FineArt News

コラム

漏洩根絶:CMMCにおける情報漏洩防止対策

CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)フレームワークは、NIST SP 800-171 Rev 2(非連邦政府組織およびシステムにおけるCUI(管理対象非機密情報)の保護)およびNIST SP 800-172(管理対象非機密情報を保護するための拡張セキュリティ要件)のサブセットに基づいて構成されています。NIST SP 800-171の補足であるこれらの要求事項は、一連の分野に組織化されており、NIST SP 800-171 Rev 2シリーズの分野に対応しています。

国防産業基盤(DIB)の部門調整協議会 (DIB SCC) は、サプライヤーがネットワークセキュリティを強化できるよう、実用的な公開ネットワークセキュリティリソースへのリンクを識別し、公開しています。これらのリソースは以下の目的で選定されています。

  1. 米国連邦契約者向けの国防総省や他の米国ネットワークセキュリティ標準(例:FAR:基本保護条項、DFARS CDI:保護条項、CMMC)の適用要件を満たすため
  2. 現在のネットワークセキュリティ保護を他の方法で改善するため

ISO 27001と類似していますが、ISO 27001は情報を取り扱う際にはセキュリティ管理措置が求められるのに対し、CMMCは主にFCI(Federal Contract Information:連邦契約情報)およびCUI (Controlled Unclassified Information:管理対象非機密情報)の保護に焦点を当てています。

国防産業の契約者は、契約を獲得するためにCMMC認証を取得する必要があります。これには、専門の支援機関および認証機関への相談が推奨されます。また、直接的な契約関係がない関連サプライヤーも、主契約者からCMMC準拠を求められる可能性が高いですが、認証の取得が必須ではない場合があります。国防産業の契約者は、サプライヤーが一定のネットワークセキュリティ成熟度を有していることを望んでいます。

DLP(Data Loss Prevention)システムは、文書情報の識別やアクセス制御、使用状況の継続的なモニタリングに長けており、CMMCの準拠要件を満たすために組織を支援できます。

CMMCモデルの要件分野

CMMC 2.0では、旧CMMC 1.0フレームワークを簡素化し、成熟度レベルを5段階から3段階に縮小、ネットワークセキュリティ実践に重点を置いています。

  • レベル1:FCIの保護に焦点を当て、48 CFR 52.204-21(FAR条項)に規定された基本的な保護要件のみを含む
  • レベル2:CUIの保護に焦点を当て、NIST SP 800-171 Rev 2で規定された110のセキュリティ要件を含む

CMMCモデルは、NIST SP 800-171に指定された14の分野で構成され、これらはソフトウェアツールによる支援が可能な分野と、管理プロセスに統合すべき分野に分類されます。すべての分野がツールで支援できるわけではなく、管理に当てはまる分野は企業の業務プロセスに組み込み、企業文化を形成する必要があります。

青色で覆われた領域はDLPツールが支援できる領域を表しています。以下に、情報漏洩防止(DLP)技術を活用してこれらの要求を満たすための対比例を示します。

Domain : Access Control (AC)
  • AC.L1-3.1.1:情報システムへのアクセスを制限
    • DLP機能:CUIへのアクセスを制御・監視し、認可されたユーザのみがデータを操作可能にする
  • AC.L2-3.1.3:CUIの転送を制御
    • DLP機能:CUIデータの流れを監視・制御し、不正な転送を防止してCUI転送の安全を確保
Domain : Audit and Accountability (AU)
  • AU.L2-3.3.5:監査ログを生成し、インシデントの検出と対応を支援
    • DLP機能:CUIのアクセスおよび転送活動を記録し、詳細な監査ログを生成して、インシデント検知と対応を支援する
Domain : Media Protection (MP)
  • MP.L2-3.8.8:CUIが不正な開示を受けないように保護
    • DLP機能:CUIを識別・分類し、適切な保護方針を実施して情報漏洩と未認証の表示を防止

DLPがデータを保護する方法

Data Loss Prevention(DLP)は機密および機微情報が未承認のユーザによってアクセス、使用、送信、または漏洩されるのを防ぐための技術およびプロセスの集合体です。DLPはデータの特定、監視、保護を通じてこの目標を達成します。一方、CMMCの主な目的は、CUIの保護です。DLPは、情報の識別、分類、制御において特に優れています。以下は、DLPがデータ保護を提供する主な方法です。

  • Information identification / Classification 情報の識別と分類
    • Inventory / Discovery
      PCやネットワーク上のファイルやドキュメントを特定・管理します
    • Tagging and annotation
      情報にタグ付けし、必要に応じて注記を追加します
    • Encryption
      暗号化保護、分類結果に基づき、情報を暗号化して保護します
    • Access control
      アクセス制御、情報の重要性や機密性に応じて分類し、異なるタイプのデータに適用される制御ポリシーを設定します
  • User activities Monitoring ユーザ活動の監視
    ユーザがCUIをどのようにアクセス、処理、送信しているかを特定・監視・制御し、対応する活動内容を記録します。 エンドポイント、アプリケーション、ネットワーク上でのユーザ活動を継続的に監視し、情報漏洩リスクの可能性を迅速に検知・対応します。主な内容は以下の通りです。
    • Device control デバイス制御
    • Information transfer control 情報転送制御
    • Audit and accountability 監査記録と責任追跡
    • Incident Responseインシデント対応
      異常や違反を検出し、迅速に対応してレポートを生成します
  • Encryption 暗号化
    静的データおよび転送中のCUIデータを保護します。
    • Drive encryption ローカルストレージや外部記憶媒体を含む全体的なディスク暗号化
    • File encryption ファイルおよびフォルダを自動的に暗号化して保護
    • Transfer encryption TLSなどを用いたデータ転送の暗号化
  • Policy Enforcement ポリシーの徹底
    企業のセキュリティポリシーに基づき、制御措置を自動的に実施し、未承認のデータアクセスや送信を防止します。

DLPの機能(情報の識別と分類、コンテンツチェックとポリシー執行、暗号化、エンドポイント保護、ユーザ活動監視、インシデント対応)を活用することで、組織は管理非機密情報CUIを効果的に保護し、CMMC要件への準拠を実現できます。 サイバーネットワーク脅威の進化や規制要件の厳格化に伴って、DLPソリューションはCUIデータを保護し、業界基準や法規制を遵守するための重要な役割を果たしています。

その他の補助ツール

DLPに加え、以下のセキュリティツールを組み合わせることで、CMMC規定へのより包括的な対応が可能です。

  • SIEM
    組織全体のセキュリティイベントデータを収集、分析、関連付けし、脅威を検出して対応します。
  • Endpoint Security
    PC、モバイルデバイス、サーバなどのエンドポイントを脅威から保護します。
  • MFA: Multi-Factor Authentication
    複数の認証手段を要求することで、アクセスの安全性を強化します。
  • アイデンティティとアクセス管理 (IAM)
    適切な理由で、適切なユーザが、適切なタイミングで、適切なリソースにアクセスできるようにします。

これらのツールは一部のCMMCドメインをカバーしており、サイバーセキュリティ領域をまたいで使用される場合もあります。例えば、エンドポイントDLPはIAMやエンドポイントセキュリティを含む場合があり、提供元のソリューション設計によって異なります。これらを実装することで、CMMC 2.0の特定要件を満たし、CUI(管理非機密情報)やFCI(連邦契約情報)を強力に保護できます。

各ツールはサイバーセキュリティの異なる側面に対応しながら、CMMC 2.0規格を満たすための包括的なセキュリティ体制を提供します。