[M] サイバーセキュリティ成熟度モデル認証=CMMC

はじめに

 DoDは、調達に関し、防衛産業基盤企業のサプライチェーン全体のセキュリティを強化していくために、CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)の枠組みを開発しています。CMMCは、現在Draft版が公開されており、2020年1月に正式版(v1.0)がリリースされ、その後順次適用を進めていく計画となっています。

 CMMCの情報は、OUSD(A&S)サイトに公開されています。

 現在はv1.0が公開されていますが、本稿ではv0.7 Draft版(2019年12月)をもとに、CMMCの概要を紹介します。

目次

  1. M 概要
  2. M2 CMMCモデルフレームワーク
  3. M3 CMMC文書の附属書(APPENDIX)
  4. M4 CMMCレベル3のNIST SP 800-171以外の「プラクティス」への対応
  5. M5 参考1.CMMIについて

1.概要

 OUSD(A&S)は、防衛産業基盤企業のサプライチェーンにおける、FCIFederal Contract Information:連邦契約情報)とCUIControlled Unclassified Information:管理対象非機密情報)の保護を目的に、CMMCを開発しています。

 CMMCの開発に当たっては、DoDのステークホルダー、UARC(University Affiliated Research Centers:大学関連研究センター)、FFRDC(Federally Funded Research and Development Centers:連邦資金研究開発センター)、産業界と協力しています。

 ジョンズ・ホプキンズ大学 応用物理学研究所(APL)およびカーネギーメロン大学 ソフトウェア工学研究所(SEI)と協力して、さまざまなサイバーセキュリティ標準をレビューし、サイバーセキュリティの1つの統一標準としてCMMCに統合しています。

 CMMCは、FCICUI保護する防衛産業基盤企業の能力を測定するためのDoD認証プロセスです。

 CMMCは、成熟度モデルの構成をとっており、ソフトウェア開発等の成熟度モデルとして確立されているCMMI(Capability Maturity Model Integration:能力成熟度モデル統合)と同様に、定義された領域に対し、実施すべきプロセス、プラクティスが成熟度レベルにマップされています。 [ CMMIの概要については、「参考1.CMMIの概要」を参照。 ]

 CMMCは、さまざまなサイバーセキュリティ基準を組み合わせ、基本的なサイバー予防策から高度なプラクティスまで、ベストプラクティスとプロセスを成熟度レベル(レベル1〜5)にマップしています。

 CMMCの取り組みは、米国の既存の規則 48CFR 52.204-21、DFARS 252.204-7012に基づいています。

 CMMCは、NIST SP800-171 rev.2、 Draft NIST SP800-172、英国のCyber Essentials、オーストラリアのEssential Eight等、複数の出典からプラクティスを組み込んでいます。

 CMMCは、サイバーセキュリティ要件の実装を検証するための認証の枠組みも含んでいます。

 CMMCは、多層サプライチェーンの下請け事業者へのフローダウンを考慮し、防衛産業基盤企業がリスクに見合ったレベルでCUIを適切に保護できることについて、認証するように設計されています。下請け事業者も含め、DoDの案件を受託するサプライチェーン各社は、CUIの取扱いの有無にかかわらず、CMMC認証を取得する必要がでてくる見込みです。

 CMMCは、2019年9月にv0.4 Draft版、2019年11月にv0.6 Draft版をパブリック・レビュー用に公開し、見直しを行い、2019年12月のv0.7 Draft版でレベル1〜3のプロセスとプラクティスの一部変更と、レベル1〜5の詳細を公開しています。