CMMC(サイバーセキュリティ成熟度モデル認証)は、米国国防総省(DoD)が開発したフレームワークであり、国防関連企業や組織が国防調達に関連する情報のセキュリティを向上させることを目的としています。このフレームワークでは、異なるレベルのセキュリティ対策を定義しており、企業や組織はこれらの対策を実施することで準拠していると見なされます。現在、CMMC準拠はすべてのDoD契約請負業者(中小企業や組織を含む)に求められています。
CMMCは、機微情報を保護するために必要な最低限のセキュリティ制御措置を定義する標準的な評価フレームワークです。このフレームワークは、国防総省で調達・維持を担当する副次官室(OUSD(A&S))が開発した準拠で、最新バージョンであるCMMC 2.0は2021年に発表され、以前の5段階システム(CMMC 1.02)を新しい3段階システムに置き換えました。CMMC 2.0の3つのレベルは、レベル1(基本)、レベル2(上級)、レベル3(エキスパート)があり、必要な認証レベルは、対応するCMMC評価要件に基づいて決まります。
- レベル1(基本):基本的なサイバーセキュリティ実務の実施を求めます。これらの実務は、正式な規定や手順に依存せず、臨時的に実施することが可能です。認証は自己評価(年1回)が許可され、第三者評価機関(C3PAO)によるプロセス成熟度の評価は不要です。レベル1には、連邦調達規則(Federal Acquisition Regulation)FAR 52.204-21に基づく17項目の保護措置が含まれ、連邦契約情報(FCI)の保護を目的としています。
- レベル2(上級):組織がプロセスを記録し、その記録に基づいて実施することを求めます。重要な管理対象情報(CUI)を扱う組織は、3年ごとにより厳格な第三者評価(C3PAO)を受ける必要がありますが、非重要情報を扱う組織は年1回の自己評価で済みます。レベル2は、NIST SP 800-171の110実装項目に基づいて評価され、その基準はNIST SP 800-171aになります。目的は管理対象非機密情報(CUI)の基本的な保護です。
- レベル3(エキスパート):組織がサイバーセキュリティ戦略を管理するための計画を策定・維持・配分することを求めます。NIST SP 800-171の110 CUI項目に加え、NIST SP 800-172(評価基準はNIST SP 800-172a)の35項目が含まれます。組織は、3年ごとに政府主導の評価プロセスに合格して、準拠を維持する必要があります。目的は、管理対象非機密情報(CUI)の保護を強化することです。
準拠が求められる組織とは?
CMMC基準に準拠する必要があるのは、連邦契約情報(FCI)や管理対象非機密情報(CUI)を取り扱う国防契約業者や下請業者です。必要なCMMC準拠レベルは、取り扱う情報の種類とその機密性に応じて決定されます。国防総省のサプライチェーンに関与するすべての個人が対象であり、国防総省およびすべての下請け業者とやり取りを行う契約業者を含みます。例えば、以下のようなケースが該当します。
- 国家安全保障に関連する連邦契約情報(FCI)または管理対象非機密情報(CUI)を取り扱う国防契約業者および下請業者
- 国防総省(DoD)に対し、ソフトウェア開発、エンジニアリング、製造、物流、研究開発などのサービスや製品を提供する企業
- 国防総省(DoD)の運営を支援するITサービスプロバイダー、クラウドコンピューティングサービスプロバイダー(CCP)、およびマネージドサービスプロバイダー
- 防衛産業基盤(DIB)に関与し、航空宇宙、防衛、情報技術、エンジニアリング、研究開発など、政府の機微情報を取り扱う企業
これにより、DoD契約に関連する小規模企業は以下の点に留意する必要があります。直接の契約供給業者はもちろん準拠が必須ですが、間接的な供給業者についても、認証を受ける義務はないもののISO 27000シリーズなど一定の規範に準拠することが求められる場合があります。ただし、これらの規範遵守に伴うコストが中小規模の企業にとって大きな課題となる可能性があります。
準拠に伴うコスト
CMMCを採用する中小規模企業にとって、最も重要な課題の1つは、準拠に伴う関連コストです。認証を取得してその有効性を維持することは、特にリソースが限られた組織にとっては追加の経済的負担をもたらす可能性があります。これらの費用には、次のようなものが含まれます。
- サイバーセキュリティ関連のソフトウェアやハードウェアインフラへの投資
- 監査やレビューの実施
- 従業員のセキュリティ意識向上を目的とした教育訓練
- 専門人材の雇用や外部コンサルタントの依頼
リソースの逼迫
通常では小規模企業は限られたリソースの中で運営しているため、サイバーセキュリティ管理のための専用リソースを割り当てることが難しい状況にあります。CMMCの実施に必要なコントロールやプロセスを推進することで、もともと限られているリソースがさらに逼迫する可能性があります。
技術的向上の必要性
CMMCでは、より厳格なサイバーセキュリティ要件が導入されています。一部の中小規模企業にとっては、これらの要件を満たすことが困難に感じられるかもしれません。システムやソフトウェア、ハードウェアのアップグレードは高額であるだけでなく時間も要し、準拠を達成する上で大きな障害となる可能性があります。
教育と訓練
各法規制がサイバーセキュリティのトレーニングや教育の重要性を強調する中で、中小規模企業は従業員を効果的に教育するための内部専門知識や訓練プログラムを欠いている場合があります。トレーニング要件を満たすために、外部トレーニングやコンサルタントへの依存が必要になる場合もあります。
結論
まずCMMC準拠に必要なステップを含めた全体的な計画を策定します。技術のアップグレード・トレーニング・監査に関連するコストを考慮して現実的な予算を設定します。また、サイバーセキュリティ専門家やコンサルタントの支援を求め、見解を得てアプローチを改善すべきです。
セキュリティ対策の優先順位を明確にし、CMMCフレームワークの中核的なコントロールに注力して、重要な脆弱性には優先的に対処すべきです。また、既存のサイバーセキュリティ対策を評価し、直ちに対応が必要な領域を特定してソフトウェアツールを活用してコントロールを実施します。
総じて、CMMC認証を取得することは容易ではありません。しかし、信頼性の高いセキュリティソリューションへの効果的な投資を通じて、CMMCの厳格で複雑な要件を遵守することにより、準拠を簡素化および維持することも決して不可能ではありません。