Cybersecurity Maturity Model Certification(CMMC)は、アメリカ国防総省(DoD)によって導入されたフレームワークであり、管理される非機密情報(CUI)を扱う請負業者が特定の情報セキュリティ基準を満たすことを目的としています。このフレームワークは3つの成熟度レベルに分かれており、それぞれが異なる情報セキュリティ要件を有し、基本的な管理措置から高度なリスク管理や準備作業に至るまでの範囲を含みます。CMMC要件を遵守する国防基盤産業(DIB)は、CUIを保護するために情報セキュリティ対策を適切な成熟度レベルまで引き上げる必要があります。
CMMCはDIBやその契約請負業者および下請け業者に対して情報セキュリティ成熟度を求める厳格な基準ですが、直接関係のない組織にも影響を及ぼす可能性があります。もし自組織が提供するサービスを利用している顧客が国防請負業者と関連している場合、その組織もCMMC準拠を求められることや情報セキュリティ対策の評価を受ける可能性があります。それに加え、現代の情報社会において、データは企業にとって最も価値のある資産の1つとなっています。情報技術の進歩に伴い、データセキュリティにはより多くの課題と脅威が生じています。機密データを扱う企業や組織にとって、データの安全性を確保することは運営を維持する上での重要な要素です。そのため、データ保護は企業倫理や責任だけでなく、契約要件や業務の継続性、顧客の信頼を守るための重要な保証でもあります。
こうした背景から、CMMCを遵守することが企業にとってデータ保護とコンプライアンスを実現する鍵となります。また、データ保護とCMMC準拠性を高めることによって、企業の情報セキュリティの防御力も向上します。採用する対策は、一般的な企業が実施する情報セキュリティ防御と大きく異なるわけではありません。以下に、情報漏洩防止の対策およびツールの提案を挙げ、CMMCの要件も考慮した内容を示します。
- データ分類とラベル付け
データを分類し、ラベルを付けることで、どのデータが管理される非機密情報(CUI)に該当するかを識別します。CUIを扱わない場合でも、業界固有の情報タイプを識別する必要があります。CUIの規定は、個人情報と比べて識別が容易です。 - アクセス制御
強制的なアクセス制御措置を実施します。例えば、役割ベースのアクセス制御(RBAC)や原則的には最小権限アクセスを適用して、承認されたユーザー・デバイス・アプリケーションのみが保護されたデータにアクセスできるようにします。 - 暗号化技術の適用
データを暗号化し、転送時や保存時のセキュリティを確保します。これにより、データが不正にアクセスされた場合や漏洩した場合でも内容を解読されなくなります。暗号化の利点は安全性の高さですが、欠点として合法的な第三者のアクセス権限(Authorizing)管理が複雑になる点が挙げられます。 - 情報漏洩防止(DLP)
DLPソリューションを導入し、データの識別や分類に基づいてポリシー適用実施することで、センシティブなデータの漏洩を監視・検出・防止します。 - 行動分析と脅威検出
行動分析やAI技術を活用して、異常なユーザ行動や潜在的な内部脅威を検出し、迅速に対応措置を講じます。 - 物理的なセキュリティ戦略
外部記憶デバイスの接続防止やリムーバブルストレージの使用制限など、厳格な物理的セキュリティを実施することで外部攻撃や情報漏洩のリスクを軽減します。また、CMMC CUIには紙媒体の保護も含まれるため、梱包やラベルなどの表示の適切な管理が求められるだけでなく、保護された部屋での閲覧などの物理的なアクセス制御も必要です。 - ユーザ活動監視(UAM)とログ管理
包括的な監視とログ管理を行い、クライアントの活動やシステムイベント・ファイルアクセスを記録して、リアルタイムで異常イベントを検出して対応します。 - セキュリティ意識の教育
社員に対し、情報セキュリティ意識の向上と知識の教育をします。これにより、情報保護の重要性を強調し、情報セキュリティのベストプラクティスを指導します。
これらの内容と一般的な情報セキュリティ対策とを比較すると、一般的な情報漏洩防止対策とほとんど変わりありません。企業が一連の情報セキュリティ対策を実施する際には、ファイアウォール、侵入検知システム、脆弱性管理なども含まれます。これらの対策はCUIの保護に役立つだけでなく、マルウェアやネットワーク攻撃といったさまざまなセキュリティ脅威に対する防御力を高める効果があります。
CMMC認証を取得することで発生する時間的・経済的なコストを除けば、その他の管理やプロセスは、一般的な企業の情報漏洩対策と大差はありません。政府機関や他の組織と協力する企業にとって、CMMC準拠を確立することは市場競争力や信頼性を向上させる上で有利に働きます。そのため、企業はデータ保護の重要性を認識し、情報セキュリティ分野への積極的な投資を行い、自社の情報システムとデータを確実に保護することで、進化し続けるセキュリティ脅威や課題に対応する必要があります。