CMMCとNIST 800-171の要件
CMMCとNIST 800-171は、特に政府と協力する企業や機密情報を扱う企業にとって、米国でますます重要になっている2つのコンプライアンスフレームワークです。この用語集ページでは、両方のフレームワークの包括的な概要を提供し、それらの主な違いと、それぞれのコンプライアンスを証明するための要件を説明します。
CMMCとNIST 800-171フレームワークとは何ですか?
サイバーセキュリティ成熟度モデル認証(CMMC)フレームワークは、国防総省(DoD)の制御されていない分類情報(CUI)と連邦契約情報(FCI)を保護するために設計されています。これは主にNIST 800-171規格に基づいており、3つのレベルに分かれています。レベル1(基礎)は、基本的なサイバーセキュリティの実践とFCIの不正アクセス、使用、または開示の防止を要求します。レベル2(高度)は、より厳格な要件を持ち、より洗練されたサイバーセキュリティの実践の実施に焦点を当てています。レベル3(エキスパート)は、DoD契約に対する最高レベルのセキュリティを提供し、高度なサイバーセキュリティの実践と能力の実施を要求します。
NIST 800-171フレームワークは、国家標準技術研究所によって開発されたセキュリティ基準のセットです。これは、制御されていない分類情報(CUI)を不正アクセス、使用、または開示から保護するために設計されています。このフレームワークは、データセキュリティのさまざまな側面に焦点を当てた14のファミリーに分かれています。最初の4つのファミリーは、安全な環境の確立、組織の資産の保護、人的セキュリティの確保、アクセス制御の管理に焦点を当てています。残りの10のファミリーは、認証と認可、インシデント対応、構成管理、物理的および環境的セキュリティなど、データセキュリティのさまざまな側面に焦点を当てています。
CMMCとNIST 800-171の要件とコントロールはどのように比較されますか?
CMMCとNIST 800-171の両方は、組織がセキュリティの姿勢を評価し、システムをより安全に保護するためのプロセスとコントロールを実施するためのフレームワークを提供します。両方の規制は、コンプライアンスを達成するために満たさなければならない最低限のセキュリティ要件を確立することで、組織を支援します。CMMC 2.0レベル2のコントロールは、NIST 800-171と整合しており、セキュリティコントロールを14のドメインにグループ化しています。
両方の規制は、企業のセキュリティの姿勢を文書化することの重要性を強調し、適切な技術、ポリシー、ベストプラクティスを選択するための重要なガイダンスを提供します。NIST 800-171は、特定のセキュリティコントロールを実施する方法についてより詳細な指示を提供しますが、CMMCはより全体的なアプローチを取り、特定の技術や手順を指定しません。両方の規制は、制御されていない分類情報(CUI)と監査およびアカウンタビリティ基準の保護に焦点を当てており、組織がIDおよびアクセス管理ポリシーを確立するのを支援します。また、両方の規制は、第三者ベンダーや請負業者に対する厳格な要件を含んでいます。
次のセクションでは、CMMC 2.0のレベルとNIST 800-171の要件を詳しく見ていきましょう。
CMMC 2.0のレベルと要件
CMMC 2.0は、制御されていない分類情報(CUI)を保護するために設計された3層の認証システムです。CMMC 2.0の3つのレベルは、基礎(レベル1)、高度(レベル2)、エキスパート(レベル3)です。
CMMCレベル1(基礎)は、CMMC 1.02レベル1に相当します。基礎のための17のコントロールは、主に認可されたユーザーへのアクセスを制限することによって、請負業者の情報システムを保護することに焦点を当てています。このレベルは、請負業者情報の基本的な保護を提供し、連邦契約情報(FCI)を扱う組織にのみ適用されます。
CMMCレベル2(高度)は、CMMC 1.02レベル3に相当し、NIST SP 800-171の14のドメインと110のセキュリティコントロールすべてを含んでいます。このレベルは、CUIを扱う企業向けに設計されています。
CMMCレベル3(エキスパート)は、最高優先度のDoDプログラムのためにCUIを扱う企業に適用されます。これは、NIST SP 800-171の110のコントロールに加えて、NIST SP 800-172の一部のコントロールを必要とします。このレベルは、持続的標的型攻撃(APT)に対するシステムの脆弱性を低減するように設計されています。
NIST 800-171の要件ファミリー
NIST 800-171の14の要件ファミリーは、CUIを扱う連邦請負業者のための安全な情報システムを作成するための基礎です。これらのファミリーは、システム構成とアクセス制御から監視と監査ログまで、情報システムのセキュリティの多くの側面をカバーしています。特定の要件は、請負業者がコンプライアンスを維持するために実施する必要があります。
NIST 800-171要件ファミリー#1: アクセス制御
アクセス制御の要件は、情報を保護し安全に保つために、CUIへの不正アクセスを防止することを目的としています。この要件ファミリーは、ユーザー認証、セッションロック、最小特権、アクセス制御リスト、アカウント監視などのトピックをカバーしています。
NIST 800-171要件ファミリー#2: 監査とアカウンタビリティ
この要件ファミリーは、個人と行動がその発生源に遡ることができるようにすることを保証します。これは、システム内のイベントを記録し、ユーザー活動ログを維持することによって達成されます。また、監査ログのレビューと監査ログの保護に関する要件も含まれています。
NIST 800-171要件ファミリー#3: 意識とトレーニング
意識とトレーニングの要件は、システム内の人員に対してセキュリティの重要性を強調することを目的としています。これには、情報の取り扱い、システムセキュリティ、暗号化などのトピックに関する正式なトレーニングを提供する要件が含まれています。
NIST 800-171要件ファミリー#4: 構成管理
構成管理の要件は、組織全体で一貫した安全なシステム構成を保証することを目的としています。この要件ファミリーは、システムの安全なベースライン構成や構成設定管理ツールの使用などのトピックをカバーしています。
NIST 800-171要件ファミリー#5: 識別と認証
この要件ファミリーは、ユーザーがシステム内でどのように認証され、アクセスを受けるかに焦点を当てています。これには、ユーザー資格情報、多要素認証、暗号モジュールなどに関連する要件が含まれています。
NIST 800-171要件ファミリー#6: インシデント対応
この要件ファミリーは、発生する可能性のあるセキュリティインシデントに備え、対応し、回復することに焦点を当てています。これには、インシデントの検出、封じ込め、根絶、回復に関連する要件が含まれています。
NIST 800-171要件ファミリー#7: メンテナンス
メンテナンスの要件は、システムコンポーネントが定期的にメンテナンスされ、そのセキュリティを向上させることを目的としています。この要件ファミリーには、パッチ適用、ソフトウェアおよびハードウェアのインベントリ、アンチウイルス保護などのコントロールが含まれています。
NIST 800-171要件ファミリー#8: メディア保護
この要件ファミリーは、ハードドライブ、USBなどのメディアを保護することに焦点を当てています。これには、メディアのラベリング、追跡、消去に関連する要件が含まれています。
NIST 800-171要件ファミリー#9: 物理的保護
物理的保護の要件は、CUIが保管されている物理的環境が安全であることを保証するように設計されています。これには、代替サイトのセキュリティ、環境保護、アクセス制御に関連する要件が含まれています。
NIST 800-171要件ファミリー#10: リスク評価
リスク評価の要件は、システムに対するリスクを特定し、対処することを目的としています。この要件ファミリーには、脆弱性スキャン、リスク評価、リスク軽減などのコントロールが含まれています。
NIST 800-171要件ファミリー#11: システムと通信の保護
この要件ファミリーは、組織内の通信チャネルとシステムを保護することに焦点を当てています。これには、暗号化、ファイアウォール、非武装地帯、ネットワークデバイスの強化などのコントロールが含まれています。
NIST 800-171要件ファミリー#12: システムと情報の整合性
システムと情報の整合性の要件は、システムとその中の情報の整合性を保護することに焦点を当てています。これには、悪意のあるコードの保護、ファイルシステムの保護、情報入力の検証に関連する要件が含まれています。
NIST 800-171要件ファミリー#13: システムセキュリティ計画
この要件ファミリーは、CUIを保護するためのシステムセキュリティ計画を作成するためのステップを概説しています。これには、システム文書化、システムセキュリティテスト、計画のメンテナンスなどのコントロールが含まれています。
NIST 800-171要件ファミリー#14: システムとサービスの取得
システムとサービスの取得の要件は、すべてのシステムとサービスが安全に取得されることを保証することを目的としています。この要件ファミリーは、システムとサービスの要件、安全な取得の実践、CUIの請負業者使用などのコントロールをカバーしています。
CMMC 2.0とNIST 800-171の主な違い
2つのフレームワークの要件にはいくつかの重複がありますが、いくつかの重要な違いもあります。CMMC 2.0は、暗号化、脆弱性管理、インシデント対応などの高度なサイバーセキュリティの実践を実施することを組織に要求します。これに対し、NIST 800-171は基本的なサイバーセキュリティの実践のみを要求します。
CMMC 2.0はまた、組織がフレームワークに準拠していることを証明するための証拠を提供することを要求します。組織は、さまざまな要件とコントロールの実施を文書化し、コンプライアンス文書をDoDに提出する必要があります。NIST 800-171は同じレベルの文書化を要求しません。組織は、データセキュリティの実践が要件を満たしていることを確認するだけで済みます。
CMMC 2.0に準拠している場合、NIST 800-171にも準拠していますか?
CMMCの要件に準拠していることは、NIST 800-171に準拠していることを保証するものではありません。CMMC 2.0は、特に国防総省(DoD)のために開発され、防衛請負業者が保有する制御されていない分類情報(CUI)を保護することを目的としています。
NIST 800-171もCUIを保護しますが、これはCUIを扱うすべての政府請負業者に適用される基準のセットです。請負業者がNIST 800-171に準拠するためには、14のファミリーすべての特定の要件を遵守する必要があります。CMMCだけのコンプライアンスでは不十分です。2つの基準セットは多くの点で重複しているかもしれませんが、いくつかの点で異なることもあります。たとえば、CMMC 2.0は、評価の3つのレベルを設定することによって、小規模な請負業者のためのコンプライアンスを提供します。
KiteworksによるCMMC 2.0レベル2とNIST SP 800-171のコンプライアンス
プライベートコンテンツネットワークは、政府請負業者にCMMC 2.0レベル2とNIST SP 800-171のコンプライアンスを促進するセキュアなファイル共有プラットフォームを提供します。これは、TLS 1.2とAES-256暗号化でそれぞれデータを転送中および保存中に暗号化する中程度のレベルのCUIのためのFedRAMP認定ソリューションです。Kiteworksは、CMMC 2.0レベル2の要件の約90%を即座にサポートし、NIST SP 800-171で指定されたすべてのセキュリティ要件を満たしています。Kiteworksはまた、ITAR、GDPR、SOC 2(SSAE-16)、FISMAなどの他の規制にも準拠するのを支援します。
Kiteworksは、CUIのような機密情報を保持し転送するユーザーとシステムに対して、重要なセキュリティとガバナンスの層を提供します。CMMC 2.0レベル2のコンプライアンスまたはNIST 800-171のコンプライアンスを求める組織は、Kiteworksのカスタムデモをスケジュールして、詳細を学ぶことができます。
ブログ投稿:
