なぜCMMCを推進するのか?
アメリカでは、サイバーセキュリティによる損失が年間平均で6,000億ドルに達しています。現在、国防総省のサプライチェーンには、極超音速兵器から革製品工場に至るまで、約30万社の契約業者が存在し、そのうち約29万社は最低限なネットワークセキュリティ対策も一切講じていませんでした。これは今までセキュリティに関する法的な要求がなかったせいでもありますが、ここ数年でアメリカ政府は国防サプライチェーンの大規模な整備を決定して、その中でもサイバーセキュリティを最優先事項と見なしています。今までは国防総省からDFARS 252.204-7012およびNIST 800-171に記載された基準に従うよう各業者に要請していて、これには110の情報セキュリティ項目認証も含まれていましたが、これはあくまで業者の自己認証の問題であり、また国防総省もこの基準を特に重視していませんでした。
そこでアメリカ国防総省は2020年1月末に新たな基準「サイバーセキュリティ成熟度モデル認証(Cybersecurity Maturity Model Certification:略称CMMC)」を公表し、国防総省と契約または下請け契約を結ぶすべての業者にこれを遵守するよう要求しました。国防総省は2020年6月以降、いくつかの提案依頼書(RFP)および情報提供依頼書(RFI)にCMMCを含め始めており、2026年までにCMMCをすべての国防総省調達案件における必要条件とする計画を立てています。
2021年11月4日、アメリカ国防総省はさらにCMMC 2.0を発表し、元のモデルにいくつかの重大な変更を加え、業界の意見を受けて認証レベルを5から3に縮小しました。評価プロセスの簡素化は、実務における実行可能性に対応するためだけではなく、さまざまな規模の供給業者も適応できるようにするためです。CMMC 2.0は、最初のCMMC 1.0のフレームワークに基づいて構築され、DIBのネットワークセキュリティを動的に強化でき、変化を続けるサイバーセキュリティの脅威に対処するよう構築されています。CMMCフレームワークは、国防総省が共有する機密レベルでない情報を保護して責任を確保しつつ、同時に供給業者が国防総省の要求するセキュリティ基準を遵守することができるため、実務における障壁を最小限に抑えることを目的としています。
CMMC 2.0は、元の5つのレベルのサイバーセキュリティ基準のプラクティスをNISTのサイバーセキュリティ基準に基づく3つのレベルでマッピングしています。
- レベル1(Foundational):基本的なネットワークセキュリティ実践がベース。
- レベル2(Advanced): NIST SP 800-171に準拠した実践がベース。
- レベル3(Expert) : NIST SP 800-172で強化したレベル1および2のすべての実践がベースで、NIST SP 800-171を補完した形でサイバーセキュリティ脅威を軽減。
CMMCの計画によると、DIBの契約業者は国防総省との契約を受ける条件として、一部のネットワークセキュリティ保護基準を実装し、必要に応じて自己評価または第三者認証を受ける必要があります。
Information Protection(情報漏洩対策)とCMMCの関係
CMMCはサプライチェーン全体が適切なセキュリティ要件を満たしていることを確認するため、元請けに対して、より厳格な責任を課しています。元請けは下請けと契約する前に、下請けがコンプライアンス的に適切なレベルを持ってることを検証する必要があり、サプライチェーン全体のセキュリティを強化する必要があります。
サプライチェーンの業者は、機密情報(Classified Information)、FCI(Federal Contract Information)、CUI(Controlled Unclassified Information)など保護された情報に関与する機会があります。業者は契約を結ぶ前に、コンプライアンスを達成して関連する証明書を用意する必要があります。アメリカのThe Christian Doctrine(キリスト教の原則)およびFalse Claims Act(FCA:虚偽請求取締法)の下では、コンプライアンスに従っていないにも関わらず遵守していると主張したり偽装したりすると、厳罰される可能性があります。虚偽請求取締法では、告発者が罰金の30%を報酬として受け取ることができます。CMMC 2.0は正式に発表されて現在は法制化(Rulemaking)の段階にあり、法制化が完了した後に実施されます。その時点で適切なCMMCレベルの評価を完了/合格していない業者は契約の機会を失います。将来、CMMCが適用されるサプライチェーンの業者には、すでに法的な要求に従う必要が出てきています。CMMCは第三者の独立した機関による評価(Validation)であり、現在の法令遵守と将来CMMCの要求に応え、同時にDIB(The Defense Industrial Base:軍需産業)の企業にも適用します。CMMCは米国国防総省(DoD)の過去数十年にわたる経験と代償(知的財産権の喪失や技術的優位の喪失)を踏まえて、過去の自己評価(Self Assessment)や自己証明(Self Attestation)を主とするコンプライアンスの仕組みから第三者の独立した機関による評価に移行することで、サプライチェーンセキュリティ保護の実務とのギャップを解消します。
CMMCはNIST SP800-171・SP800-172の内容に基づいており、その基準はSP-800-53から派生していて、主にCUI文書の識別と管理に焦点を当てています。アクセスコントロール関連の内容はすべてSP-800-53から来ています。これらの国防関係の契約業者やサプライヤーは、法的なコンプライアンスを守るために、文書制御・アクセス制御・漏洩防止のシステムを導入して自己認識をサプライチェーンのセキュリティ要件に合わせる必要があります。サプライチェーンセキュリティに基づいて、これらのシステムもソフトウェアサプライチェーンのセキュリティ基準に準拠する必要があります。
2021年5月12日にホワイトハウスが発表した「国家サイバーセキュリティの改善に関する大統領令(EO 14028)」は、サプライチェーン全体におけるソフトウェアのセキュリティリスクが増加していることを認識しています。連邦機関は、サプライチェーン(オープンソースのソフトウェアコンポーネントを含む)から取得・展開・使用および管理するソフトウェアやサービスがサイバーセキュリティリスクに直面していると意識しています。特に製品のアーキテクチャと開発ライフサイクルにより、購入したソフトウェアに既知および未知の脆弱性が含まれている可能性があるので、NIST(米国標準技術研究所)はさらにソフトウェアサプライチェーンのセキュリティガイドラインを作成しました。
大多数のソフトウェアはゼロから開発されるわけではなく、通常はオープンソースソフトウェアコンポーネントを含むソフトウェアコンポーネントの組み合わせです。しかし、これらのソフトウェアコンポーネントは脆弱性の影響を受けやすく、開発者は時間の経過とともに第三者のオリジナルコードを把握し難くなります。
ソフトウェアサプライチェーンの任意のコンポーネントのリスクは、そのコンポーネントに依存するすべてのソフトウェアに影響を及ぼし、ハッカーが悪意のあるソフトウェアやバックドアまたは他の悪意のあるコードを植え付けたものが入り込むと、そのコンポーネントおよび関連するサプライチェーンに依存するすべてのものを危険にさらす可能性があります。
ソフトウェアシステムプロバイダーのセキュリティ責任
ESF (Enduring Security Framework) ソフトウェアサプライチェーンワーキングパネルにより、複数の部門にまたがるチームでのソフトウェア開発者に対して実践的なアドバイスが提供されました。ソフトウェアサプライチェーンの保護に関するガイダンス(Securing the Software Supply Chain: Recommended Practices for Developers)を参照して、ソフトウェア開発プロバイダーはサプライチェーンセキュリティのリスクを軽減するために重要なサプライチェーンセキュリティのプラクティスとアプローチを採用すべきです。
開発者の責任には、例えば以下のようなものがあります。
- 使用するコードのセキュリティと信頼性の評価
- セキュリティ基準の専門プログラムに対応した開発を継続できる体制を確保
- セキュアなコードのビルドとデプロイ
- アプリケーションが使用するデータ伝送方法の強化
- 使用中のアプリケーションが脅威にさらされていないか継続的にテストおよび監視する
- ユーザにSBOM(Software Bill of Materials:ソフトウェア部品表)を提供する
上記の原則に加えて、顧客(購入部門)もこのガイドラインに基づいてソフトウェアライフサイクルに関連するセキュリティプラクティスの評価および判断をすることができます。また、ここに列挙されているアドバイスは、ソフトウェアサプライチェーンの調達・展開および運用フェーズにも適用できます。ソフトウェアプロバイダーは、顧客とソフトウェア開発者間のコミュニケーションに責任を負います。プロバイダーの責任には、ソフトウェアのリリースと更新、通知および脆弱性の緩和を通じて、ソフトウェアの完全性とセキュリティを確保することが含まれます。