CMMC 1.0 と 2.0 の違い: 進化、主な違いと要件

サイバーセキュリティ成熟度モデル認証（CMMC）は、防衛産業基盤（DIB）の組織がビジネスデータを保護するために実施しなければならない包括的なサイバーセキュリティ基準と実践のセットです。2020年に米国国防総省（DoD）によって導入されたCMMCは、連邦契約情報（FCI）と制御されていない分類情報（CUI）の機密性を保護するために設計されました。

CMMC認証プロセスは厳しいですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。

国防総省（DoD）と契約する企業が扱う情報の機密性のため、請負業者と下請け業者は少なくとも1つのCMMCレベルを遵守する必要があります。これにより、DoDのサプライチェーン内で運営する組織は、良好なサイバーセキュリティ体制を維持する必要があります。段階的な実施は今年後半に始まり、2025年末までに完全実施を目指しています。

CMMCとは何ですか？

サイバーセキュリティ成熟度モデル認証、またはCMMCは、すべてのDoD請負業者に適用される統一されたサイバーセキュリティ基準と実践のセットです。これは、FCIとCUIを不正アクセスや改ざんから保護するために組織が満たすべき要件のセットを提供します。CMMCは、DoD請負業者が政府のサイバーセキュリティ規制を遵守し、機密コンテンツの不正な取り扱いや流布を防ぐよう設計されています。

CMMC 1.0 と CMMC 2.0

なぜ重要なのですか？

CMMCが重要な理由は2つあります。第一に、DoDのサイバーセキュリティ基準を満たすためのフレームワークを組織に提供することです。第二に、FCIとCUIの機密性を保護することです。これは、FCIとCUIの不正アクセスや改ざんが重大な財務的、評判的、法的影響をもたらす可能性があるため、DoD請負業者にとって重要です。

CMMC 1.0からCMMC 2.0へ

2021年11月、DoDはCMMC 1.0に代わってCMMC 2.0を実施することを発表しました。この更新されたフレームワークは、DoD契約を保持または参加するすべての請負業者のサイバーハイジーンを向上させるためにいくつかの変更を実施しています。DoDは、今後9〜24か月間にわたって規則制定に取り組むことを発表し、連邦請負業者と下請け業者がCMMC 2.0の実施に備えてコンプライアンスを達成することが重要です。

2020年にリリースされたCMMC 1.0には、制御ドメインとセキュリティ実践が含まれており、基本的なサイバーハイジーン（レベル1）から高度/進歩的（レベル5）までの5つのセキュリティ成熟度レベルに分かれています。CMMC 2.0は成熟度レベルを5から3に減らしました。CMMC 2.0はレベル2と4を削除しました。成熟度レベル1は変更されず、FAR条項52.204-21の15のサイバーセキュリティ実践に一致する17の実践要件を持っています。

CMMC 2.0レベル2は、以前の成熟度レベル3に取って代わりますが、デルタ20の実践はなく、NIST SP 800-171の110の実践に一致しています。CMMC 2.0レベル3は、NIST 800-172のサブセットに基づいて開発中であり、以前の成熟度レベル4と5に取って代わります。

CMMC 1.0とCMMC 2.0の主な違い

CMMC 1.0からCMMC 2.0への移行に伴う主な違いには以下のものがあります：

認証レベル

CMMC 1.0モデルは5つの認証レベルを確立しましたが、CMMC 2.0モデルは認証レベルを3つに統合しました。認証レベルは、特定の契約に必要なセキュリティ要件を決定するために重要です。

CMMC 2.0では、レベル1（基礎）は、FCIを扱うDoD請負業者と下請け業者に必要です。CMMC 2.0レベル1は、FAR条項52.204-21に指定されたFCIを保護するための基本的なサイバーセキュリティ実践を遵守することを組織に要求します。

CMMC 2.0レベル2（高度）は、アクセス制御、インシデント対応、メディア保護など、より堅牢なサイバーセキュリティ実践を組織に要求します。このレベルは、より高度な脅威からCUIの整合性と可用性を保護するために設計されています。高度レベルは、国家標準技術研究所SP 800-171（NIST 800-171）に一致しています。このレベルは、CMMC第三者評価認定機関（C3PAO）による3年ごとの第三者評価を必要とします。

レベル3（エキスパート）はCMMCの最高レベルであり、システムの強化やデータ復旧などの高度な実践の実施を要求します。このレベルは、持続的標的型攻撃からCUIの機密性、整合性、可用性を保護するために設計されています。レベル3に関する情報は後日公開され、NIST SP 800-172に指定されたセキュリティ要件のサブセットを含みます。

ドメイン構造

CMMC 2.0モデルに含まれるセキュリティドメインの数は、CMMC 1.0モデルと比較して大幅に増加しました。追加されたドメインは、日常業務により密接に関連しており、インシデント対応、異常検出、サプライチェーンリスク管理、システムセキュリティ計画などのトピックを含んでいます。これらの新しいドメインは、請負業者の業務のより包括的なビューを提供し、資産のセキュリティの保証を強化します。

第三者評価者

CMMC 2.0モデルは、レベル2とレベル3にC3PAOの使用を要求します。C3PAOは、DIBサプライチェーンの企業がCMMC標準のサイバーセキュリティ要件を満たしていることを評価し、認証する責任を負っています。彼らの責任には、CMMC標準への準拠証明書の評価と発行が含まれます。

CMMC 2.0コンプライアンスを達成するためのベストプラクティス

組織がCMMC 2.0コンプライアンスの3つのレベルのいずれかに成功裏に準拠し、認証を受けるためには、以下のベストプラクティスに従う必要があります：

セキュリティコントロールの実施

CMMC 2.0コンプライアンスを達成するための最初のステップは、セキュリティコントロールを実施することです。まず、組織は現在のコンプライアンス要件を特定し、実施すべきセキュリティコントロールの範囲を示す基準となるリスク評価を確立する必要があります。セキュリティコントロールは、組織の特定のニーズに合わせて調整され、すべてのシステムとプロセスがカバーされるようにする必要があります。組織は、情報とシステムを保護するために必要な技術的および手続き的な対策を考慮する必要があります。これには、アクセス制御、IDおよび認証管理、構成管理、職務分離、データセキュリティ、システムパッチと脆弱性管理、セキュリティトレーニング、インシデント対応計画などが含まれます。

継続的な監視の実施

セキュリティコントロールが実施された後、組織はそれらが継続的に監視されることを確認する必要があります。継続的な監視には、実施されたセキュリティコントロールの有効性を確認し、現在の脅威がタイムリーに特定され対処されることを保証するために、環境を定期的に評価することが含まれます。組織は、監視活動中に発生する可能性のある問題を特定、評価、修正するプロセスを開発する必要があります。このプロセスには、セキュリティインシデントの文書化、セキュリティ活動とトレンドのレビュー、必要に応じて適切な行動を取るための措置が含まれるべきです。

インシデント対応計画の確立

組織は、CMMC 2.0コンプライアンスを試みる前に、インシデント対応計画を確立する必要があります。この計画には、セキュリティインシデントが発生した場合に組織が取るべきステップ、対応を引き起こすインシデントの種類、関与する人員の役割と責任、従うべきプロセス、適切なコミュニケーション活動が含まれるべきです。また、組織は、セキュリティインシデントからの復旧計画を開発することも重要です。これには、復元すべきデータとシステムの特定、それらを復元するために必要なステップ、通知すべき人員の特定が含まれます。さらに、組織は、インシデント対応計画を定期的にレビューし、更新して、最新で効果的であることを確認する必要があります。

コンプライアンスの文書化

組織は、CMMC 2.0への準拠を示すために、プロセスと活動を文書化する必要があります。文書化には、セキュリティポリシー、手順、トレーニング活動、インシデント対応計画、評価結果が含まれるべきです。すべての文書が正確で最新であり、簡単にアクセスできることを確認することが重要です。組織は、文書の使用方法とカバーする内容を含め、すべての人員が文書に精通していることを確認する必要があります。さらに、組織は、環境の変化に対応するために、文書が定期的にレビューされ、更新される手順を開発する必要があります。

よくある質問

なぜCMMCコンプライアンスが重要なのですか？

DoDは、すべての請負業者が政府契約を受ける資格を得るためにCMMC要件を遵守することを義務付けています。これにより、これらの請負業者が悪意のある行為者やデータ侵害に対する保護措置を理解し、積極的に実施していることが保証されます。CMMCコンプライアンスは、組織がサイバーセキュリティへの取り組みを示し、機密顧客データが適切に保護されていることを示すためにも重要です。

CMMCのセキュリティ要件とは何ですか？

CMMCのセキュリティ要件は、組織がネットワークを保護し、データを保護し、適用される法律や規制に準拠するのを支援するために設計された一連のセキュリティ基準です。要件は、上記のCMMC 2.0の3つのレベルに分かれており、アクセス制御、構成管理、インシデント対応、メディア保護、システムおよび通信保護、人員セキュリティ、物理的保護などの分野をカバーしています。

CMMC要件はNIST SP 800-171要件とどのように異なりますか？

CMMC 2.0レベル2はNIST SP 800-171に一致しており、DIBの組織が自己認証を行い、コンプライアンスを達成するか、コンプライアンスに向けた具体的なステップを踏むことを指定しています。CMMCレベル2と3は、C3PAOが組織を評価し、そのサイバーセキュリティプログラムの状態に基づいて成熟度レベルを割り当てるための規定を設けています。レベル1、基礎レベルは、自己評価のみを要求します。

KiteworksでCMMCコンプライアンスを加速

Kiteworksは、DoDやCMMC認証を必要とするさまざまなDIBサプライヤーなどの連邦機関向けの信頼できるサイバーセキュリティソリューションプロバイダーです。KiteworksはFedRAMP中程度の影響レベルに認定されているため、Kiteworksを使用するDoDサプライヤーは、CMMC 2.0レベル2要件の約90％をすぐにサポートすることができ、DoD請負業者と下請け業者がCMMCレベル2コンプライアンスを取得するために必要な時間を大幅に短縮します。

これは、DoDサプライヤーがC3PAO監査を受ける際に、ポジティブな結果をもたらします。具体的には、KiteworksプライベートコンテンツネットワークがCMMCプロセスと監査手続きを効率化し、全体のプロセスを迅速かつ効率的にします。Kiteworksのサポートにより、DoD請負業者はCMMCコンプライアンスを迅速かつ容易に取得し、DoDビジネスを保護することができます。

Kiteworksプラットフォームを実際に体験し、CMMCコンプライアンスの旅を加速する方法を確認するために、カスタムデモをスケジュールしてください。

リスクとコンプライアンス用語集に戻る