CMMCレベル2コンプライアンス要件ガイド
サイバーセキュリティ成熟度モデル認証(CMMC)は、防衛請負業者が対処すべき段階的で重要なマイルストーンです。CMMCレベル2は、高度なサイバーハイジーンに焦点を当てており、組織がレベル1からレベル3に進むための論理的かつ必要な進展を提供します。連邦契約情報(FCI)の保護に加えて、レベル2には制御されていない分類情報(CUI)の保護が含まれます。レベル1と比較して、レベル2に含まれる追加の実践セットは、国防総省のサプライヤーがより危険なサイバー脅威に対抗するための準備を整えます。
CMMCレベル2は、モデルのプロセス成熟度要素も導入します。CMMCレベル2では、組織が重要なサイバーセキュリティ機能を実行し、文書化することが期待されます。CMMCレベル2コンプライアンスのための詳細なロードマップを整備することは、国防総省のサプライチェーン内でCUIを交換するすべてのDoDサプライヤーにとって重要です。
CMMCレベル2コンプライアンスが必要な人は誰ですか?
現在国防総省と協力している、または協力を計画している請負業者および下請業者は、コンプライアンスを証明する必要があります。これらの企業が国家安全保障に重要な情報を処理、取り扱い、または管理する場合、CMMCレベル2コンプライアンスが必要です。CMMCレベル2コンプライアンスを達成するためには、請負業者は広範なCMMCレベル2第三者評価を受ける必要があります。
CMMCレベル2には、NIST 800-171から直接来る110の管理策があります。以下のようなDoD契約に入札したい人には、CMMCレベル2認証が必要です:
- 制御されていない分類情報(CUI)
- 制御技術情報(CTI)
- ITARまたは輸出管理データ
自分がCUIを持っているかどうかを知るには?
CUIは、機密性が高いが分類されていないデータをカバーするために使用される用語です。これには、個人識別情報(PII)、機密ビジネス情報、保護された健康情報(PHI)、重要インフラおよびサイバーセキュリティ情報、法執行機関の運用に関連する保護された情報(CJIS)が含まれる場合があります。CUIの目的は、データが分類されておらず、非分類と見なされていても、依然として保護され、特定のプロセスを経て安全に取り扱われ、必要な人だけがアクセスできるようにすることです。CUIには、高度なセキュリティで取り扱う必要があるデータが含まれており、それを保護するために重要です。このデータを取り扱うすべての人が、CUIの保護について十分に訓練され、知識を持っていることが重要です。
メールのCMMCセキュリティ要件
CMMCレベル2コンプライアンスは、CUIを保護するためのメールセキュリティを含む中間的なサイバーハイジーンの実践を確立することに焦点を当てています。メール保護ゲートウェイ(EPG)は、CUIのメール通信を保護する上で重要であり、暗号化プロセスをエンドユーザーにとって透明にします。EPGソリューションを導入することで、組織はスパムフィルタリング、フィッシング保護、データ損失防止、セキュアなメール暗号化などの強力なメールセキュリティ機能を提供し、CMMCレベル2の要件を満たすことができます。これらの要件を遵守することで、組織は機密情報を保護し、サイバー脅威を軽減し、進化するサイバーセキュリティの状況に対応することができます。
CMMCレベル2コンプライアンスを達成するには何が必要ですか?
CMMCレベル2コンプライアンスを達成するには、サイバーセキュリティへの包括的なアプローチが必要です。これには、ポリシーと手順の実施、技術的な管理策の使用、堅牢な教育とトレーニングチャネルの確立が含まれます。ポリシーと手順に関しては、レベル2では、組織がシステムセキュリティ計画、メディア保護ポリシー、コンティンジェンシープラン、インシデント対応、パッチ管理、アカウント管理手順を整備する必要があります。
技術的な管理策の側面では、組織は認証、メディアラベリング、システム監視、システム整合性、ウイルス保護、監査のための管理策を整備する必要があります。組織はまた、適切なクリアランスを持つ人員が環境を保護する役割を十分に理解するための承認されたトレーニングと教育プログラムを整備する必要があります。レベル2コンプライアンスを達成するには、積極的な技術的対策の実施、明確なプロセスと手順、包括的な教育とトレーニングプログラムをバランスよく組み合わせたセキュリティへの包括的なアプローチが必要です。
CMMCレベル2の準備:チェックリスト
CMMCレベル2コンプライアンスの準備は、組織のサイバーセキュリティ体制を体系的に強化することを含みます。このCMMCレベル2チェックリストは、プロセスをガイドします:
- 14のドメインにわたる110の要件を含むCMMCレベル2の要件に精通する。
- 改善が必要な領域を特定するための包括的なギャップ分析を実施する。
- 特定されたギャップに対処し、必要な管理策を実施するための修正計画を策定する。
- コンプライアンスの取り組みをサポートするために、予算や人員などのリソースを割り当てる。
- スタッフにCMMC要件とサイバーセキュリティのベストプラクティスを訓練する。
- コンプライアンスの取り組みをサポートするためのポリシー、手順、文書を実施する。
- コンプライアンスを維持するために、サイバーセキュリティの実践を定期的にレビューし、更新する。
- CMMCコンサルタントやC3PAOと連携して、ガイダンスと評価サポートを受ける。
- 公式のCMMC評価の前に準備状況を評価するための自己評価を実施する。
- コンプライアンスを確認するために、認定されたC3PAOとのCMMC評価をスケジュールする。
CMMC 2.0レベル2コンプライアンス要件
レベル2のCMMC要件には、15のドメインにグループ化された110の管理策が含まれています:
ドメイン | 管理策の数 |
---|---|
1. アクセス制御(AC) | 22の管理策 |
2. 監査と説明責任(AU) | 9の管理策 |
3. 意識とトレーニング(AT) | 3の管理策 |
4. 構成管理(CM) | 9の管理策 |
5. 識別と認証(IA) | 11の管理策 |
6. インシデント対応(IR) | 3の管理策 |
7. メンテナンス(MA) | 6の管理策 |
8. メディア保護(MP) | 9の管理策 |
9. 人事セキュリティ(PS) | 2の管理策 |
10. 物理的保護(PE) | 6の管理策 |
11. リカバリー(RE) | 2の管理策 |
12. リスク管理(RM) | 3の管理策 |
13. セキュリティ評価(CA) | 4の管理策 |
14. システムと通信の保護(SC) | 16の管理策 |
15. システムと情報の整合性(SI) | 7の管理策 |
各ドメインの管理策は以下の通りです:
アクセス制御
この要件ファミリーは最大で、22の管理策を含みます。アクセス制御の下で、組織はIT環境内のすべてのアクセスイベントを監視し、システムとデータへのアクセスを制限する必要があります。アクセス制御の下での要件には以下が含まれます:
- 最小特権の原則を実施する
- 暗号化と認証を使用して無線アクセスを承認し保護する
- 不正な活動を防ぐために個人の職務を分離する
- リモートアクセスを監視し制御する
- モバイルデバイスの使用を制御し制限する
- 組織内でのCUIの流れを制御し、モバイルデバイスで暗号化する
監査と説明責任
このファミリーは9つの管理策で構成されています。組織はセキュリティ調査で使用するために監査記録を保持し、ユーザーの行動に対して説明責任を持たせる必要があります。組織は監査ログを収集し分析して、無許可の活動を検出し迅速に対応する必要があります。これらの管理策を実施するためのいくつかのステップがあります:
- 監査システムを無許可のアクセスから保護する
- 監査されたイベントをレビューし更新する
- 監査プロセスの失敗を報告する
- オンデマンド分析をサポートし、コンプライアンスの証拠を提供するレポートを生成する
意識とトレーニング
この管理策ファミリーは、管理者、システム管理者、その他のユーザーが自分の活動に関連するセキュリティリスクを認識していることを保証する必要があります。彼らは組織のセキュリティポリシーと基本的なサイバーセキュリティの実践に精通し、内部および外部の脅威を認識し対応する必要があります。
構成管理
構成管理の要件では、企業はベースライン構成を確立し維持する必要があります。これには、ユーザーがインストールしたソフトウェアや組織のシステムに加えられた変更を制御し監視することが含まれます。このドメインのコンプライアンス要件には以下が含まれます:
- 無許可のソフトウェアをブラックリストに登録する
- ITシステムの変更によりアクセスが制限されたすべてのイベントを文書化する
- 必須でないプログラム、機能、プロトコル、サービスの使用を制限、無効化、または禁止する
- システムを構成して必須の機能のみを提供することで最小機能の原則を採用する
識別と認証
識別と認証の要件ファミリーは、認証されたユーザーのみが組織のネットワークやシステムにアクセスできることを保証します。パスワードと認証手続きおよびポリシーをカバーする11の要件があります。また、ユーザーの信頼性のある識別もカバーしています。特権アカウントと非特権アカウントの区別を保証するための要件は、ネットワークアクセスに反映されています。
インシデント対応
このファミリーでは、組織はデータ侵害を引き起こす可能性のあるインシデントに迅速に対応できるインシデント対応戦略を持つ必要があります。組織は、セキュリティインシデントを検出、分析、対応し、適切な担当者に報告する能力を実装し、インシデント対応計画を定期的にテストすることができます。
メンテナンス
不適切なシステムメンテナンスはCUIの漏洩を引き起こす可能性があるため、情報の機密性に対する脅威となります。企業は以下の要件に従って定期的なメンテナンスを実施する必要があります:
- メンテナンス活動を行う個人やチームを注意深く監視する
- 診断およびテストプログラムを含むメディアが悪意のあるコードを含まないことを保証する
- オフサイトメンテナンスのために取り外された機器に機密データが含まれていないことを保証する
メディア保護
メディア保護の管理策ファミリーは、CUIを含むシステムメディアのセキュリティを保証する必要があります。これには紙媒体とデジタルメディアの両方が含まれます。
人事セキュリティ
これは小さな管理策ファミリーであり、企業はユーザーの活動を監視し、従業員の解雇や転勤などの人事行動中および後にCUIを含むすべてのシステムが保護されていることを保証する必要があります。
物理的保護
物理的保護には、ハードウェア、ソフトウェア、ネットワーク、およびデータを物理的なイベントによる損傷や損失から保護することが含まれます。このドメインでは、物理的な損傷のリスクを軽減するためにいくつかの活動を行う必要があります:
- 物理的アクセスデバイスを制御する
- システムおよび機器への物理的アクセスを許可されたユーザーに制限する
- 物理的アクセスの監査ログを維持する
リカバリー
リカバリーの下で、組織は定期的にデータバックアップを実行しテストし、ストレージ場所でのバックアップCUIの機密性を保護する必要があります。
リスク管理
定期的なリスク評価の実施と分析をカバーする2つの要件があります。組織は、システムを定期的にスキャンして脆弱性をチェックし、ネットワークデバイスとソフトウェアを更新し安全に保つ必要があります。定期的に脆弱性を強調し強化することで、システム全体のセキュリティが向上します。
セキュリティ評価
組織は、データを安全に保つのに十分な効果があるかどうかを判断するために、セキュリティ管理策を監視し評価する必要があります。組織は、システムの境界、異なるシステム間の関係、およびセキュリティ要件を実施する手順を説明する計画を持ち、その計画を定期的に更新する必要があります。
システムと通信の保護
これは、ITシステムによって送信または受信される情報を監視、制御、および保護するための16の管理策を含むかなり大きな要件ファミリーです。以下のような活動が含まれます:
- 情報の無許可の転送を防ぐ
- CUIの無許可の開示を防ぐための暗号化メカニズムを実装する
- 内部ネットワークから分離された公開アクセス可能なシステムコンポーネントのためのサブネットワークを構築する
- デフォルトでネットワーク通信トラフィックを拒否する
システムと情報の整合性
この管理策グループは、企業がシステムの欠陥を迅速に特定し修正し、重要な資産を悪意のあるコードから保護することを要求します。これには以下のタスクが含まれます:
- ITシステムの無許可使用を示すセキュリティアラートを監視し迅速に対応する
- ITシステムの定期的なスキャンを実施し、外部ソースからダウンロードまたは操作されたファイルをスキャンする
- 新しいバージョンが利用可能になったらすぐに悪意のあるコード保護メカニズムを更新する
CMMCコンプライアンスのコスト
CMMCコンプライアンスを達成するためのコストは、組織の規模、複雑さ、および求められる認証レベルによって異なります。
中小企業(SMB)にとって、コンプライアンスのコストはかなりのものになる可能性があります。初期投資には、セキュリティ管理策の実施、サイバーセキュリティを管理するためのスタッフの雇用またはトレーニング、これらの取り組みをサポートするためのツールの調達が含まれる場合があります。組織はまた、定期的なセキュリティ監査、ソフトウェアの更新、従業員のトレーニングなど、コンプライアンスを維持するためのリソースを割り当てる必要があるかもしれません。
基本的なサイバーハイジーンの実践に焦点を当てたCMMCレベル1コンプライアンスは、通常、より高いレベルよりも低い投資を必要とします。組織がCMMCレベル2またはCMMCレベル3を目指すと、より高度な管理策、文書化、継続的な監視が必要になるため、コストが増加します。
組織は、必要なセキュリティ対策を特定し、関連するコストを見積もるために、包括的なリスク評価とギャップ分析を実施する必要があります。CMMC第三者評価機関(C3PAO)または登録プロバイダー組織(RPO)と連携することで、組織はプロセスをガイドし、コンプライアンスへのスムーズな移行を確保することができます。
私の組織はCMMCレベル2評価のためにどのように準備すべきですか?
CMMCレベル2(高度)は、重要な国家安全保障情報を送信、共有、受信、保存するDoD請負業者に対して3年ごとの第三者評価を必要とします。これらの第三者評価は、CMMC認定機関(CMMC-AB)によって認可および認定されたCMMC第三者評価機関(C3PAO)によって実施され、CMMC標準に準拠していることを証明するために認証を求める請負業者および下請業者の評価を行います。
プロセスが成功するためには、十分に準備することが重要です。成功する準備を確保するために以下のステップを実行する必要があります:
- 基準、基準、目的を含む評価フレームワークと要件を理解する
- 関連する文書とコンプライアンスの証拠をすぐにアクセス可能で最新の状態に保つ
- 要件を満たすために十分な時間とリソースを確保して評価を適切に計画する
- 評価を促進するために人員を割り当て、適切な場所で評価をスケジュールし、適切な機器と資料を用意する
- 包括的なトレーニングセッションを通じて、すべての関連する利害関係者が十分に準備されていることを確認する
CMMCレベル2コンプライアンスの達成
CMMCレベル2コンプライアンスを達成するには、制御されていない分類情報(CUI)および連邦契約情報(FCI)を保護する中間的なサイバーハイジーンの実践を実施することが含まれます。組織は14のドメインにわたる110の要件すべてを満たす必要があります。重要なステップには、徹底的なギャップ分析の実施、修正計画の策定、必要なセキュリティ管理策の実施、スタッフのトレーニングの提供が含まれます。CMMCコンサルタントや第三者評価機関(C3PAO)と連携することで、組織はプロセスをナビゲートし、適切な実施を確保し、コンプライアンスを確認し、最終的にサイバーセキュリティ体制を強化することができます。
完全なCMMC評価の責任者は誰ですか?
CMMC第三者評価機関(C3PAO)は、完全なCMMC評価を実施する責任を負っています。これらの組織はCMMC認定機関(CMMC-AB)によって認定され、CMMCフレームワークに対して組織のサイバーセキュリティの実践と管理策を評価する認定評価者で構成されています。C3PAOは、組織が必要なCMMCレベルに準拠していることを公正に確認し、機密情報を保護し、国防総省(DoD)のサプライチェーン内で契約を維持するためのセキュリティ基準を満たしていることを保証します。
CMMC 2.0自己評価基準とスコアリングシステム
元のCMMCフレームワークの更新版であるCMMC 2.0は、組織が自己評価を実施できるようにすることでコンプライアンスを簡素化します。基準は、組織の基本的なサイバーセキュリティの実践と管理策への準拠を評価します。実施の程度に基づいて、スコアリングシステムは組織のサイバーセキュリティ成熟度の定量的な指標を提供します。スコアが高いほど、サイバーセキュリティ体制が優れていることを示します。自己評価テンプレートとツールを活用することで、組織は改善のための領域を特定し、ギャップに対処する計画を策定し、CMMC 2.0コンプライアンスの達成に向けた進捗を追跡することができます。
C3PAOはCMMC 2.0レベル2コンプライアンスにどのように適合しますか?
C3PAOは、CMMC 2.0レベル2コンプライアンスを達成するために重要です。C3PAOの評価者は、CMMC要件に対して組織の既存のポリシー、プロセス、および管理策を評価します。彼らは既存のセキュリティ文書をレビューし、インタビューを実施し、システムと物理的セキュリティの現地検査を行います。組織の現在のコンプライアンスレベルを評価した後、C3PAOはその結果を報告します。この報告書は、CMMC認定機関に提出され、レビュー、評価、および認証が行われます。
KiteworksはDoDサプライヤーのCMMC 2.0コンプライアンス達成を加速します
Kiteworksプライベートコンテンツネットワークは、FedRAMP認定を受けており、中程度の影響レベルに対応しています。FedRAMP認証を受けているため、KiteworksはCMMC 2.0レベル2の要件の約90%を標準でサポートしています。FedRAMP認定を受けていない技術プロバイダーは、このレベルのコンプライアンスを達成することができません。その結果、KiteworksはDoDサプライヤーがCMMCレベル2コンプライアンスを達成するための時間を加速します。コンテンツ定義のゼロトラストアプローチを使用して、Kiteworksは、メール、ファイル共有、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース(API)など、さまざまな通信チャネルを通じてCUIおよびFCIコンテンツの機密通信を保護します。
DoD請負業者および下請業者がCMMC認証プロセスを加速し簡素化する方法を確認するために、カスタムデモをスケジュールしてください。