FedRAMPとCMMC要件:知っておくべきすべてのこと
企業が効率的に拡大するためにデジタルインフラにますます依存する中、サイバー脅威やデータ侵害のリスクは増加し続けています。米国政府は、この課題に対処するために、連邦リスク承認管理プログラム(FedRAMP)やサイバーセキュリティ成熟度モデル認証(CMMC)などのサイバーセキュリティフレームワークを実施しています。このガイドでは、これら2つのプログラムの要件、利点、認証取得方法について詳しく探ります。
サイバーセキュリティフレームワークの理解
クラウドベースのサービスが急速に成長し、機密データが不正アクセスにさらされるリスクが高まる中、サイバーセキュリティは企業や政府にとって最優先事項となっています。サイバー攻撃やデータ侵害は、重大な財務損失、評判の損害、訴訟につながる可能性があります。米国政府は、これらの課題に対処するために、異なる業界やセクター全体でサイバーセキュリティの実践を標準化し、改善するサイバーセキュリティフレームワークを確立しました。
重要なサイバーセキュリティフレームワークの一つが、連邦リスク承認管理プログラム(FedRAMP)です。FedRAMPは、連邦政府が使用するクラウドベースのサービスに対するセキュリティ評価、承認、継続的な監視のための標準化されたアプローチを提供します。もう一つのフレームワークは、サイバーセキュリティ成熟度モデル認証(CMMC)で、防衛請負業者や下請け業者が政府契約に入札する前に特定のサイバーセキュリティ要件を満たすことを保証するために設計されています。
FedRAMPの要件と利点
連邦リスク承認管理プログラム(FedRAMP)は、クラウドベースのサービスに対するセキュリティ評価、承認、継続的な監視のための標準化されたアプローチを提供する政府全体のプログラムです。このプログラムは、クラウドベースのセキュリティの課題に対処し、連邦機関による安全なクラウドソリューションの採用を促進するために2011年に設立されました。FedRAMP認証を取得することで、政府機関との信頼性の向上、セキュリティ体制の改善、ベストプラクティスへの準拠、業務の継続性、承認取得のための効率化されたプロセスなど、企業に多くの利点を提供します。さらに、セキュリティリソースの共有による規模の経済、管理の負担と監査コストの削減、連邦政府へのクラウドサービスの提供能力を活用できます。
FedRAMPの要件とは?
FedRAMP認証を取得するためには、クラウドサービスプロバイダー(CSP)は、開始、セキュリティ評価、承認の3つのフェーズを含む厳格なセキュリティ評価プロセスを経る必要があります。評価プロセス中に、CSPは以下の要件を満たす必要があります:
NIST SP 800-53のコントロールを実施
FedRAMPは、CSPに対して、連邦情報システムのための包括的なセキュリティコントロールを提供する国立標準技術研究所(NIST)の特別出版物(SP)800-53のコントロールを実施することを要求します。
独立したセキュリティ評価を実施
CSPは、独立した第三者評価機関(3PAO)を雇って、クラウドサービス提供(CSO)のセキュリティ評価を実施する必要があります。
機関からのATOを取得
CSPは、CSOをその機関に提供する前に、連邦機関から運用許可(ATO)を取得する必要があります。
Kiteworksは、長いコンプライアンスと認証の実績を誇ります。
FedRAMP認証の利点とは?
FedRAMP認証を取得するには、かなりの時間とリソースを費やす必要があります。しかし、FedRAMP認証を取得したほとんどの組織は、その利点がコストをはるかに上回ることを認めています。FedRAMP認証は、クラウドサービスプロバイダーと連邦機関にいくつかの利点を提供します。
効率化されたセキュリティ評価
複数の連邦機関と協力したいCSPは、FedRAMP認証を取得することで、複数のセキュリティ評価を回避できます。
コスト削減
FedRAMP認証は、FedRAMP要件に準拠した標準化された一貫したアプローチを提供するため、CSPはセキュリティ評価に関連するコストと労力を削減できます。
セキュリティの向上
FedRAMP認証は、CSPとそのプラットフォームが厳格なセキュリティ基準を満たし、継続的にコンプライアンスが監視されていることを保証します。
信頼できるサービス
FedRAMP認証は、連邦機関に対して、特定のセキュリティ要件を満たす信頼できる安全なクラウドサービスを提供します。
CMMCの要件と利点
サイバーセキュリティ成熟度モデル認証(CMMC)は、2020年に導入された新しいプログラムで、国防総省(DoD)の請負業者と下請け業者が政府契約に入札する前に特定のセキュリティ要件を満たすことを保証します。これは、防衛産業基盤(DIB)内で連邦契約情報(FCI)と制御されていない分類情報(CUI)を保護するために、組織が適切なセキュリティ対策を講じていることを保証するために設計されています。CMMCは、5つの成熟度レベルを提供し、組織が政府データとCUIを保護するために必要な実践とプロセスを備えていることを保証します。CMMC認証は、防衛請負業者と下請け業者がサイバーセキュリティへの取り組みを示し、機密情報の保護に真剣であることをDoDに示す機会です。
CMMCの要件とは?
CMMC認証は、防衛請負業者が5つのレベルにわたってサイバーセキュリティの実践とプロセスを実施することを要求します。各レベルは前のレベルに基づいて構築され、レベル1は基本的なサイバーセキュリティの衛生を表し、レベル5は最も高度なサイバーセキュリティの実践を表します。(注:2021年11月に導入されたCMMC 2.0は、フレームワークを簡素化し、コストと時間を削減するために、成熟度レベルを5から3に減らすことを提案しています。)CMMCの要件には、以下が含まれますが、これに限定されません:
基本的なサイバーセキュリティの衛生を実施
レベル1は、防衛請負業者がアンチウイルスソフトウェアの使用や定期的なバックアップの実施など、基本的なサイバーセキュリティの衛生を実施することを要求します。
サイバーセキュリティの実践を文書化
レベル2は、防衛請負業者がインシデント対応やアクセス制御を含むサイバーセキュリティの実践とポリシーを文書化することを要求します。
中間的なサイバーセキュリティの実践を実施
レベル3は、防衛請負業者がネットワークセグメンテーションやデータ暗号化などの中間的なサイバーセキュリティの実践を実施することを要求します。
実践の効果をレビューし測定
レベル4は、防衛請負業者が脆弱性評価やペネトレーションテストを含むサイバーセキュリティの実践の効果をレビューし測定することを要求します。
サイバーセキュリティの実践を最適化
レベル5は、防衛請負業者が継続的な改善と最新のサイバーセキュリティのトレンドと脅威に基づいてサイバーセキュリティの実践を最適化することを要求します。
CMMC認証の利点とは?
CMMC認証を示すことで、市場性を高め、セキュリティ体制を改善し、企業の信頼性を向上させることができます。CMMC認証は、セキュリティプロセスを効率化し、効率を向上させ、CMMCコンプライアンスを必要とする契約に入札することで競争優位性を提供します。追加の利点には、以下が含まれます:
制御されていない分類情報(CUI)の保護を確保
CMMC認証は、防衛請負業者がCUIを保護するために適切なサイバーセキュリティ対策を実施していることを保証します。CUIは分類されていないが、依然として保護が必要な機密情報です。
防衛産業基盤のセキュリティを強化
CMMC認証は、すべての防衛請負業者が最低限のサイバーセキュリティ要件を満たしていることを保証することで、防衛産業基盤(DIB)のセキュリティを強化します。
防衛請負業者の競争力を向上
CMMC認証は、サイバーセキュリティへの取り組みと政府契約の要件を満たす能力を示すことで、防衛請負業者の競争力を向上させることができます。
調達プロセスの効率化
CMMC認証は、すべての防衛請負業者が正確なサイバーセキュリティ要件を満たしていることを保証することで、政府契約の調達プロセスを効率化します。
FedRAMP認証とCMMC認証を取得する方法
FedRAMP認証とCMMC認証を取得することは、複雑で時間のかかるプロセスですが、連邦政府とビジネスを行いたいクラウドサービスプロバイダーや防衛請負業者にとっては不可欠です。
FedRAMP認証を取得する方法
FedRAMP認証を取得するために、クラウドサービスプロバイダーは以下のステップを踏む必要があります:
適切なFedRAMPベースラインを決定
CSPは、連邦情報システムへのリスクと影響のレベルに基づいて、クラウドサービス提供(CSO)の適切なFedRAMPベースラインを決定する必要があります。
第三者評価機関(3PAO)を雇う
CSPは、独立した第三者評価機関(3PAO)を雇って、CSOのセキュリティ評価を実施する必要があります。
共同認証委員会(JAB)にパッケージを提出
CSPは、国防総省(DoD)、国土安全保障省(DHS)、一般調達局(GSA)の代表者で構成される共同認証委員会(JAB)にセキュリティパッケージを提出することができます。
連邦機関からのATOを取得
CSPは、CSOをその機関に提供する前に、連邦機関から運用許可(ATO)を取得する必要があります。
CMMC認証を取得する方法
CMMC認証を取得するために、防衛請負業者は以下のステップを踏む必要があります:
自己評価を実施
防衛請負業者と下請け業者は、現在のサイバーセキュリティ成熟度レベルを判断するために自己評価を実施する必要があります。
CMMC第三者評価機関(C3PAO)を雇う
防衛請負業者は、CMMC第三者評価機関(C3PAO)を雇って、サイバーセキュリティの実践とプロセスを評価する必要があります。
国防総省に評価を提出
防衛請負業者は、評価を国防総省(DoD)に提出し、レビューと承認を受ける必要があります。
CMMC証明書を取得
CMMCの要件を満たす防衛請負業者は、3年間有効な証明書を受け取ります。
Kiteworks: FedRAMP認証とCMMC認証要件のためのソリューションを提供
Kiteworksのプライベートコンテンツネットワークは、世界中の民間企業や政府機関に対して、安全なコラボレーション、ファイル共有、ファイル転送サービスを提供します。KiteworksはFedRAMP認証を取得しており、中程度のCUIに対応し、組織が最高レベルのデータセキュリティと保護への取り組みを顧客に示すためのFedRAMP展開オプションを提供します。
Kiteworksは、CMMC 2.0レベル2の要件の約90%を標準でサポートしています。Kiteworks for CMMC認証は、セキュアメールやセキュアファイル共有、マネージドファイル転送(MFT)やセキュアファイル転送プロトコル(SFTP)などのセキュアファイル転送、セキュアウェブフォーム、API、Salesforce(SFDC)、Microsoft Office 365(O365)、Google(G Suite)などのエンタープライズアプリケーション用のセキュアプラグインを提供します。
Kiteworksを使用することで、防衛請負業者のようなセキュリティ重視の組織は、機密情報へのアクセスを制御し、許可された人員のみが情報にアクセスし共有できるようにすることができます。Kiteworksは、強化された仮想アプライアンス、FIPS 140-2検証、高度な暗号化、多要素認証、高度な脅威対策(ATP)、データ損失防止(DLP)、セキュリティインシデントおよびイベント管理(SIEM)などのセキュリティツールとの統合を含むいくつかのセキュリティ機能を提供し、組織が共有する最も機密性の高いコンテンツを保護し、財務データ、契約、知的財産、個人識別情報および保護対象保健情報(PII/PHI)が不正アクセスやデータ侵害から安全であることを保証します。
Kiteworksはまた、厳格なデータプライバシー要件や基準(医療保険の相互運用性と説明責任に関する法律(HIPAA)、EU一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)、国際標準化機構(ISO 27001)など)に準拠して、誰が何を誰にいつ送ったかを追跡する完全な監査証跡と報告機能を提供します。KiteworksがFedRAMP認証とCMMC認証の要件を満たし、政府契約の調達プロセスを効率化する方法について詳しく知りたい方は、カスタマイズされたデモを予約してください。
