CMMC 2.0 レベル3コンプライアンス：概要、要件、課題、非コンプライアンスリスク

制御されていない分類情報（CUI）にアクセスする国防総省（DoD）の請負業者またはサプライヤーにとって、サイバーセキュリティ成熟度モデル認証（CMMC） 2.0への準拠は不可欠です。CMMC 2.0コンプライアンスにより、民間セクターの請負業者は可能な限り最高のサイバーセキュリティレベルを示し、DoDとのビジネスを継続することができます。CMMC 2.0 レベル3、別名エキスパートは、持続的標的型攻撃（APT）からCUIを保護するためのサイバーセキュリティコントロールと実践の有効性に焦点を当てています。これは以前のCMMC 1.0 レベル5を置き換え、いくつかの重要な変更をもたらします。CMMC 2.0 レベル3は、DoDプログラムで最も優先度の高いCUIを扱う企業に適用されます。

CUIにアクセスする請負業者または組織にとって、CMMC 2.0 レベル3への準拠は、可能な限り最高のサイバーセキュリティレベルを維持するために不可欠です。この記事では、CMMC 2.0 レベル3のコンプライアンス要件の包括的な概要を提供し、最新のセキュリティ規制に準拠するための道のりを確実に開始するのに役立ちます。

CMMC 2.0 レベル3コンプライアンス：決定版ガイド

CMMC レベル3コンプライアンス：ビジネスの利点

CMMC レベル3要件を遵守する主な利点は、DoDがCUIの処理、収集、送信、受信、保存が安全で不正アクセスから保護されていることを保証するために必要な保証を提供することです。最終的に、CMMC レベル3コンプライアンスは、組織のCUI保護能力に対する信頼を高め、サイバーセキュリティへのコミットメントを示します。CMMC レベル3要件への準拠は、政府契約へのアクセスを増やす機会を提供し、防衛産業の企業や潜在的な民間セクターの顧客にとってより魅力的なパートナーとなることができます。

CMMC 2.0 レベル3コンプライアンスは必須ですか？

いいえ、CMMC 2.0 レベル3コンプライアンスは必須ではありません。DoDとビジネスを行う組織は、CMMCによって概説された最低限のセキュリティ姿勢を満たす必要がありますが、必要なサービスに応じて、特定の認証レベルが求められます。組織は、契約のセキュリティ要件に応じて、レベル1、2、または3の異なるCMMC認証を取得することができます。

CMMC レベル3のドメインと要件

CMMC 2.0 レベル3では、134の必要なコントロールがあります（NIST SP 800-171から110、NIST SP 800-172から追加の24）。これらのコントロールは、リスクを管理する手段であり、ポリシー、手順、ガイドライン、実践、または組織構造を含み、管理、技術、管理、または法的性質のものであり、NIST SP 800-171、NIST SP 800-172、およびFAR 52.204-21によって指定されています。これらの実践は、NIST SP 800-172のサブセットである以下の14の異なるドメインに分類されます。CMMC 2.0は、請負業者が単なるプロセスの文書化を超えて、可能な限り最高のセキュリティを提供するために、コントロールの管理と実施に積極的に関与することを要求します。14のドメインには以下が含まれます：

アクセス制御

アクセス制御ドメインでは、CMMC レベル3の下で2つの追加要件が導入されています。それらには以下が含まれます：

組織が所有、提供、または発行した情報リソースにのみ、システムおよびシステムコンポーネントへのアクセスを制限します。
接続されたシステム上のセキュリティドメイン間の情報フローを制御するために、組織が定義した安全な情報転送ソリューションを採用します。

意識とトレーニング

CMMC 2.0 レベル3の意識とトレーニングドメインでは、2つの実践が導入されています：

初回採用時、重大なサイバーイベント後、少なくとも年に一度、ソーシャルエンジニアリング、持続的標的型攻撃者、侵害、疑わしい行動からの脅威を認識し対応することに焦点を当てた意識トレーニングを提供します。トレーニングは少なくとも年に一度、または脅威に重大な変化があった場合に更新します。
すべてのユーザーに対する意識トレーニングに、役割に応じた実践的な演習を含め、一般ユーザー、専門的な役割を持つユーザー、特権ユーザーを含め、現在の脅威シナリオに合わせて調整し、トレーニングに参加した個人とその監督者にフィードバックを提供します。

構成管理

構成管理ドメインの下で、CMMC 2.0 レベル3は3つの追加の実践を導入しています：

承認され実施されたシステムコンポーネントの信頼できる情報源と責任を提供するために、権威ある情報源とリポジトリを確立し維持します。
誤って構成されたまたは不正なシステムコンポーネントを検出するために自動化されたメカニズムを採用します。検出後、コンポーネントを削除するか、パッチ適用、再構成、または他の緩和策を促進するために、コンポーネントを隔離または修復ネットワークに配置します。
システムコンポーネントの最新で完全、正確、かつ容易に利用可能なインベントリを維持するために、自動検出および管理ツールを採用します。

識別と認証

CMMC 2.0 レベル3の下で、識別と認証ドメインには2つの追加要件があります：

可能な限り、暗号ベースでリプレイ耐性のある双方向認証を使用してネットワーク接続を確立する前に、システムおよびシステムコンポーネントを識別し認証します。
組織のシステムに接続することを禁止するために、自動または手動/手続き的なメカニズムを採用します。コンポーネントが既知で、認証され、適切に構成されているか、信頼プロファイルにある場合を除きます。

インシデント対応

インシデント対応の下で、CMMC 2.0 レベル3は2つの追加の実践を導入しています：

24時間365日稼働するセキュリティオペレーションセンター機能を確立し維持し、リモート/オンコールスタッフを許可します。
組織が24時間以内に展開できるサイバーインシデント対応チームを確立し維持します。

個人セキュリティ

個人セキュリティドメインは、CMMC 2.0 レベル3の下で1つの追加の実践を追加します：

CUIにアクセスする個人に関する不利な情報が発生または取得された場合、組織のシステムが保護されていることを確認します。

リスク評価

CMMC 2.0 レベル3の下で、リスク評価には7つの追加があります：

リスク評価の一環として、オープンまたは商業的な情報源、またはDoDが提供する情報源を最低限使用し、組織のシステム、セキュリティアーキテクチャ、セキュリティソリューションの選択、監視、脅威ハンティング、対応および回復活動の開発を導くために脅威インテリジェンスを活用します。
組織のシステムにおける侵害の指標を検索し、既存のコントロールを回避する脅威を検出、追跡、および中断するために、継続的な非定期的なサイバー脅威ハンティング活動を実施します。
アナリストを支援するために、高度な自動化および分析機能を活用し、組織、システム、およびシステムコンポーネントに対するリスクを予測および特定します。
選択されたセキュリティソリューション、その理由、およびリスクの決定をシステムセキュリティ計画に文書化または参照します。
少なくとも年に一度、または関連するサイバー脅威情報を受け取った場合、または関連するサイバーインシデントに対応して、組織のシステムおよび組織に対する予想されるリスクに対処するために、セキュリティソリューションの有効性を評価します。
組織のシステムおよびシステムコンポーネントに関連するサプライチェーンリスクを評価、対応、および監視します。
組織のシステムおよびシステムコンポーネントに関連するサプライチェーンリスクを管理するための計画を策定し、少なくとも年に一度、関連するサイバー脅威情報を受け取った場合、または関連するサイバーインシデントに対応して計画を更新します。

セキュリティ評価

CMMC 2.0 レベル3の下で、セキュリティ評価には1つの追加があります：

少なくとも年に一度、またはシステムに重大なセキュリティ変更が加えられた場合に、主題専門家を使用して自動スキャンツールとアドホックテストを活用してペネトレーションテストを実施します。

システムと通信

システムと通信に関して、CMMC 2.0 レベル3の下での追加要件は以下です：

組織のシステムおよびシステムコンポーネントに物理的隔離技術または論理的隔離技術、またはその両方を採用します。

システムと情報の整合性

CMMC 2.0 レベル3の下で3つの追加があり、それらには以下が含まれます：

信頼の根拠メカニズムまたは暗号署名を使用して、セキュリティクリティカルおよび重要なソフトウェアの整合性を検証します。
IoT、IIoT、OT、GFE、制限情報システム、テスト機器を含む専門資産が、指定された強化セキュリティ要件の範囲に含まれているか、目的特定のネットワークに分離されていることを確認します。
侵入検知および脅威ハンティングを導くために、最低限オープンまたは商業的な情報源、およびDoDが提供する情報源から取得した脅威指標情報と効果的な緩和策を使用します。

CMMC レベル3コンプライアンスの課題

CMMC レベル3要件の実施における一般的な課題には、セキュリティプロセスの理解不足、特定のセキュリティコントロールの評価の難しさ、技術的コントロールの実施の難しさ、必要な分野での人材の訓練または維持の難しさが含まれます。さらに、組織はCMMC レベル3要件に準拠したポリシー、手順、およびプロセスの開発において課題に直面する可能性があり、組織のセキュリティ姿勢を確保するためにすべての利害関係者が自分の役割と責任を理解することを保証する必要があります。

CMMC 2.0 レベル3の課題を克服する

組織は、包括的なセキュリティ計画を策定し、人材のセキュリティトレーニングと教育に投資し、外部リソースを活用し、自動化ソリューションやサービスプロバイダーを活用して実施を支援し、利害関係者に情報を提供することで、CMMC レベル3要件の実施に関連する課題を克服できます。さらに、組織は定期的に組織のセキュリティ姿勢を監視し、コンプライアンスを確保し、追加の注意が必要な領域に対処する必要があります。組織はまた、セキュリティに対して積極的なアプローチを取り、セキュリティ評価プロセス中に特定された脅威と脆弱性に優先的に対応する必要があります。

CMMC 2.0 レベル3の非準拠リスク

組織がCMMC 2.0 レベル3要件に準拠しない場合、政府契約へのアクセスを失う可能性があり、組織は罰則や罰金を科される可能性があります。さらに、要件に準拠しないことは、組織のCUIおよびその他の機密コンテンツを保護する能力に対する信頼の喪失や評判の損失につながる可能性があります。

KiteworksはDoDサプライヤーのCMMC 2.0コンプライアンス達成を加速します

Kiteworksプライベートコンテンツネットワーク（PCN）は、FedRAMP認定を受けており、中程度の影響レベルに対応しています。その結果、Kiteworks PCNはDoDの請負業者および下請け業者がCMMC 2.0コンプライアンスを示すのを支援します。実際、KiteworksはCMMC レベル2要件の約90%を即座にサポートしています。FedRAMP認定を受けていない他のコンプライアンスベンダーは、このレベルのコンプライアンスを達成することができません。したがって、KiteworksはDoDサプライヤーがCMMC レベル2コンプライアンスを達成するための時間を加速します。

コンテンツ定義ゼロトラストアプローチを使用し、FedRAMP認定プラットフォームと強化された仮想アプライアンスを特徴とするKiteworksは、CUIおよびFCIコンテンツを含む機密通信を、メール、ファイル共有、マネージドファイル転送、ウェブフォーム、およびアプリケーションプログラミングインターフェイス（API）を含む多数のチャネルで保護します。

今日、カスタムデモをスケジュールして、KiteworksプライベートコンテンツネットワークがDoDの請負業者および下請け業者がCMMC認証プロセスを加速し簡素化する方法をご覧ください。

リスク＆コンプライアンス用語集に戻る