Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

CMMCコンプライアンスとセキュリティ要件

ホーム 用語集 CMMCコンプライアンスとセキュリティ要件

CMMC(サイバーセキュリティ成熟度モデル認証)は、米国国防総省(DoD)が機密政府情報を保護するための基準を確立するプログラムです。これは、国家標準技術研究所(NIST)規格に基づく特定のセキュリティコントロールに準拠することを要求する認証です。

CMMCの目的は、制御されていない分類情報(CUI)をサイバー攻撃や不正アクセスから保護することです。CMMCコンプライアンスは、CUIの機密性、整合性、可用性を保護するための特定のサイバーセキュリティ慣行を実施し、維持することで達成されます。組織は、必要な認証を受けるために、適用されるCMMC要件へのコンプライアンスを証明できなければなりません。CMMCコンプライアンスは、CUIを取り扱い、保存する必要があるDoD請負業者にとって必須であり、選択した業界で競争力を維持するために重要です。すべてのDoDサプライヤーは、デジタルDoDサプライチェーン交換においてプライベートデータがプライベートに保たれ、保護されるようにするために、サイバーセキュリティリスク管理戦略を構築しなければなりません。

CMMCコンプライアンスとセキュリティ要件

なぜCMMCコンプライアンスが重要なのか?

DoDは、すべての請負業者が政府契約を受ける資格を得るためにCMMC要件を遵守することを義務付けています。これにより、これらの請負業者が悪意のある行為者やデータ侵害に対する保護措置を理解し、積極的に実施していることが保証されます。CMMCコンプライアンスは、組織がサイバーセキュリティへの取り組みを示し、機密顧客データが適切に保護されていることを証明するためにも重要です。CMMCの要件を満たすことで、組織は内部ネットワークと知的財産がサイバー脅威から十分に保護されているというより大きな保証を得ることができます。さらに、CMMCは、保存データの安全な暗号化や多要素認証の実施などのベストプラクティスに従うことで、組織のサイバーハイジーンを向上させるのに役立ちます。

CMMCのコンプライアンスは、組織が顧客の信頼を維持するために不可欠です。顧客は、適切なデータ保護とプライバシー対策についてますます意識し、懸念を抱いています。CMMCに準拠している組織は、顧客に対してデータとプライバシーの懸念が真剣に受け止められ、機密データを保護するための措置が講じられていることを示すことができます。これにより、組織は顧客の忠誠心を維持し、信頼を築き、競争上の優位性を得ることができます。

CMMCはまた、組織が関連するサイバーセキュリティ規制を遵守することを保証します。CMMCのコンプライアンスは、サイバーセキュリティ規制の絶え間なく進化する状況に対応するのに役立ちます。CMMC要件に準拠することで、組織が関連する規制に従い、顧客データとプライバシーを保護するために必要な措置を講じていることを示すことができます。

CMMCの3つのレベルとは?

DoDは現在、以下の3つのCMMC認証レベルを持っています:

レベル1:基礎。 CMMCレベル1認証は、連邦契約情報(FCI)を取り扱うDoD請負業者および下請業者に必要です。これは、FAR条項52.204-21に指定されたFCIを保護するための基本的なサイバーセキュリティ慣行に準拠することを要求します。

基礎レベルでは、CMMC第三者評価認定機関(C3PAO)による評価は必要ありません。企業の経営者による証明を伴う年次自己評価が必要です。

レベル2:高度。 レベル2認証は、アクセス制御、インシデント対応、メディア保護など、より堅牢なサイバーセキュリティ慣行を持つことを要求します。このレベルは、より高度な脅威からCUIの整合性と可用性を保護するために設計されています。高度レベルは、国家標準技術研究所SP 800-171(NIST 800-171)と整合しています。

高度レベルの認証には、C3PAOによる3年ごとの第三者評価が必要です。

レベル3:エキスパート。 レベル3認証はCMMCの最高レベルであり、システムの強化やデータ復旧などの高度な慣行の実施を要求します。このレベルは、持続的標的型攻撃からCUIの機密性、整合性、可用性を保護するために設計されています。レベル3に関する情報は後日発表され、SP 800-172に指定されたセキュリティ要件のサブセットが含まれます。

CMMCのセキュリティ要件とは?

CMMCのセキュリティ要件は、組織がネットワークを保護し、データを保護し、適用される法律や規制に準拠するのを支援するために設計されたセキュリティ基準のセットです。要件は、上記の3つのCMMC 2.0レベルに分かれており、アクセス制御、構成管理、インシデント対応、メディア保護、システムおよび通信保護、人的セキュリティ、物理的保護などの分野をカバーしています。組織は、DoD市場で競争力を維持し、デジタル情報をサイバー脅威から保護するために、CMMCのセキュリティ要件に準拠する必要があります。

各レベルの要件は以下の通りです:

レベル1:基礎要件

CMMCレベル1の要件には、6つのドメインにわたる17のセキュリティコントロールが含まれています。6つのドメインは次の通りです:

  1. アクセス制御(4つのコントロール)
  2. 識別と認証(2つのコントロール)
  3. メディア保護(1つのコントロール)
  4. 物理的保護(4つのコントロール)
  5. システムおよび通信保護(2つのコントロール)
  6. システムおよび情報の整合性(4つのコントロール)

レベル2:高度要件

CMMCレベル2の要件には、14のドメインにグループ化された110のコントロールが含まれています。14のドメインは次の通りです:

  1. アクセス制御(22のコントロール)
  2. 意識向上トレーニング(3つのコントロール)
  3. 監査と説明責任(9つのコントロール)
  4. 構成管理(9つのコントロール)
  5. 識別と認証(11のコントロール)
  6. インシデント対応(3つのコントロール)
  7. 保守(6つのコントロール)
  8. メディア保護(9つのコントロール)
  9. 人的セキュリティ(2つのコントロール)
  10. 物理的保護(6つのコントロール)
  11. リスク評価(3つのコントロール)
  12. セキュリティ評価(4つのコントロール)
  13. システムおよび通信保護(16のコントロール)
  14. システムおよび情報の整合性(7つのコントロール)

レベル3:エキスパート要件

CMMCレベル3の要件には、16のドメインにグループ化された130のコントロールと、CMMCレベル1および2のコントロールが含まれています。16のドメインは次の通りです:

  1. アクセス制御(8つのコントロール)
  2. 資産管理(1つのコントロール)
  3. 監査と説明責任(7つのコントロール)
  4. 意識向上トレーニング(1つのコントロール)
  5. 構成管理(3つのコントロール)
  6. 識別と認証(4つのコントロール)
  7. インシデント対応(2つのコントロール)
  8. 保守(2つのコントロール)
  9. メディア保護(4つのコントロール)
  10. 物理的保護(6つのコントロール)
  11. 復旧(1つのコントロール)
  12. リスク評価(3つのコントロール)
  13. セキュリティ評価(2つのコントロール)
  14. 状況認識(1つのコントロール)
  15. システムおよび通信保護(15のコントロール)
  16. システムおよび情報の整合性(3つのコントロール)

CMMC要件はNIST 800-171要件とどう異なるのか?

CMMC 2.0レベル2はNIST SP 800-171と整合しており、防衛産業基盤(DIB)の組織が自己認証を行い、コンプライアンスを達成するか、コンプライアンスに向けた具体的なステップを踏むことを指定しています。CMMCレベル2および3は、C3PAOが組織を評価し、そのサイバーセキュリティプログラムの状態に基づいて成熟度レベルを割り当てることを規定しています。レベル1、基礎レベルは自己評価のみを要求します。

CMMCのセキュリティ要件はDoD以外にも利益を提供します

CMMCのセキュリティ要件は、DoDサプライチェーンの組織以外にも利益を提供します。要件は、組織がシステムの機密性、整合性、可用性を保護するための適切な姿勢を示すために満たすべきサイバーセキュリティ基準のセットです。要件は、アクセス制御、インシデント対応、監査と説明責任、メディア保護、システムおよび通信保護、人的セキュリティ、セキュリティ評価と認可、サプライチェーンリスク管理、システムおよび情報の整合性、トレーニングなどの分野をカバーしています。

これらのコントロールは、効果的な慣行を実施し、スタッフを訓練し、安全なサプライチェーンを確保することで、組織のサイバーセキュリティ姿勢を向上させるのに役立ちます。CMMCのセキュリティ要件を遵守することで、組織はシステムとデータをよりよく保護し、リスク管理プロセスを強化し、潜在的なサイバー脅威に対してより強靭になることができます。

KiteworksによるCMMC 2.0レベル2コンプライアンス

Kiteworksは、DoDやさまざまな防衛産業基盤(DIB)サプライヤーなどの連邦機関に対して、CMMC認証を必要とするサイバーセキュリティソリューションの信頼できるプロバイダーです。KiteworksはFedRAMPの中程度の影響レベルに認定されているため、KiteworksはCMMC 2.0レベル2の要件の約90%を標準でサポートしています。これにより、DoDサプライヤーがCMMCレベル2コンプライアンスを取得するために必要な時間が大幅に短縮されます。

C3PAO監査に関しても、Kiteworksはプラスの効果をもたらします。Kiteworksプライベートコンテンツネットワークは、DoD請負業者がCMMCプロセスと監査手続きを効率化し、全体のプロセスをより迅速かつ効率的にします。Kiteworksのサポートにより、DoD請負業者はCMMCレベル2コンプライアンスを迅速かつ容易に取得し、DoDビジネスを保護することができます。

カスタムデモをスケジュールして、Kiteworksプラットフォームの実際の動作を確認し、CMMCコンプライアンスの旅を加速させる方法を今日ご覧ください。

リスクとコンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks