CMMCフレームワークの範囲は、カバーされた請負業者（組織）の環境で保存または処理されるすべての連邦契約情報（FCI）および制御されていない分類情報（CUI）のセキュリティをカバーし、組織が実施するすべての活動に適用されます。プロセスと手順は、FCIおよびCUIを処理、保存、または送信する請負業者の組織のすべての領域のセキュリティに対処し、ネットワーク、システム、スタッフ、その他の資産を含みます。

CMMIとCMMC: 防衛請負業者にはどちらが必要ですか？

能力成熟度モデル統合（CMMI）は、組織に効果的なプロセス改善のための基本要素を提供するプロセス改善アプローチです。CMMIは、組織がプロセスパフォーマンスを向上させ、組織のプロセスを統合するのを助けます。航空宇宙、防衛、ソフトウェアエンジニアリング、金融、政府、医療など、さまざまな業界で使用されています。CMMIは、プロセス改善の段階を定義し、プロセス実施の6つの主要分野における組織の成熟度を評価するフレームワークです。

サイバーセキュリティ成熟度モデル認証（CMMC）は、DoD請負業者および下請け業者のネットワークで処理または保存される非分類データをより適切に保護するために米国国防総省（DoD）によって作成された認証です。CMMC認証はDoD契約に必要であり、機密データおよび情報システムのための追加のセキュリティ層を提供することを目的としています。CMMCは、制御されていない分類情報（CUI）を取り扱うDoD請負業者およびサプライヤーのための追加のセキュリティ対策の必要性に対処するように設計されています。

CMMIとCMMCの主な違いは、それぞれの認証の目的です。CMMIは、組織のプロセスとパフォーマンスを改善するために使用されるプロセス改善アプローチであり、CMMCはDoD請負業者および下請け業者のネットワークに保存される非分類データを保護するためのセキュリティ認証です。CMMIはプロセス改善アプローチであり、CMMCはセキュリティ認証です。

防衛請負業者は、システムのセキュリティを向上させ、関連するすべてのDoD規制に準拠していることを確認するために、CMMIとCMMCの両方に従うべきです。CMMIは請負業者がプロセスをより適切に管理し改善するのを助け、CMMCはネットワークと非分類データを保護します。さらに、CMMCは、防衛請負業者が契約上の義務を果たしているかどうかを判断するための基準も提供します。CMMIとCMMCの両方に従うことで、防衛請負業者はネットワーク、データ、システムを保護し、評判を守ることができます。

CMMCコンプライアンスとCMMC認証の違いは何ですか？

CMMCコンプライアンスとCMMC認証の違いは何ですか？どのように異なるのでしょうか？どちらが必要ですか？両方が必要な場合、どちらを先に取得する必要がありますか？CMMC認証とCMMCコンプライアンスは初心者には混乱を招く可能性があるため、以下でこれらの用語を簡単にレビューします。

CMMCコンプライアンスは、CMMCフレームワークで概説されたサイバーセキュリティ慣行とプロセスに従うことを指します。これは、国防総省（DoD）が定めたガイドラインに従って、連邦契約情報（FCI）および制御されていない分類情報（CUI）の取り扱いと保護に関する指定された要件を満たすことを含みます。組織は、機密情報を適切に保護するために、運用、システム、およびセキュリティプロトコルをこれらの標準に合わせる必要があります。

一方、CMMC認証は、認定第三者評価機関（C3PAO）による評価を成功裏に受けた組織に提供される正式な認識です。この評価は、組織が要件に従うだけでなく、必要な管理策と慣行を効果的に実施していることを確認します。CMMC認証を取得することは、DoDおよび他の利害関係者に対して、組織のサイバーセキュリティ姿勢が防衛サプライチェーンに参加するために必要な厳格な標準を満たしていることを示します。

本質的に、コンプライアンスは必要なサイバーセキュリティ慣行に従う行為であり、認証は組織が独立してコンプライアンスを確認されたことの認識です。認証プロセスは、DoDおよび他の関係者に対して、組織がCUIおよびFCIを指定されたレベルで保護する能力があることを追加の保証として提供します。

CMMC 2.0とは何ですか？

2021年11月、DoDは、パートナー組織やC3PAO認証プロセスを受けている企業からのフィードバックに基づいて要件を改訂しました。この改訂の目的は、すべての利害関係者にとって効果を損なうことなく、フレームワークを簡素化し、コストと時間を削減することでした。

バージョン2.0で提案された変更には以下が含まれます：

• 成熟度レベルを5から3に削減: 2.0では、新しいモデルは3つの成熟度レベルのみを含みます。レベル1はFCIを取り扱うための最低限のレベルであり、NIST 800-171からの17の慣行を必要とします。レベル2はCUIを管理するための最低限のレベルであり、元の第2および第3レベルの統合を表し、合計110の慣行が必要です。最後に、レベル3はクライアント機関のニーズによって決定される110以上の必要な慣行を含みます。
• C3PAOの限定的な要件: すべての請負業者にC3PAOを要求するのではなく、バージョン2.0では、レベル2および3の認証のために3年ごとの第三者監査のみを要求します。レベル1認証を求める請負業者（および特定のレベル2認証を求める限られた数の請負業者）は、年次自己証明を選択することができます。
• 行動計画とマイルストーン: 他のフレームワークには、監査を受けた請負業者が監査の終了時に行動計画とマイルストーン（POA&M）を提出するオプションが含まれていました。監査人が契約が完全に準拠していないが、比較的簡単な変更で合理的な期間内に準拠できると判断した場合、完了した拘束力のあるPOA&Mを持つ請負業者を承認することができました。CMMC 1.0ではこのアプローチは許可されておらず、請負業者は認証を受けるために完全に準拠している必要がありました。バージョン2.0では、DoDは特定の条件下でPOA&Mを許可します。

CMMC 2.0モデルは現在、単なる出版物であり、レビューと規則制定プロセスを経ています。このプロセスは9〜24ヶ月で完了する予定です。その間、CMMC-ABはバージョン1.0の監査と認証を引き続き尊重し、運用しています。

認定第三者評価機関とは何ですか？

CMMC 1.0からのもう一つの主要な更新は、認定第三者評価機関（C3PAO）を通じた第三者評価の要件です。

C3PAOは、防衛サイバーセキュリティにおける重要なセキュリティ企業であり、防衛請負業者の監査を提供するためにCMMC認定機関（CMMC-AB）から認定を受けています。FedRAMPのような他のセキュリティフレームワークに精通している組織は、このプロセスをすぐに認識するでしょう。CMMCは、NIST 800-53およびFIPS 140-2などの同じ文書から一部の監査プロセスを借用しています。

C3PAOと協力する際の欠点の一つは、彼らが組織とコンサルタントとしても機能できないことです。これが規制の下での二次指定である登録プロバイダー組織（RPO）が存在する理由です。RPOは、コンプライアンスの旅を準備しているクライアントにコンサルティング、推奨、およびアドバイスを提供することができます。同じセキュリティ企業が単一の組織に対してRPOとC3PAOの両方として機能することは決してできません。

CMMC 1.0と2.0の主な違い

CMMC 1.0とCMMC 2.0フレームワークの主な違いの一つは、成熟度レベルの数の削減です。CMMC 1.0は5つのレベルを特徴としていましたが、CMMC 2.0はこれらを3つのレベルに統合しています：基礎、上級、エキスパート。この簡素化は、モデルをよりアクセスしやすく、請負業者にとって負担を軽減しながらも、堅牢なセキュリティ標準を維持することを目的としています。

もう一つの重要な変更は、低レベルでの自己評価オプションに関するものです。CMMC 2.0の下では、レベル1（基礎）認証を求める組織は、年次自己評価を実施することができ、第三者監査の必要性と関連するコストを削減します。レベル2（上級）では、取り扱う情報の機密性と重要性に応じて、一部の自己評価と一部の第三者評価が許可されます。レベル3（エキスパート）は、依然として厳格な第三者評価を必要とし、主にDoDによって実施されます。

行動計画とマイルストーン（POA&M）の導入は、CMMC 2.0のもう一つの重要な更新です。これらの計画は、請負業者が修正が必要な問題を文書化し、優先順位を付けることを可能にし、完全なコンプライアンスを達成するための構造化されたタイムラインを提供します。POA&Mの導入は、組織により多くの柔軟性と透明性を提供し、軽微な欠陥が直ちに非準拠につながらないことを保証します。

NIST SP 800-171およびNIST SP 800-172のCMMC 2.0への組み込みは、確立された連邦サイバーセキュリティ標準との整合性をさらに強調しています。この統合は、既存のフレームワークと新しいCMMCモデルの間のギャップを埋め、NISTガイドラインに精通している組織が更新されたCMMC要件に移行しやすくします。

これらの重要な違いに焦点を当てることで、請負業者はCMMC 2.0の期待をよりよく理解し、サイバーセキュリティ戦略を調整するための適切なステップを踏むことができます。これらの変更に適応することは、コンプライアンスを確保するだけでなく、防衛産業基盤内の組織の全体的な回復力とセキュリティ姿勢を強化します。

CMMC 2.0セキュリティ認証レベルの概要

DoDのサイバーセキュリティ要件に準拠することを目指す組織にとって、異なるCMMC認証、またはCMMC成熟度レベルを理解することは極めて重要です。CMMC 2.0フレームワークは、サイバーセキュリティの成熟度と保護のさまざまな程度を満たすスケーラブルなサイバーセキュリティフレームワークを提供するために、前のレベルに基づいて構築された複数のレベルに構造化されています。CMMC 2.0は、元のモデルを簡素化し、レベルの数を5から3に削減し、セキュリティを損なうことなく、より簡素化され、コスト効果の高いものにしています。CMMC 2.0セキュリティ認証レベルは以下の通りです：

• レベル1（基礎）は、基本的なサイバー衛生慣行に焦点を当てており、主に連邦契約情報（FCI）を取り扱う請負業者を対象としています。CMMCレベル1の要件は、FAR 52.204-21から派生しており、ほとんどの組織が比較的簡単に実施できる17の慣行を含んでいます。
• レベル2（上級）は、制御されていない分類情報（CUI）を取り扱う組織のための中間ステップとして設計されています。CMMCレベル2は、NIST SP 800-171で概説された慣行のサブセットに準拠することを要求し、合計110の慣行を含んでいます。目標は、組織が機密情報を保護するためのより堅牢なサイバーセキュリティ対策を持つことを保証することです。
• レベル3（エキスパート）は、最も機密性の高いデータを取り扱う組織を対象としており、NIST SP 800-171に基づく包括的な慣行セットに準拠し、NIST 800-172からの追加のガイダンスを含んでいます。CMMCレベル3は、最高レベルのサイバーセキュリティ保証を提供することを目的としており、認定第三者評価機関（C3PAO）によって実施される厳格な評価プロセスを含んでいます。

これらのレベルを理解することは、防衛請負業者がコンプライアンスを達成し、運用を保護し、DoD契約に参加し続けるために必要なステップを決定するために不可欠です。

CMMC認証準備のためのベストプラクティス

CMMC認証を取得することは、複雑でリソース集約的なプロセスになる可能性があります。認証の旅を簡素化し、成功の可能性を高めるために、組織は以下のベストプラクティスを採用するべきです：

1. 徹底的なギャップ分析を実施する: 組織の現在のサイバーセキュリティ姿勢を理解するために、詳細なギャップ分析を実施します。既存の慣行とCMMC要件の間のギャップを特定します。発見を使用して修正努力を優先し、まず重要な脆弱性と欠陥に焦点を当てます。
2. 登録プロバイダー組織（RPO）を活用する: RPOと提携して、CMMC要件とベストプラクティスに関する専門知識を活用します。準備プロセス全体で貴重な洞察、トレーニング、およびサポートを提供できます。RPOの経験を活用して、組織の特定のニーズとコンテキストに適したカスタマイズされたソリューションを開発します。
3. 堅牢なポリシーと手順を実施する: すべてのサイバーセキュリティポリシー、手順、および慣行がCMMC要件に整合していることを確認します。これには、アクセス制御、インシデント対応、リスク管理、および継続的な監視が含まれます。これらの慣行の実施と文書化の一貫性を組織全体で維持します。
4. 定期的なトレーニングと意識向上プログラムを実施する: 定期的に従業員にサイバーセキュリティのベストプラクティス、CMMC要件、およびセキュリティを維持する上での特定の役割についてトレーニングを行います。継続的なセキュリティ意識向上トレーニングキャンペーンは、すべての従業員にサイバーセキュリティを意識させ、組織内にサイバー意識文化を育成します。
5. 技術とツールを活用する: 高度なサイバーセキュリティツールと技術を利用して、コンプライアンス活動を自動化し、簡素化します。これには、脆弱性管理システム、セキュリティ情報およびイベント管理（SIEM）ソリューション、およびエンドポイント保護が含まれます。セキュリティインシデントを迅速に検出し対応するために、継続的な監視ツールを実装します。
6. 定期的に慣行をレビューし更新する: 新しい脅威や規制の変化に適応するために、サイバーセキュリティ慣行を定期的にレビューし更新するプロセスを確立します。内部模擬監査と準備評価を実施して、継続的なコンプライアンスと正式なCMMC評価の準備を確保します。

これらのベストプラクティスに従うことで、組織はCMMC認証プロセスを効果的に簡素化し、徹底的な準備、堅牢なサイバーセキュリティ姿勢、および望ましい認証レベルの達成の可能性を高めることができます。専門家の指導を受け、包括的な文書化を維持し、継続的な改善の文化を育成することが、CMMC認証の複雑さを成功裏にナビゲートするための鍵です。

CMMCフレームワーク: 国家防衛のための重要なコンプライアンス

CMMCコンプライアンスは、防衛産業基盤サプライチェーン内の請負業者にとって不可欠な要素であり、技術、プロセス、スタッフ、および全体的な運用が厳格なサイバーセキュリティ標準に準拠していることを保証します。CMMCは単なる規制の障害と見なされるべきではなく、ビジネスのサイバーセキュリティ防御、リソース、および成熟度を強化する包括的なセキュリティプロトコルを具現化しています。CMMCフレームワークに準拠することは、重要な要件を満たすだけでなく、防衛セクターのサプライチェーン内でのビジネスのサイバーセキュリティ姿勢を大幅に強化し、その地位を確保します。

Kiteworksのプライベートコンテンツネットワーク、FIPS 140-2レベル検証済みのセキュアなファイル共有およびファイル転送プラットフォームは、メール、ファイル共有、ウェブフォーム、SFTP、マネージドファイル転送、および次世代デジタル著作権管理ソリューションを統合し、組織がファイルを組織に出入りする際に制御、保護、および追跡します。

Kiteworksは、CMMC 2.0レベル2要件の約90%を即座にサポートします。その結果、DoD請負業者および下請け業者は、適切な機密コンテンツ通信プラットフォームを確保することで、CMMC 2.0レベル2認定プロセスを加速できます。

Kiteworksを使用すると、DoD請負業者および下請け業者は、専用のプライベートコンテンツネットワークに機密コンテンツ通信を統合し、CMMC 2.0の慣行に整合した自動化されたポリシー制御と追跡およびサイバーセキュリティプロトコルを活用します。

Kiteworksは、以下のコア機能と特徴を備えた迅速なCMMC 2.0コンプライアンスを可能にします：

• SSAE-16/SOC 2、NIST SP 800-171、およびNIST SP 800-172を含む、主要な米国政府のコンプライアンス標準と要件による認証
• FIPS 140-2レベル1の検証
• 中程度の影響レベルCUIのためのFedRAMP認可
• データの静止時のAES 256ビット暗号化、データの転送時のTLS 1.2、および唯一の暗号化キー所有権

Kiteworksの展開オプションには、オンプレミス、ホスト型、プライベート、ハイブリッド、およびFedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用すると、機密コンテンツへのアクセスを制御し、自動化されたエンドツーエンド暗号化、多要素認証、およびセキュリティインフラストラクチャ統合を使用して外部に共有される際に保護し、すべてのファイル活動を確認、追跡、および報告します。具体的には、誰が何を誰に、いつ、どのように送信するかを追跡します。最後に、GDPR、HIPAA、CMMC、Cyber Essentials Plus、IRAPなどの規制や標準に準拠していることを証明します。

KiteworksとCMMC認証について詳しく知りたい場合は、カスタムデモをスケジュールしてください。

リスクとコンプライアンス用語集に戻る