[M] サイバーセキュリティ成熟度モデル認証 CMMC

はじめに

 DoDは、調達に関し、防衛産業基盤企業のサプライチェーン全体のセキュリティを強化していくために、CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)の枠組みを開発しています。CMMCは、2020年1月に正式版(v1.0)がリリースされ、その後順次適用が進められています。

 CMMCの最新情報は、OUSD(A&S)サイトに公開をご覧ください。

目次

  1. M 概要
  2. M2 CMMCモデルフレームワーク
  3. M3 CMMC文書の附属書(APPENDIX)
  4. M4 CMMCレベル3のNIST SP 800-171以外の「プラクティス」への対応
  5. M5 参考1.CMMIについて

1.概要

 OUSD(A&S)は、防衛産業基盤企業のサプライチェーンにおける、FCIFederal Contract Information:連邦契約情報)とCUIControlled Unclassified Information管理対象非機密情報)の保護を目的に、CMMCを開発しています。

 CMMCの開発に当たっては、DoDのステークホルダー、UARC(University Affiliated Research Centers:大学関連研究センター)、FFRDC(Federally Funded Research and Development Centers:連邦資金研究開発センター)、産業界と協力しています。

 ジョンズ・ホプキンズ大学 応用物理学研究所(APL)およびカーネギーメロン大学 ソフトウェア工学研究所(SEI)と協力して、さまざまなサイバーセキュリティ標準をレビューし、サイバーセキュリティの1つの統一標準としてCMMCに統合しています。

 CMMCは、FCICUIを保護する防衛産業基盤企業(DIB)の能力を測定するためのDoD認証プロセスです。

 CMMCは、成熟度モデルの構成をとっており、ソフトウェア開発等の成熟度モデルとして確立されているCMMI(Capability Maturity Model Integration:能力成熟度モデル統合)と同様に、定義された領域に対し、実施すべきプロセス、プラクティスが成熟度レベルにマップされています。 [ CMMIの概要については、「参考1.CMMIの概要」を参照。 ]

 CMMCは、さまざまなサイバーセキュリティ基準を組み合わせ、基本的なサイバー予防策から高度なプラクティスまで、ベストプラクティスとプロセスを成熟度レベル(レベル1〜5)にマップしています。

 CMMCの取り組みは、米国の既存の規則 48CFR 52.204-21、DFARS 252.204-7012に基づいています。

 CMMCは、NIST SP 800-171 rev.2、 Draft NIST SP 800-172、英国のCyber Essentials、オーストラリアのEssential Eight等、複数の出典からプラクティスを組み込んでいます。(下図参照)

 CMMCは、サイバーセキュリティ要件の実装を検証するための認証の枠組みも含んでいます。

 CMMCは、多層サプライチェーンの下請け事業者へのフローダウンを考慮し、防衛産業基盤企業がリスクに見合ったレベルでCUIを適切に保護できることについて、認証するように設計されています。下請け事業者も含め、DoDの案件を受託するサプライチェーン各社は、CUIの取扱いの有無にかかわらず、CMMCの認証を取得する必要がでてくる見込みです。

【Evaコラム】CMMCへの備え (by 濱田 2020.10 NIS-Be通信)