企業にとっての CMMC コンプライアンスの重要性

公開: 2023-02-11

CMMC (Cyber​​security Maturity Model Certification) は、企業や組織の情報技術セキュリティを向上させるために米国政府 (DoD) によって開発されたフレームワークです。 このフレームワークは、準拠していると見なされるために企業や組織が実装する必要があるさまざまなレベルのセキュリティ対策を定義しています。 CMMC コンプライアンスは現在、中小企業や組織を含むすべての国防総省請負業者の要件です。




この記事では、CMMC とは何か、CMMC に準拠する必要があるのは誰なのか、CMMC 準拠ソフトウェアに求められる機能、およびコストについて説明します。

  • 関連 –サイバーセキュリティについて知っておくべき 9 つのこと
  • 個人と学生のための 10 のサイバーセキュリティのヒント
CMMC

目次

CMMCとは?

CMMC は、機密情報を保護するために必要な最小限のセキュリティ制御を定義する標準の評価フレームワークです。 サイバーセキュリティ成熟度モデル認証フレームワークは、国防次官補取得・維持局 (OUSD(A&S)) によって開発されました。

最新の反復 (CMMC 2.0) は 2021 年に導入され、以前の 5 レベル システム (CMMC 1.02) を新しい 3 レベル システムに置き換えました。

CMMC 2.0 の 3 つのレベル

レベル 1 (基礎)、レベル 2 (上級)、およびレベル 3 (エキスパート) の 3 つのレベルがあります。 必要な認定のレベルは、特定の CMMC 評価要件によって異なります。




  • レベル 1: 基礎

レベル 1 では、組織は基本的なサイバーセキュリティの実践と方法を実装する必要があります。これは、文書化された手順に依存せずにアドホックな方法で実行できます。 自己評価は認定のために (毎年) 許可されており、C3PAO によるプロセスの成熟度の評価は行われません。

レベル 1 には、FAR 52.204-21 に関する 17 の保護対策が含まれています。

目標: 連邦契約情報 (FCI) を保護する

  • レベル 2: 上級

レベル 2 では、組織はプロセスを文書化し、説明どおりに実装する必要があります。 このレベルは、CMMC 1.02 レベル 3 に相当します。




重要な管理情報を扱う組織は、3 年ごとに上位レベルの第三者評価 (C3PAO) に合格する必要がありますが、重要でない情報を扱う組織は、毎年の自己評価を受ける必要があります。

レベル 2 には、NIST SP 800-171 に関する 110 のプラクティスが含まれています。

目標: 管理された非機密情報 (CUI) の基本的な保護

  • レベル 3: エキスパート

レベル 3 では、組織はサイバー セキュリティ戦略を管理するための計画を確立、維持、および割り当てる必要があります。 このレベルのサイバーセキュリティ慣行は、優れたサイバー衛生慣行と見なされます。

レベル 3 には、NIST SP 800-171 からの 110 個の CUI コントロールと、NIST SP 800-172 からの最大 35 個のコントロールが含まれます。 組織は、コンプライアンスを維持するために、政府主導の 3 年ごとの評価に合格する必要があります。




目標: 管理された非機密情報 (CUI) の保護の強化

誰が CMMC コンプライアンスを必要としていますか?

CMMC に準拠する必要がある企業は、国防総省 (DoD) プログラムの連邦契約情報 (FCI) または管理された非機密情報 (CUI) を扱う防衛請負業者および下請け業者です。

必要な CMMC 準拠のレベルは、会社が扱う情報の種類と機密性によって異なります。

例:

  • 国家安全保障に関連する連邦契約情報 (FCI) または管理された非機密情報 (CUI) を扱う防衛請負業者および下請け業者。
  • ソフトウェア開発、エンジニアリング、製造、ロジスティクス、研究開発など、国防総省 (DoD) にサービスまたは製品を提供する企業。
  • DoD 運用をサポートする IT サービス プロバイダー、クラウド コンピューティング サービス プロバイダー、マネージド サービス プロバイダー。
  • 防衛産業基地 (DIB) に参加し、航空宇宙と防衛、情報技術、エンジニアリング、研究開発など、政府の機密情報を扱う企業。
  • 関連 –サイバーセキュリティに真剣に取り組むための 4 つの優れた方法
  • アプリケーション セキュリティとは何か、なぜ重要なのか?

CMMC 準拠になる方法

企業は、CMMC の要件とガイドラインを満たすソリューションを実装することで、ソフトウェアを CMMC に準拠させることができます。 信頼できるセキュリティ ベンダーと協力し、CMMC 認定評価機関 (C3PAO) と相談することも、企業がニーズに合った適切なソフトウェア ソリューションを選択するのに役立ちます。




いずれにせよ、ソフトウェアには次の主要な機能が含まれている必要があります。

1. 27 の CMMC 2.0 コントロールを満たす

CMMC 準拠を達成するには、ソフトウェアは CMMC 2.0 フレームワークで概説されている 27 のコントロールを満たす必要があります。 これらのコントロールは、機密情報が保護され、組織がサイバー攻撃やデータ侵害を防止するための積極的な措置を講じていることを保証するように設計されています。 重要な制御には、アクセス制御、情報保護、システムと情報の完全性、およびセキュリティ管理が含まれます。

2. CUI が常に暗号化されていることを確認する

CMMC 準拠ソフトウェアの重要な機能の 1 つは、管理された非機密情報 (CUI) を暗号化する機能です。 暗号化により、情報が不正アクセスから確実に保護され、機密データを安全に保管および送信する方法が提供されます。 これは、個人データや財務情報など、大量の機密情報を扱う企業にとって特に重要です。

3. ファイルレベルの保護とロギングを実現する

リサーチ

CMMC 準拠ソフトウェアのもう 1 つの重要な機能は、ファイル レベルの保護とログを提供する機能です。 これは、ソフトウェアが個々のファイルを保護し、誰がファイルにアクセスして変更したかについての詳細な監査証跡を提供できることを意味します。 このレベルの保護は、機密情報が危険にさらされないようにし、ファイルに対して実行されたアクションの明確な記録が存在することを保証する上で重要です。

4. 場所を問わず CUI へのアクセスを即座に取り消す

セキュリティ違反やその他の不正アクセスが発生した場合、機密情報へのアクセスを即座に取り消すことができることが重要です。 CMMC 準拠のソフトウェアはこの機能を提供する必要があり、組織はどこにいても CUI へのアクセスを迅速かつ簡単に取り消すことができます。 これにより、データ損失のリスクを最小限に抑え、機密情報を不正アクセスから保護できます。

5. 詳細なアクセス監査証跡を生成する

組織が CMMC フレームワークの下で義務を果たしていることを確認するには、詳細なアクセス監査証跡を生成することが重要です。 この情報には、誰が、いつ、どこから、情報にアクセスして変更したかの詳細が含まれている必要があります。 監査証跡は、活動の明確な記録を組織に提供し、セキュリティ違反を検出して防止するのに役立ちます。

6. CAD、MRP、PDM、PLM など、あらゆるアプリケーションを保護

安全なネットワーク

CMMC 準拠を実現するには、ソフトウェアが幅広いアプリケーションを保護できる必要があります。 これには、さまざまな業界の多くの組織で使用されている CAD、MRP、PDM、および PLM アプリケーションが含まれます。 CMMC 準拠のソフトウェアは、これらのアプリケーションを保護し、機密情報が常に保護され、すべてのアクティビティが明確に記録されるようにする必要があります。

そのようなソフトウェアを提供しているのは誰ですか?

AnchorMyData は、CMMC コンプライアンスの達成をサポートするソフトウェアを提供する企業の 1 つです。 このソフトウェアには、CMMC 2.0 の最も重要な要件のいくつかを満たす機能があります。

どのようなタイプの企業がサポートを必要としているか、CMMC コンプライアンス ソフトウェアで何を探すべきかを詳しく説明している投稿を読むことで、CMMC コンプライアンスの詳細を知ることができます。

  • 関連 –企業向けの SASE とゼロ トラスト セキュリティの比較
  • Fortinet 2FA: ネットワーク アクセス セキュリティを保護する方法

おわりに

結論として、CMMC 準拠を取得するのは容易ではありません。 組織は、DoD によって設定された規制を満たすために、複雑なソリューションを実装する必要があります。 ただし、厳格で複雑な CMMC 要件への準拠に役立つAnchorMyDataのような、信頼性が高く堅牢で安全なソフトウェア ソリューションに投資することで、コンプライアンスを維持するためのプロセスを合理化できます。

このチュートリアルが、ビジネスにおける CMMC コンプライアンスの重要性について理解するのに役立つことを願っています。 何か言いたいことがあれば、コメント欄からお知らせください。 この記事が気に入ったら、共有して、Facebook、Twitter、YouTube で WhatVwant をフォローして、技術的なヒントを入手してください。

ビジネスにおける CMMC コンプライアンスの重要性 – よくある質問

CMMC の影響は何ですか?

CMMC は、財政面を含むいくつかの方法で DIB 請負業者に影響を与えてきました。 CMMC 要件が発表される前は、請負業者は国防総省を満たすのに十分な費用を支払うだけで済みました。

CMMC Compliance に参加する必要があるのはなぜですか?

サイバーセキュリティ成熟度モデル認定プログラムは、国防総省 (DoD) と取引を行うすべての請負業者が特定のセキュリティ プロトコルを満たしていることを確認するために、国防総省 (DoD) によって導入された要件です。

CMMC を使用する必要があるのは誰ですか?

CMMC は、国防総省およびあらゆる下請け業者と独占的にやり取りする請負業者を含む、DoD サプライ チェーン内のすべての個人に必要です。

CMMC コンプライアンスとは何ですか?

国防総省 (DoD) の Cyber​​security Maturity Model Certification (CMMC) は、機密の防衛情報を保護するための現在のセキュリティ要件に防衛請負業者が準拠していることを確認するために設計された評価基準です。

CMMC 監査とは何ですか?

CMMC 監査は、組織のサイバーセキュリティの成熟度を想定するプロセスです。 また、認証を受ける前に、組織が望ましい CMMC レベルに準拠していることを実証するために必要な前提条件のプロセスでもあります。