CMMC
米国防総省はNIST SP 800-171管理策を展開して5レベル評価を加えた新しい認定制度の仕組みとしてCMMC(Cybersecurity Maturity Model Certification)を適用することを宣言しました。
2020年1月にはVer. 1.0が公表されました。2020年11月には一部適用が開始される見通しです。CMMCはNAS 9933にならって、各要求項目を5段階のレベルおよびプロセスに分けて評価するしくみとしたものです。また、第三者評価認定機関(C3PAO)を認定し、客観的なレベル評価が行えるようにしました。
CMMCはあくまで米国防総省としての取り組みであり、その他の連邦政府各機関が取り組んでいるものではありません。また、米国防総省においても、これが正式に発効するのは、調達規則であるDFARS 252.204-7012の改訂が行われた後となります。
CMMCでは、管理策として全てのNIST SP 800-171要件を使用しており、従来は一律に全適用を求めていたものを、段階分けしたものです。従って、これまでの連邦政府の方針とは矛盾していません。
CMMCの情報は、OUSD(A&S)[Office of the Under Secretary of Defense for Acquisition and Sustainment:調達および維持担当国防次官室]のサイトに公開されています。
以下、V0.7 Draft版(2019年12月)をもとに、CMMCの概要を紹介する。
OUSD(A&S)は、防衛産業基盤企業のサプライチェーンにおける、FCI(Federal Contract Information:連邦契約情報)とCUI(Controlled Unclassified Information:管理対象非機密情報)の保護を目的に、CMMCを開発しています。
CMMCの開発に当たっては、米国防総省のステークホルダー、UARC(University Affiliated Research Centers:大学関連研究センター)、FFRDC(Federally Funded Research and Development Centers:連邦資金研究開発センター)、ジョンズ・ホプキンズ大学 応用物理学研究所(APL)およびカーネギーメロン大学 ソフトウェア工学研究所(SEI)および、産業界と協力して、さまざまなサイバーセキュリティ標準をレビューし、サイバーセキュリティの1つの統一標準としてCMMCに統合しようとしています。
CMMCは、FCIとCUIを保護する防衛産業基盤企業のセキュリティ対応能力を測定するための米国防総省の認定プロセスです。
CMMCは、成熟度モデルの構成をとっており、ソフトウェア開発等の成熟度モデルとして確立されているCMMI(Capability Maturity Model Integration:能力成熟度モデル統合)と同様に、定義された領域に対し、実施すべきプロセス、プラクティスが成熟度レベルにマップされています。
CMMCは、さまざまなサイバーセキュリティ基準を組み合わせ、基本的なサイバー予防策から高度なプラクティスまで、ベストプラクティスとプロセスを5つの成熟度レベル(レベル1〜5)にマップしています。
CMMCは、NIST SP 800-171 rev.1、 NIST SP 800-172、英国のCyber Essentials、オーストラリアのEssential Eight等、複数のソースからプラクティスを組み込んでいます。
CMMCは、サイバーセキュリティ要件の実装状況を検証するための認定の枠組みも含んでいます。
CMMCは、多層サプライチェーンの下請け事業者へのフローダウンを考慮し、防衛産業基盤企業がリスクに見合ったレベルでFCIおよびCUIを適切に保護できることについて、適切に認定されるように設計されています。なお、下請け事業者も含め、米国防総省の案件を受託するサプライチェーン各社は全て、CUIの取扱いの有無にかかわらず、レベル1のCMMC認定は取得する必要があります。
CMMCモデルでは5つの成熟度レベルが定義されています。
特定のCMMCレベルを満たすには、該当レベル以下の全てのレベルの「プラクティス」と「プロセス」を満たす必要があります。
なおCMMCのプラクティスは、NIST SP800-171の管理策をほとんど採用しており、171の110項目をレベル1から3にマッピングした形となっています。また、レベル4および5は、さらに高度な対応を求められる主にTEIR-1企業に要求され、管理策もNIST SP 800-172のものが充てられます。
CMMCの認定組織について
CMMCの認定については、以下のCMMC-AB(CMMC Accreditation Body)という組織を作り、第三者評価機関(C3PAO)を段階的に認定してゆくことがアナウンスされています。
この組織構造は、CMMCの運用を円滑に行うための準備を行う組織で、現在は運用開始に向けてC3PAOに対するトレーニング内容を作成しています。
レベル1の認定は、今後米国防総省との契約を行う可能性のある全ての企業(約30万社)が取得する必要があるため、C3PAOも相当な数が必要となります。
« Back to Glossary Index