サイバーセキュリティ成熟度モデル認定 (CMMC) コンプライアンス

サイバーセキュリティ成熟度モデル(CMMC)認定は、防衛産業基盤のサイバーセキュリティ態勢の強化を支援するために米国国防総省によって設計されました。 以前は、防衛請負業者は、 NIST SP 800-171に準拠 – CMMCへの主要な貢献者。 CMMC が完全に発効した後は、防衛契約に取り組みたい組織は、ある程度の CMMC コンプライアンスを維持することが求められます。

Download the eBook デモのスケジュール

Cybersecurity Maturity Model Certification Compliance

サイバーセキュリティ成熟度モデル認定 (CMMC) コンプライアンスが重要なのはなぜですか?

サイバーセキュリティ成熟度モデル認定は、防衛契約の一環として組織に提供される管理された機密データを保護するように設計されています。 これには、連邦契約情報 (FCI) と管理された非格付け情報 (CUI) の両方が含まれます。

この認定資格が必要なのは誰ですか?

防衛契約の元請け業者または下請け業者として働くことを計画している組織は、規制が完全に施行されたら、サイバーセキュリティ成熟度モデル認定コンプライアンスを取得する必要があります。 必要とされる CMMC コンプライアンスのレベルは、契約自体、契約内での組織の役割、契約の一部としての FCI および CUI への企業のアクセスによって異なります。

CMMC 2.0 の詳細はまだ作業中であり、標準は 2023 年 5 月まで展開されない予定です。 その時点で、防衛契約はすべての新規契約で CMMC コンプライアンスが必要となるまでの 5 年間の段階的導入期間が始まります。

CMMC のレベル

当初、サイバーセキュリティ成熟度モデル認定には、プラクティスとプロセスに分けて 5 つのレベルのコンプライアンスが含まれていました。 しかし、CMMC 2.0 への規格の改訂により、プロセスが排除され、レベルが次の 3 つに引き下げられました。

  • 基礎(レベル1)
  • 上級 (レベル 2)
  • エキスパート (レベル 3)

これらの変更により、「過渡期」のフェーズ 2 と 4 が廃止され、3 つのプログレッシブ レベルが維持されました。 これらの変更は、中小企業 (SMB) のコンプライアンスに関連する複雑さとコストを軽減することを目的としています。

修正の結果、CMMC は NIST 標準のコンプライアンスを厳密に反映するようになりました。 レベル 2 のコンプライアンスは、NIST SP 800-171 の完全なコンプライアンスと同等ですが、レベル 3 は、NIST SP 800-172 にも準拠しています。

CMMC コンプライアンス要件

組織が達成する必要がある CMMC コンプライアンスのレベルは、当該の契約の詳細によって異なります。 ただし、すべての防衛請負業者は、少なくとも FCI の保護を扱うサイバーセキュリティ成熟度モデル認定レベル 1 コンプライアンスを取得することが認められます。 CUI にアクセスできる組織には、より高いレベルのコンプライアンスが必要になります。

コンプライアンスの要件は必要なレベルによって異なり、次のものが含まれます。

  • レベル1: レベル 1 のコンプライアンスには、17 のセキュリティ管理に対する年次自己評価が必要です。 これらの管理は、FAR 52.204-21 対象請負業者情報の基本的な保護に概説されています。
  • レベル2: レベル 2 コンプライアンスは、CUI にアクセスできる組織に必要であり、NIST SP 800-171 の完全なコンプライアンスと同等です。 レベル 2 のコンプライアンスでは、関係する情報の機密性に応じて、一部のプログラムについては第三者監査人による 3 年に 1 回の評価が必要であり、他のプログラムについては年に 1 回の自己評価が必要です。
  • レベル3: レベル 3 コンプライアンスには、完全な NIST SP 800-171 コンプライアンスと、NIST SP 800-172 の一部のコントロールを備えたコンプライアンスが必要です。 CMMC レベル 3 のコンプライアンス監査は、政府の監査人が主導します。

CMMC 2.0 はまだ開発中であるため、各レベルのコンプライアンスの正確な要件はまだ流動的です。 ただし、レベル 1 および 2 のコンプライアンスに必要な一連のセキュリティ管理とプロセスはすでに定義されているため、組織は防衛契約への参加が求められる前にコンプライアンスの達成に向けて有利なスタートを切ることができます。

CMMC認定を取得する方法

CMMC 認定を取得するプロセスは、必要なコンプライアンスのレベルによって異なります。 自己評価のみを必要とするレベルについては、CMMCによって評価ガイドが発行されています。 自己評価の完了後、会社の上級役員は会社のコンプライアンスを毎年確認することが求められます。

CMMC コンプライアンスに第三者監査が必要な場合、組織は、認定された第三者評価機関 (C3PAO) および場合によっては政府の評価機関と協力して監査をスケジュールする必要があります。 認定されたC3PAOのリストはCMMC Marketplaceで入手でき、監査に参加して完了するためのプロセスは、CMMC 2.0の発効日が近づくと利用可能になります。

チェック・ポイントでCMMC準拠を達成

サイバーセキュリティ成熟度モデル認定のコンプライアンスを達成および維持するには、FCI および CUI にアクセスできるすべてのシステムで NIST SP 800-171、および場合によっては NIST SP 800-172 のコンプライアンスが必要です。 これを達成するには、必要なセキュリティ管理を実装し、継続的なコンプライアンスを実証する必要があります。

Check Point CloudGuard 規制に準拠して企業システムのコンプライアンスを継続的に監視することで、組織が CMMC コンプライアンスを達成および維持できるように支援できます。 チェック・ポイントが組織の次のことにどのように役立つかについて詳しく知りたい場合は、 必要なセキュリティ制御を実装する そして、それらを長期的に監視し、維持し、 CloudGuard の無料デモにサインアップする.

 

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK