CMMCガイド:サイバーセキュリティ成熟度認証
デジタルの脆弱性があらゆる企業を狙う中、オンラインセキュリティは最優先事項です。成熟した対策を講じれば状況は改善されますが、どのように成熟度を測るかが課題です。
CMMC認証は、デジタルセーフティの概念や、適切な対策を講ずるための要件を理解する助けとなり、DoD業者の選定において重要なツールとなります.
この専門家によるガイドでは、CMMCとその有用性について学ぶことができます。その前に、本題を理解するために必要な概念を説明します。
成熟度モデルとは?
これは、企業がある分野でどれだけ順応し成長できるかを理解する手助けをします。成熟度が高いほど、柔軟性と導入が十分に実現されます。CCMCは、デジタルセキュリティに必要な条件や手順を分類し、各成熟段階ごとに求められる条件を異ならせています。
このモデルは、各成熟度段階でのセキュリティ基準を設定するのに役立ち、組織のニーズに沿ったセキュリティ対策の維持を容易にします。
CMMCとは?
これは、米国国防契約業者向けに特化して作られた、世界的に認められた枠組みです。
CMMC(サイバーセキュリティ成熟度認証)は、OUSD(A&S)によって策定され、DoD契約業者向けの統合セキュリティ基準として提供されました。一つの概念や管理項目だけに留まらず、NIST SP 800-171、NIST SP 800-53、ISO 27032、ISO 27001など複数の概念を統合し、デジタルセキュリティを調和させ詳細に示しています。
長い間、防衛のサプライチェーンには、意図的または非意図的な情報漏洩を招く隙間が存在していました。
防衛産業基盤(DIB)は、政府データが自社ネットワークから漏れないようにするため、標準化されたプロトコルが必要であると認識しました。しかし、セキュリティ分野が急速に変化するため、枠組みを適切に更新するのは容易ではありませんでした。
CMMCは、拡張可能でデジタルの脆弱性が増大しても耐性を保つ標準化されたセキュリティ実装設計を示すことで、この課題に的確に対応しました。DIBはCMMCの支援組織です。
CMMCが重要な理由
CMMC導入前は、DoD契約業者のサイバーセキュリティの信頼性を評価する標準的な手順がありませんでした。DoD契約業者は自己確認や自己監査に基づいて対応していましたが、この標準形式の欠如が多くのデータ漏洩や情報損失の原因となっていました。
DoD発行のDFARSでは、NIST SP 800-171の遵守の重要性が論じられました。
CMMC評価の導入により、DoD契約業者の完全に検証された標準遵守状況が提供され、成熟度の判断や信頼性の評価が容易になりました。
CMMCの枠組みは、CMMC準拠業者がサプライチェーン内で堅固な対策を講ずることでサイバー上の脆弱性を防ぐのに非常に有用です。
DoD業者のネットワーク内に存在するCUIを守るための、実用性の高い解決策となっています。
この認証は3年間有効なため、DoD業者は迅速に対応し、事業やデータセキュリティに関する業界基準に合わせて更新する必要があります。これは、常に最新のデジタルセキュリティ対策を講じている証です。
CMMCの枠組みとは?
CMMCは2020年に誕生し、現在はバージョン1.0が適用されています。以下の要素から構成されています:
- 17 CMMCドメイン
前述の通り、CMMCはドメインを中心としています。そのうち14のドメインはNIST 800-171とFIPS Publication 200に由来します。完全なリストはこちらをご覧ください:
- アクセス制御
- 物理的守り
- 個人の安全
- 識別と認証
- システムと情報の完全性
- 回復
- 資産管理
- 構成管理
- 状況認識
- 保守
- 意識と訓練
- セキュリティ評価
- インシデント対応
- リスク管理
- 監査と説明責任
- メディア守り
- システムと通信の守り
- 5 CMMCレベル
CMMCは、業者の信頼性を評価する際に5段階を考慮しています。各レベルで求められる成熟度が異なるため、次に各レベルについて確認しましょう:
- レベル1はパフォーマンスに基づき、初期のセキュリティ基礎対策と信頼性を評価します
- レベル2は文書に基づく監査を行い、中程度のサイバーセキュリティ依存性を検証します
- レベル3は完全管理され、業者が優れたデジタル基礎対策を実施していることを示します
- レベル4はレビューに基づき、該当業者が非常に積極的であることを示します
- レベル5は最終段階で、最も高度なサイバーセキュリティ対策を評価します
- CMMC要件
各レベルでCMMCセキュリティ認証を取得するための要件を確認しましょう.
Levels
| レベル | 説明 | 適用すべき NIST SP 800-171 コントロール | サイバーセキュリティ基礎対策 | 作業内容 | プロセス成熟度 |
|---|---|---|---|---|---|
| 1 | 基本段階です。契約業者や企業のサイバーセキュリティに関わる主要なプロセスを確認します. | 17のコントロール(Rev2) | 基本 |
| 該当なし |
| 2 | 契約業者が採用している、文書化され広く採用されているサイバーセキュリティプロセスを維持します. | 46のコントロール(Rev2) | 中間 |
| 全てのセキュリティ方針と実施が標準化されています |
| 3 | 完全に管理された対策すべてが対象です. | 47のコントロール(Rev2) | 良好 |
| 最適な方針や手順が採用されているか、活動が綿密に評価されます |
| 4 | この段階は積極的なレビューを行うことに関するものです. | 26のコントロール(Rev B) | 積極的 |
| 全てのデジタルセキュリティ活動が効果検証のために広くレビューされ、管理者に報告されます |
| 5 | 最適化され継続的な改善につながる先進的なサイバーセキュリティプロセスを評価します. | 最後の4コントロール(Rev B) | 高度 |
| 全ての対策と手順が完全に標準化されています |
NIST と CMMC の比較
CMMCはNIST 800-171のコントロールに大きく依存しています。そのため、CMMC準拠=NIST準拠と考える人もいますが、これは誤りです。CMMCとNISTは共通点はあるものの、異なる存在です.
NISTは認証ではなく、世界的に認められた品質基準です。プロセスや製品における品質向上とセキュリティ成熟度について示しています.
CMMCの主な焦点はサイバーセキュリティにあり、他のプロセスやサービスは対象外です。これはDoDによって策定され、主にDoD契約業者に適用されるため、DoDと取引する業者はCMMC認証を取得する必要があります.
NISTは米国標準技術研究所の専門家によって作られたもので、特定の組織向けの枠組みではありません.
CMMCは完全にNISTに依存しているわけではなく、業者がレベル3から上位レベルに進むとき、NIST 800-171のコントロールが適用されます。また、CMMCにはCUIから抜粋されたコントロールも含まれています.
CMMC認証が必要な対象者は?
簡単に言えば、オンラインセキュリティ業界の関係者、特に契約業者および下請業者です.
DoDがサプライチェーンに参加し、Controlled Unclassified Info (CUI)やFederal Contracting Info (FCI)を取り扱う業者を選定する際の基準となります.
DIB全体の契約業者は、この認証により市場価値を高めるチャンスがあり、またCMMC準拠は下請業者が市場での信頼を築く手助けとなります.
CMMC準拠 - 認証取得方法
評価プロセスと認証は、非営利団体であるCMMC認定機関が監督しており、研修からCMMCの更新に至るまで全てこの機関が担当します.
関心のある契約業者は、この機関を通じてのみCMMCの申請が可能です。また、CMMCへの準備状況を示すために、RPO(登録プロバイダー組織)の支援を受けることができます.
CMMC-ABは、Certified Assessors (CAs)およびC3PAOs(第三者CA)の研修と認定も担当しており、これらの専門家はCMMC監査・評価において重要な役割を果たします。CAはDIB契約業者に対して公正かつ独立した評価を行い、最終報告書をC3PAOsに共有します.
C3PAOsは報告書を確認し、業者がどのコントロールや要件を満たしているかを把握します。ただし、業者への助言は行わず、偏りのない評価のみを実施します。最終評価報告書を作成し、CMMC-ABへ提出します.
CMMC-ABは、C3PAOsの推奨に基づき認証を付与します。一度取得すると、認証は3年間有効であり、契約業者は再申請と再評価を経て次の3年間の認証を受ける必要があります.
CMMC - 5段階の認証プロセス
- レベル 1
独立した審査員が該当契約業者または企業がレベル1の全要件を満たしていると確認した場合、DoD契約業者はCMMCレベル1認証を取得します。審査員は、複数の監査、実演、面談を通じて確認を行います.
レベル1では、FCIに基づき情報やデータを守るための体制が整っているかを判断する17の項目があります.
- レベル 2
レベル2では、契約業者はNIST SP 800-171 Rev2のコントロールに基づく推奨サイバーセキュリティ対策が採用されていることを証明する必要があり、合計で46のコントロールが定義されています.
- レベル 3
レベル3は、レベル1および2で示された前提条件がすべて満たされたときに達成されます。ここでの要求事項はNIST 800-171に基づき、一部はCUIから抜粋されています.
監査員はこれらの対策が実施されている証拠を収集し記録します。CMMC評価は特定のネットワークまたはシステムに対して行われることがあります.
- レベル 4
レベル4では、ほとんどの先進的なサイバーセキュリティ対策が対象となり、契約業者や組織は26のNIST SP 800-171 Rev Bコントロールの実施に関する監査に合格する必要があります.
- レベル 5
CMMC認証のレベル5は最終段階で、業者はNIST 800-171およびCISのコントロールによって決定される171の対策すべてを遵守しなければなりません。項目が多いため、取得が最も難しいレベルです.
CMMCの利点
CMMCは、世界的に認められた実用的なサイバーセキュリティ対策を遵守する能力を示します。この認証の利点は以下の通りです:
- DoD機関や関連組織は、重要データを守るための知識を有するCMMC認証業者を選ぶため、契約獲得が従来より容易になります.
- 信頼を得るだけでなく、CMMC認証業者は新たなセキュリティ脅威にも柔軟に対応でき、企業の成熟度向上に寄与します.
- CMMCの厳格な遵守により、セキュリティ評価機関を介さずに対応でき、運用コストの削減につながります.
- 完全に独立した評価が行われるため、全ての契約業者や下請業者を統一基準で評価することが可能です.
CMMC の影響
CMMCは契約業者の信頼性やデジタルセキュリティの理解を再定義し、DoD契約業者や関連団体に大きな影響を与えています。主な影響は以下の通りです:
- 健全なセキュリティエコシステム
CMMC導入以前は、DoD契約業者の選定にサイバーセキュリティは考慮されていませんでしたが、導入後は業者のセキュリティ対策が大きく評価され、商品の提供やサービス中のデータ漏洩が大幅に減少しました.
- 正確かつ検証済みの主張
CMMC準拠は偏りのない監査を求めるため、契約業者や下請業者は誠実な提案を行い、業者のサイバーセキュリティ文化に関する正確な主張のみが反映され、透明性が保たれることで法的トラブルが減少します.
- 品質志向の業者が増加
CMMCは業者を5段階に分類し、各段階ごとに守るべき要件を定めています。DoDは成熟度に厳格な基準を設け、契約ごとにこれを判断します.
競争を勝ち抜くため、多くのDoD業者が認証取得を目指し、基準に満たない業者は徐々に淘汰されるでしょう.
- 監査への注力が増加
独立かつ偏りのない第三者監査はCMMC準拠の重要要素であり、DoDは認定監査人や監査機関により業者の信頼性を確認しています。そのため、今後、監査人や業界アドバイザーが増加することが予想されます.
DoDのサプライチェーンに直接または間接的に関わる業者は30万社以上あり、これら全ての業者はDoDの期待に沿ったITインフラのセキュリティ整備のために専門家の支援が必要となり、コンサルタント、監査人、アドバイザーが重要な役割を果たします.
CMMC監査の準備
前述の通り、CMMC監査はDoD業者がNIST SP 800-171 Rev BおよびRev2コントロールの遵守を確認するために必要であり、十分な実施証拠の提出が求められます.
以下は、CMMC監査準備に役立つポイントです:
- 自力で始める
契約業者の場合、Self Assessment NIST Handbook 162を詳細に確認することが推奨されます.
ここで対象となるコントロールはNIST SP 800-172 Rev 2です。NIST 800-171がCMMCの基盤となるため、その基準を全て満たせばレベル3の取得は容易になりますが、さらに21のコントロールの実施が必要です.
- CMMCコンサルタントを採用する
NIST SP 800-171 Rev 2やRev Bのコントロール要求を理解するのは容易ではなく混乱を招く場合もあります。しかし、それを理由にすることなく、専門家の支援を求めるのが理想的です。アウトソーシングは時間と費用の節約にもなります.
信頼できるMSSPから専門家をアウトソースし、CMMC取得の過程を徹底的にサポートしてもらい、今後の準拠維持についても助言を受けると良いでしょう。ただし、コンサルタントの採用だけでCMMC準拠となるわけではなく、引き続き品質基準を満たす努力が必要です.
- 結果に基づくギャップ分析を実施する
これはCMMC準拠業者となるための第一歩です。ギャップ分析により、定められたCMMC要件からどれだけ離れているかを把握でき、プロセスの中でMSSPが現状の手順やネットワークを精査し、非効率な体制を改善します.
効果的に実施すれば、どのようなインシデント対応計画が整備され、データの保管状況、セキュリティ対策の実施状況、情報アクセスの管理が行われているかを把握するのに役立ちます.
- 改善計画を準備する
ギャップ分析で判明したリスクや欠陥に対して、問題の深刻さと予算に応じた改善計画を策定することが求められます.
- 継続的な監視と報告を確実に行う
たとえCMMC準拠のネットワークシステムが整備されていても、使用中の全監視ツールについて定期的な監視と報告を行うことが推奨されます.
- コントロール適用の証拠を文書として保管する
アウトソーシングしたMSSPから、NIST SP 800-171 Rec1またはRev Bコントロールの適用証拠を文書で取得することを忘れないでください。この文書はCMMC監査に合格するための信頼性の証となります.
CMMC準拠チェックリスト
以下は、CMMC準拠のための簡単なチェックリストです.
- スタッフや関係者向けの十分なサイバーセキュリティ意識向上プログラムと訓練を実施する
- インシデント対応が適切に最適化されていること
- いかなる脅威やリスク情報も迅速に伝達できる健全で広範なコミュニケーション体制を構築する
- NIST SP 800-171準拠に注力する
- サプライチェーンを見落とさず、既存のリスクを把握し定期的な評価を行う
- 2FAの活用と堅牢なデータ流出防止対策は必須
- 自己監査のスケジュールを設定し、内部監査を実施する
CMMCの将来と結び
サイバーセキュリティの重要性が増す中、CMMCは今後も存続し、DoD契約業者がセキュリティの基本を守るための仕組みとして機能します。毎年、新たな要件や基準が追加されるため、選定プロセスでの採用がますます増えています.
このような背景から、CMMCは契約選定の際の欠かせない要素となると考えられます。しかし、CMMCはまだ成熟した認証ではなく、今後も改善が必要です。業者は専門家の支援を受けながら準備を進め、自信を持って候補として提示することが可能です。この認証一つで、DoD契約業者の選定可能性が広がります.
FAQ
最新情報を購読
