Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る

CMMCコンプライアンス監査:要件を理解し、コンプライアンスを維持する

ホーム 用語集 CMMCコンプライアンス監査:要件を理解し、コンプライアンスを維持する

国防総省(DoD)のサイバーセキュリティ成熟度モデル認証(CMMC)は、防衛産業基盤(DIB)内の連邦契約情報(FCI)および制御されていない分類情報(CUI)の保護を確保するために作成されました。組織がCMMCコンプライアンス監査に備える際には、その成功に寄与する主要な要素を理解することが不可欠です。準備、文書化、継続的な改善を含む、成功するCMMCコンプライアンス監査の必須要素を学びましょう。

CMMCコンプライアンスとは何か?

CMMCは、組織のサイバーセキュリティ体制を評価する認証プログラムです。この認証は、DoDと協力する際にCUIおよびFCIの保護に関するベストプラクティスを組織が遵守していることを保証することを目的としています。CMMCコンプライアンスは、厳密な計画と詳細な文書化を必要とする複雑なプロセスです。組織は、規制コンプライアンスの包括的なレベルを示すために必要なセキュリティおよび監査要件を遵守しなければなりません。目標は、DoDが設定したガイドラインを満たす包括的でスケーラブルなセキュリティプログラムを開発することです。ここで、組織はコンプライアンスのためのCMMCロードマップを持つ必要があります。

CMMCコンプライアンス監査:要件を理解し、コンプライアンスを維持する

CMMCコンプライアンス監査の概要

DoDと協力するためには、組織はCMMCの要件を満たさなければなりません。2021年にリリースされたCMMCバージョン2.0は、CMMCの最新バージョンであり、以前のバージョンの5つの異なる認証レベルを組み込みつつ、各レベルに追加の基準を加えています。CMMC 2.0は、情報アクセスのレベルに基づいた3つの評価階層を含んでいます。それらは以下の通りです:

レベル1:基礎

基礎レベルでは、企業の役員による証明を伴う年次自己評価が必要です。このレベルは、FAR条項52.204-21で指定されたFCIの基本的な保護要件を包含しています。

レベル2:高度

高度レベルは、国家標準技術研究所の特別出版物800-171(NIST SP 800-171)と整合しています。これは、重要な国家安全保障情報を送信、共有、受信、保存するDoD請負業者に対して3年ごとの第三者評価を要求します。これらの第三者評価は、CMMC第三者評価認定機関(C3PAO)によって実施されます。

CMMC 2.0レベル2は、DFARS条項252.204-7012に基づくNIST SP 800-171 Rev 2で指定されたCUIのセキュリティ要件を包含しています。

レベル3:エキスパート

エキスパートレベルは、政府主導の3年ごとの評価を必要とし、NIST SP 800-172で指定されたセキュリティ要件のサブセットを含む情報が後にリリースされます。

DoD請負業者がCMMCコンプライアンスを達成するために、CMMC認定機関(CMMC-AB)は、DoD請負業者がコンプライアンスの旅を進めるのを支援するためにCMMC第三者評価認定機関(C3PAO)を認可しました。CMMC 2.0の要件を遵守するためには、DoDサプライヤーはC3PAOを任命してコンプライアンスを評価させる必要があります。

CMMCコンプライアンス監査の利点

CMMCコンプライアンスの利点は、契約要件を満たすことを超えています。CMMC認証を取得した組織は、サイバーセキュリティと機密情報の保護に対するコミットメントを示しています。ベストプラクティスを遵守することで、データ侵害のリスクとそれに伴うコストや評判の損害を軽減できます。さらに、CMMC認証は、連邦リスク承認管理プログラム(FedRAMP)や国家標準技術研究所(NIST)サイバーセキュリティフレームワーク(CSF)など、他の法律や基準に対する規制コンプライアンスを達成するのに役立ちます。同時に、FedRAMP認定を受けた組織は、CMMC 2.0レベル2およびレベル3で見られる特定の実践要件に対するコンプライアンスを示すことができます。

成功するCMMCコンプライアンス監査の要素

成功するCMMC監査には、組織がCMMCの3つのレベルの基準を満たす必要があります。要素は正しく実施されなければならず、組織がそのサイバーセキュリティプログラムが包括的でスケーラブルであり、説明責任を果たしていることを示す必要があります。以下は、成功するCMMC監査の要素です:

リスク管理フレームワーク

リスク管理フレームワーク(RMF)は、成功するCMMC監査にとって重要な要素です。他のセキュリティリスク管理フレームワークと同様に、RMFはCMMC要件を遵守するために必要なポリシーと手順を概説しています。CMMC評価の範囲、リスク評価、および特定されたリスクを軽減するために取られたステップを示すために必要な文書を含んでいます。セキュリティ環境の変更や更新に対応するための監視、報告、対応のためのポリシーと手順、およびシステムのコンプライアンスとセキュリティ体制を評価するためのフレームワークを含んでいます。

セキュリティ文書

セキュリティ文書は、成功するCMMC監査の重要な要素です。この文書は、システムセキュリティアーキテクチャとその実装方法を概説しています。この詳細な文書には、セキュリティ構成のベースライン、システム要件、およびセキュリティ評価が含まれているべきです。システムがどのように構成され、セキュリティコントロールがどのように維持されているかについての知見を提供します。

継続的監視プログラム

継続的監視プログラム(CMP)は、セキュリティ環境の変更や更新を追跡し、システムがCMMC要件を満たし続けることを保証するために設計された監視手順です。パッチ適用やソフトウェアアップグレードなどの変更を特定し、対応するプロセスを含むべきです。また、ユーザーアクセスとデータフローの監視、悪意のある活動の検出と対応のプロセスも含むべきです。

システムセキュリティ計画

システムセキュリティ計画(SSP)は、組織のセキュリティポリシー、手順、およびシステムセキュリティを確保するために取られるべきステップを概説しています。セキュリティ目標、セキュリティコントロール、およびこれらの目標を達成するためのプロセスに関するガイダンスを提供するべきです。SSPには、インシデント対応、データバックアップと復旧、パスワードポリシーに関する情報を含むべきです。また、暗号化、ユーザーアクセス制御、多要素認証(MFA)、ファイアウォール、その他のセキュリティ対策の使用についても言及するべきです。

認証と認定プロセス

認証と認定(C&A)プロセスは、システムのセキュリティを検証するために使用されます。このプロセスは、システムがDoDによって設定されたセキュリティ要件に準拠していることを示すために使用されます。C&Aプロセス中に、システムはセキュリティ脆弱性の評価を受け、非準拠の要素が特定され、対処されます。C&Aプロセスには、システムセキュリティ対策のテストと検証、およびセキュリティポリシーと手順の実施が含まれるべきです。

成功する監査のためのベストプラクティス

組織は、成功する監査のためにいくつかのサイバーセキュリティおよびデータ保護のベストプラクティスを実施する必要があります。以下は、CMMCコンプライアンスのためのいくつかのベストプラクティスです:

リスク管理フレームワークの実施

リスク管理フレームワーク(RMF)は、成功する監査の出発点です。組織は、RMFを実施し、文書化要件を遵守することを確認する必要があります。サードパーティリスク管理TPRM)およびサプライチェーンリスク管理は、重要な役割を果たします。

システムセキュリティ計画の文書化

組織は、CMMC要件を満たすためにシステムセキュリティ計画を徹底的に文書化する必要があります。この計画には、セキュリティ要件、セキュリティコントロール、およびそれらの目標を達成するためのプロセスを含むべきです。

継続的監視の実施

組織は、システムがCMMC要件を満たし続けることを確認するために継続的監視を実施する必要があります。継続的監視は、セキュリティ環境の変更や更新を特定し、システムが安全であることを保証するために使用されます。

認証と認定プロセスへの参加

認証と認定(C&A)プロセスは、システムのセキュリティを検証するために使用されます。組織は、システムがDoDのセキュリティ要件に準拠していることを確認するためにC&Aプロセスに参加する必要があります。

KiteworksがCMMC 2.0レベル2コンプライアンスの旅を支援する方法

成功するCMMC監査には、監査対象の組織が望ましいCMMCレベルの基準を満たす必要があります。上記の監査要素は、組織がそのサイバーセキュリティプログラムが包括的でスケーラブルであり、説明責任を果たしていることを示すために、徹底的かつ正確に実施されなければなりません。CMMC監査に適切に準備することで、組織はDoDによって設定された最新のサイバーセキュリティ基準を維持することができます。

Kiteworksは、CMMC 2.0コンプライアンスを目指すDIB請負業者向けの信頼できるサイバーセキュリティソリューションプロバイダーです。Kiteworksのプライベートコンテンツネットワークは、CMMC 2.0レベル2の要件の約90%を標準でサポートしているため、組織はC3PAOと共にCMMCレベル2認証プロセスを加速できます。さらに、FedRAMPの中程度の影響レベルに対する認定は重要な要素であり、Kiteworksが他の機密コンテンツ通信ソリューションよりもCMMC実践要件においてはるかに高いレベルのコンプライアンスを達成する理由の一つです。実際、FedRAMP認定、FIPS 140-2、ISO 27001、27017、27018、およびSOC 2なども含まれています。

KiteworksのプライベートコンテンツネットワークとKiteworksがどのようにしてCMMCコンプライアンスへの道を加速できるかについての詳細情報を得るには、カスタムデモを今すぐスケジュールしてください。

リスク&コンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
Share
Tweet
Share
Explore Kiteworks