[M2] CMMCモデルフレームワーク

 CMMCモデルフレームワークは「領域(Domain)」毎に、最高レベルのサイバーセキュリティのベストプラクティスを分類しています。

 各「領域」は、一連の「能力(Capability)」によってさらにセグメント化されている。「能力」は各「領域」の中で、サイバーセキュリティの目標達成を保証するための実施すべき事項です。

 企業は、CMMCの5つの成熟度レベルにマッピングされた「プラクティス(Practices)」と「プロセス(Processes)」の遵守を実証することで、必要な「能力」への準拠を実証することになります。

 「プラクティス」は、特定の「能力」要件に準拠するために必要な技術的活動を測定し、「プロセス」は、企業のプロセスの成熟度を測定します。

 各「領域」について、防衛産業基盤企業は、必要な「プラクティス」への準拠を実証し、特定のCMMCレベルに必要な成熟した「プロセス」を実証できる場合に、CMMC認証を得ることができます。

領域 (Domains)キーとなる一連のサイバーセキュリティ「能力」
能力 (Capabilities)  各「領域」の中で、サイバーセキュリティの目標達成を保証するための実施すべき事項
プラクティス プロセス (Practices & Processes)各成熟度レベルで、「能力」達成のために必要な活動

(1) CMMCレベル

 CMMCモデルでは5つの成熟度レベルが定義されています。

特定のCMMCレベルを満たすには、該当レベル以下の全てのレベルの「プラクティス」と「プロセス」を満たす必要があります。

成熟度プラクティスプロセス
レベル5上級/プログレッシブ (Advanced/ Progressive)最適化されている (Optimized)
レベル4積極的 (Proactive)見直されている (Reviewed)
レベル3優れたサイバー予防策 (Good Cyber Hygiene)管理されている (Managed)
レベル2中級サイバー予防策 (Intermediate Cyber Hygiene)文書化されている (Documented)
レベル1基本的なサイバー予防策 (Basic Cyber Hygiene)実施されている (Performed)
  • レベル1:
    • CMMCレベル1は基本的なサイバー予防策に焦点を当て、規則 48 CFR 52.204-21で定める保護要求事項から構成されている。レベル1「プラクティス」は、上位レベルの基盤を確立するもので、対象となるすべての組織が達成しなければならない。
    • CMMC 内のすべての「領域」にレベル1「プラクティス」があるわけではない。レベル1とレベル2の両方を満たすことで、組織は、FCIの提供を受けることができる。FCIは、一般公開を目的とした情報ではない。FCIは、政府向けの製品/サービスの開発/提供契約の下で、提供、生成されるもので、政府から一般に提供された情報は含まれていない。 
    • CMMCレベル1では、「プラクティス」の実施は求められているが、「プロセス」成熟度は求められていないため、CMMCレベル1組織のサイバーセキュリティの成熟度は、限定的であるか、一貫性がない。
  • レベル2:
    • CMMCレベル2は、中級サイバー予防策に焦点を当てている。より高度な「プラクティス」により、組織はレベル1に比べて、より多くのサイバー脅威から資産を保護し、維持する力が高くなる。 
    • CMMCレベル2では、「プロセス」成熟度が導入されている。CMMCレベル2では、サイバーセキュリティ・プログラムを実装するために、標準的な運用手順、ポリシー、戦略計画を策定し、文書化することが求められている。
  • レベル3:
    • CMMCレベル3として評価された組織は、NIST SP800-171 Rev1のセキュリティ要件を満たす優れたサイバー予防策と管理策の効果的な実装を実証したことになりる。CUIへのアクセスや CUIの生成を必要とする組織は、CMMCレベル3を達成する必要がある。CMMC レベル3は、組織の資産とCUI保護し、維持する基本的な力を有することを示す。しかし、CMMCレベル3では、APT(Advanced Persistent Threat、持続的標的型攻撃)の防御に関しては課題がある。
    • 「プロセス」成熟度については、CMMCレベル3の組織は、ポリシーと手順に従った活動を十分にリソース化し、レビューし、「プラクティス」実装の管理を実証することが求められている。
  • レベル4:
    • CMMCレベル4では、組織は実質的かつ積極的なサイバーセキュリティ・プログラムを備えている。組織には、APTで使用されている変化する戦術、技術、および手順(TTP)に対処するために、保護および維持活動を適応させる「能力」がある。
    • 「プロセス」成熟度については、組織は活動の有効性をレビューし、文書化し、問題を上位管理層に通知するすることが期待される。
  • レベル5:
    • CMMCレベル5では、組織は、サイバーセキュリティ機能を最適化する実証済みの能力を備えた先進的または進歩的なサイバーセキュリティ・プログラムを備えている。組織には、APTを撃退するためにサイバーセキュリティ「能力」を最適化する「能力」がある。
    • プロセスの成熟度については、CMMCレベル5の組織は、「プロセス」の実装が組織全体で標準化されていることを確認することが期待される。

[CMMCレベル要約]

 レベル1レベル2レベル3レベル4レベル5
技術的 「プラクティス」連邦調達規則(FAR)で要求される基本的なサイバー予防策を実証する中級サイバー予防策を実証する優れたサイバー予防策とNIST SP800-171 Rev 1のセキュリティ要求事項を実証する実質的かつ積極的なサイバーセキュリティ・プログラムを実証するAPT(持続的標的型攻撃)を撃退するために、「能力」を最適化する裏付けのある力量を実証する  
「プロセス」 成熟度「プロセス」 成熟度 なし標準的な操作手順、ポリシー、および計画がすべての「プラクティス」に対して確立されている活動は、ポリシーと手順の順守についてレビューされ、十分なリソースが提供されている活動の有効性がレビューされ、経営層に問題が通知されている活動は、該当する全ての組織単位で標準化され、特定された改善点は共有されている  

 CMMC「プロセス」と「プラクティス」への準拠は累積的です。一度あるレベルで導入された「プラクティス」は、全ての上位レベルで必要な「プラクティス」となる。組織がレベル3を達成するには、レベル1、2、および 3で定義されている全ての「プラクティス」と「プロセス」を達成する必要があります。特定のレベルのCMMCを実現するには、組織は、全ての「領域」で、そのレベル以下の「プラクティス」と「プロセス」の両方を満たす必要があります。例えば、「プラクティス」の実装でレベル 3 をスコア付けし、「プロセス」の制度化でレベル 2 をスコア付けする組織は、CMMC レベル 2 が割り当てられます。

 CMMCでは、「プラクティス」と「プロセス」制度化の実証が、どちらも重要であり、組織は両方の要求事項を満たす必要があります。

(2) CMMC 「領域(Domain)」

 CMMCモデルは、17分野の「領域」で構成されています。 これらのCMMC「領域」の大部分(14分野)は、FIPS-200の最低限のセキュリティ要求事項の領域と NIST SP800-171 管理策ファミリに由来しています。これらに、CMMC モデルとして、資産管理(AM)、回復(RE)、状況認識(SA)の「領域」が追加されています。 

 17分野の「領域」とその略語は、以下のようになっています。

略語Domains領域
ACACCESS CONTROLアクセス制御
AMASSET MANAGEMENT資産運用管理
AAAUDIT AND ACCOUNTABILITY監査と説明責任
ATAWARENESS AND TRAINING意識向上と訓練
CMCONFIGURATION MANAGEMENT構成管理
IDAIDENTIFICATION AND AUTHORIZATION識別と認証
IRINCIDENT RESPONSEインシデント対応
MAMAINTENANCEメンテナンス
MPMEDIA PROTECTION記憶媒体の保護
PSPERSONNEL SECURITY要員のセキュリティ
PPPHYSICAL PROTECTION物理的保護
RERECOVERY回復
RMRISK MANAGEMENTリスクマネジメント
SASSECURITY ASSESSMENTセキュリティ評価
SASITUATIONAL AWARENESS状況認識
SCPSYSTEM AND COMMUNICATIONS PROTECTIONシステムと通信の保護
SIISYSTEM AND INFORMATIONAL INTEGRITYシステムと情報の完全性

 以下に各「領域」の「能力」を示す。各「能力」の各レベルには、少なくとも1つの「プラクティス」が含まれています。

領域  能力
ACアクセス制御システムアクセス要件を確立する内部システムアクセスを制御するリモートシステムアクセスを制御する許可されたユーザーとプロセスへのデータアクセスを制限する
AM資産運用管理資産を特定し文書化する資産目録を管理する
AA監査と説明責任監査要件を定義する監査機能を実行する監査情報を特定し保護する監査ログを確認し管理する
AT意識向上と訓練セキュリティ教育を実施する訓練を実施する
CM構成管理構成基準を確立する構成管理と変更管理を実施する
IDA識別と認証認証されたエンティティへのアクセスを許可する
IRインシデント対応インシデント対応を計画するイベントを検出し報告する発生したインシデントへの対応方法を開発し実装するインシデント発生後のレビューを実施するインシデント対応をテストする
MAメンテナンスメンテナンス管理する
MP記憶媒体の保護記憶媒体を特定しマーク付けする記憶媒体を保護し制御する記憶媒体をサニタイズする輸送中の記憶媒体を保護する
PS要員のセキュリティ要員をスクリーニングする人事処理中にFCI(連邦契約情報)を保護する
PP物理的保護物理的アクセスを制限する
RE回復バックアップを管理する情報セキュリティの継続性を管理する
RMリスクマネジメントリスクを特定し評価するリスクを管理するサプライチェーンのリスクを管理する
SASセキュリティ評価システム・セキュリティ計画を作成し管理する管理策を定義し管理するコードレビューを実施する
SA状況認識脅威監視を実装する
SCPシステムと通信の保護システムと通信のセキュリティ要件を定義するシステムの境界で通信を制御する
SIIシステムと情報の完全性情報システムの欠陥を特定して管理する悪意のあるコンテンツを特定するネットワークとシステムの監視を実施する高度なメール保護を実装する

(3) CMMC「プロセス」成熟度

 「プロセス」成熟度は、組織における「プラクティス」の制度化の程度を示しています。例えば、CMMCレベル3の組織は、レベル3の「プラクティス」と、成熟度レベル3の「プロセス」の両方を満たす必要があります。

 以下に、5つのCMMCレベルについて、組織に求められる「プロセス」成熟度を示します。(以下の「プロセス」が、各「領域」に、それぞれ適用されます。)

 CMMC正式版(v1.0)で、各「領域」に合わせた「プロセス」成熟度が公開される予定です。

[CMMC「プロセス」成熟度レベル(ML:Maturity Level)]

「プロセス」成熟度「プロセス」
ML1実施されているML1で評価される「プロセス」成熟度はありません。レベル1の組織は、レベル1の「プラクティス」を実施しているだけで、「プロセス」の制度化は行っていない。
ML2文書化されている各「領域」のポリシーを確立する各「領域」のポリシーを実装するための「プラクティス」を確立する各「領域」の計画を確立する
ML3管理されているポリシーと「プラクティス」を遵守するための 各「領域」の活動をレビューする各「領域」の活動に適切なリソースを提供する
ML4見直されている各「領域」の活動の有効性のレビューし測定する各「領域」の活動に関する問題を上級管理層に通知する
ML5最適化されている該当する全ての組織単位で、各「領域」に関する文書化されたアプローチを標準化する組織全体で、各「領域」の活動の特定された改善を共有する