CMMC認定機関(The Cyber AB)について知っておくべきことすべて
今日のデジタル時代において、サイバーセキュリティは、特に機密情報を扱う業界の組織にとって最優先事項となっています。国防総省(DoD)は、サイバーセキュリティ対策を強化するために、サイバーセキュリティ成熟度モデル認証(CMMC)を作成しました。
CMMC認定機関(CMMC AB)は、制御されていない分類情報(CUI)および連邦契約情報(FCI)を保護するために必要なセキュリティ基準を組織が満たすことを保証する上で重要な役割を果たしています。
2022年4月、CMMC ABは完全なリブランディングを行うことを発表し、新しいロゴ、名称、公開ウェブサイトを採用することを明らかにしました。2022年6月7日、CMMC ABは正式に「The Cyber AB」としてリブランディングを発表し、同じ組織と責任を維持しています。法的には、組織は依然としてサイバーセキュリティ成熟度モデル認証認定機関、Inc.の名称を保持しています。
この記事は、The Cyber ABの重要性と、CMMC第三者評価機関を認定する役割を理解するのに役立つことを目的としています。
The Cyber ABとは何ですか?
The Cyber ABは、CMMCモデルの監督と実施を担当する公式の認定機関です。この非営利組織は、機密情報を扱うために必要なサイバーセキュリティ基準を組織が満たすことを保証するために、2020年に設立されました。主に防衛産業基盤(DIB)の参加者を対象としています。
他の業界や基準に対する認定機関も存在しますが、The Cyber ABは特にDoDとその請負業者に特有のCMMC要件を管理する責任を負っています。その主な目的は、CMMCプロセスの整合性を保護し、認定された専門家の間で高い専門性を維持することです。
The Cyber ABのフレームワークと範囲
The Cyber ABの主な役割は、DIB内の組織に対してCMMC評価を行うCMMC第三者評価機関(C3PAOs)を認可および認定することです。また、CMMCエコシステムの専門認定とトレーニングの側面を管理し、パートナーと協力してCMMC評価者およびCMMCインストラクターのカリキュラムと試験プロトコルを開発しています。
The Cyber ABは、CMMC認証を取得するための要件とプロセスを概説しています。NIST SP 800-171、DFARS 252.204-7012などの既存の規制に基づいて、包括的なサイバーセキュリティ基準を確立しています。CMMC 2.0モデルは3つの成熟度レベルで構成されています:レベル1、レベル2、およびレベル3です。
特定の成熟度レベルを達成するためには、組織はそのレベルに対して概説された必要な実践とプロセスを満たす必要があります。The Cyber ABは、厳格な評価と認証プロセスを通じて、組織がこれらの要件を満たすことを保証する責任を負っています。CUIを扱う、またはDoDと協力する組織は、契約を受注するために適切なCMMC認証レベルを達成する必要があります。
The Cyber ABとCMMC第三者評価機関(C3PAOs)
The Cyber ABは、CMMC評価、認定、および認証活動の権威ある情報源として機能します。The Cyber ABは、CMMCエコシステムの設定と管理を担当しており、認定評価者(CAs)およびC3PAOsのトレーニング、認定、および品質管理を含みます。The Cyber ABは、DIBのサイバーセキュリティ体制を強化し、CMMCフレームワークの成功した実施を保証するためにDoDと緊密に協力しています。評価のためのガイドライン、ポリシー、および手順を確立し、各組織が望むCMMCレベルに応じて正確に評価されることを保証する責任を負っています。
C3PAOsは評価プロセスにおいて重要な役割を果たします。これらの組織は、認証を求める組織に対して実際のCMMC評価を行う責任を負っています。彼らはThe Cyber ABによって高い訓練を受け、認定されており、評価中に収集された証拠に基づいてCMMC評価を実施し、認証を発行します。C3PAOsは、公平で偏りのない評価を保証するために、評価する組織から独立している必要があります。彼らは、The Cyber ABが提供する標準化された手順、ガイドライン、およびフレームワークを組み合わせて評価を行います。
C3PAOsによって行われる評価は、組織が望む成熟度レベルに基づいています。CMMC 2.0の成熟度レベルは次の通りです:
CMMC 2.0 レベル1:基礎
基礎レベルは、企業の役員による証明を伴う年次自己評価を必要とします。このレベルは、FAR条項52.204-21で指定されたFCIの基本的な保護要件を含んでいます。
CMMC 2.0 レベル2:高度
高度レベルは、米国国立標準技術研究所SP 800-171(NIST SP 800-171)と整合しています。重要な国家安全保障情報を送信、共有、受信、および保存するDoD請負業者には、3年ごとの第三者評価が必要です。これらの第三者評価はC3PAOsによって実施されます。レベル2に該当する一部の請負業者は、企業の証明を伴う年次自己評価のみが必要です。
このレベルは、DFARS条項252.204-7012に基づくNIST SP 800-171 Rev 2で指定されたCUIのセキュリティ要件を含んでいます。
CMMC 2.0 レベル3:エキスパート
エキスパートレベルは、3年ごとの政府主導の評価が必要であり、NIST SP 800-172で指定されたセキュリティ要件のサブセットを含む情報が後日公開されます。
これらの各レベルには、組織が実施し、効果的に管理していることを証明しなければならない実践とプロセスのセットがあります。C3PAOsは、組織がこれらの要件を満たしているかどうかを評価し、検証し、適切なCMMC認証を授与します。
The Cyber ABとC3PAOsの主な目標の一つは、CMMCエコシステムの信頼性と整合性を保証することです。
The Cyber ABはどのようにしてC3PAOsを認可しますか?
The Cyber ABは、CMMCフレームワークの実施と成功において重要な役割を果たしています。The Cyber ABは、CMMC評価者のトレーニングと認定プログラムの設定と管理、認定評価者の登録簿の維持、およびCMMCフレームワークの全体的な実施の監督など、いくつかの重要なタスクを担当しています。
The Cyber ABの最も重要な責任の一つは、すべての評価者が最高の倫理と専門性の基準を遵守することを保証することです。認定機関は、評価者のための倫理規範を開発し、評価の公平性と一貫性を保証するためのチェックとバランスのシステムを確立することによってこれを行います。
C3PAOになりたい組織は、C3PAOとして認定される前に認可プロセスを成功裏に進める必要があります。将来のC3PAOsは、防衛産業基盤サイバーセキュリティ評価センター(DIBCAC)によって実施されるCMMC評価に合格する必要があります。C3PAOは、評価を実施するCMMC基準への準拠を示す必要があります。
The Cyber ABはまた、認証プロセスが公正で透明性があり、認証を求めるすべての企業にアクセス可能であることを保証する責任を負っています。これには、評価者のためのトレーニングプログラムの開発、評価手順とガイドラインの作成、異議申し立てと紛争解決のためのシステムの確立が含まれます。
全体として、The Cyber ABはCMMCフレームワークの成功した実施において重要な役割を果たしており、その責任はDIB全体で最高のサイバーセキュリティ成熟度基準を保証するために重要です。透明性、専門性、倫理的慣行へのコミットメントを持つThe Cyber ABは、機密政府情報を保護し、国家安全保障を強化するための継続的な取り組みにおいて重要なパートナーです。
The Cyber ABのスタッフの役割と責任
The Cyber ABには、理事会メンバー、評価者、C3PAOsを含むさまざまなスタッフが関与しています。理事会メンバーは、組織の戦略、ガバナンス、および運営を監督する責任を負っています。また、認定プロセスのためのポリシーと手順を開発し、CMMCモデルの継続的な維持と改善を保証します。
認定されたCMMC評価者は、CMMC認証を求める組織の監査と評価を行う責任を負っています。彼らは、組織のサイバーセキュリティ慣行とプロセスを評価し、CMMC要件への準拠を判断します。The Cyber ABは、評価者の専門性と専門性を保証するために、厳格なトレーニングと認定プログラムを提供しています。
政府請負業者にとってのCMMCコンプライアンスの重要性
CMMCは、DoD請負業者のための統一されたサイバーセキュリティ基準であり、サプライチェーン内の制御されていない分類情報(CUI)を保護することを目的としています。CMMCはDoDによって作成され、DIB内での地位を確保しようとする組織にとって不可欠な要素です。
適切なレベルのCMMCコンプライアンスを実施することで、政府請負業者は機密コンテンツを保護し、DoDおよび他の政府機関の信頼を維持することへのコミットメントを示すことができます。The Cyber ABは、政府請負業者が必要なコンプライアンスレベルを達成することを保証する上で重要な役割を果たしています。CMMCの認定機関として、The Cyber ABは、組織および個々の評価者を認定するための要件を確立しています。The Cyber ABは、認証プロセスが一貫して厳格であり、DIB全体で高いセキュリティレベルを促進することを保証します。CMMC認証を求める請負業者は、C3PAOsによって実施される評価を受ける必要があります。
CMMCコンプライアンスは、国家安全保障に利益をもたらすだけでなく、政府請負業者に競争上の優位性を提供します。CMMCに準拠していることは、サイバーセキュリティへのコミットメントを示し、政府機関にとって重要な選定要因です。
The Cyber ABとサイバーセキュリティ成熟度モデル統合(CMMI)
CMMIモデルは、組織がプロセスを改善し、より高いパフォーマンスレベルを達成するのを支援するプロセス改善フレームワークです。サイバーセキュリティを含むさまざまなドメインに焦点を当てています。The Cyber ABは、サイバーセキュリティ慣行とプロセスの成熟度モデルを確立するためにCMMIモデルを活用し、組織がサイバーセキュリティ体制を改善するための堅牢なフレームワークを提供しています。
The Cyber ABとCMMIは、組織が望ましいサイバーセキュリティ成熟度レベルを達成し、時間とともにセキュリティ体制を改善し続けることを保証するために協力しています。
KiteworksはCMMC 2.0 レベル2のコンプライアンスをサポートします
Kiteworksは、FedRAMP認定を受けており、中程度の影響レベルに対応しているため、CMMC 2.0 レベル2の要件の約90%を標準でサポートしています。Kiteworksは、C3PAOsがDoDサプライヤーをCMMCコンプライアンスのために認定するのをより簡単かつ迅速にします。コンテンツ定義のゼロトラストを使用して、KiteworksはCUIおよびFCIコンテンツの機密通信を保護し、ワークフローと活動のレビューをサポートするためのセキュアなプロセス管理を含み、悪意のある行為者から保護するためのユーザー認証を提供します。
Kiteworksは、CMMC要件を満たすために関連する多くのシステムとプロセスを監査ログ報告で自動化する能力を提供します。これにより、C3PAOsはDoDサプライヤーの評価を完了し、CMMC実践管理におけるギャップを特定することができます。
DoDのビジネスを競うことを目指すDoD請負業者および下請け業者は、CMMCコンプライアンスを達成する必要があります。段階的な実施は2023年5月に始まりましたので、今すぐ始める時です。そして、Kiteworksのプライベートコンテンツネットワークは、完璧な出発点です。
今日、KiteworksがどのようにしてCMMCコンプライアンスの旅を加速できるかを確認するために、カスタムデモをスケジュールしてください。