2010年、当時のオバマ大統領が大統領令(EO 13556)によりCUIを定義し、連邦政府全体で管理態勢を作ることを指示しました。
その任にあたったのが、NARA即ち国立公文書記録管理局です。規程をNISTに作らせ、最初の適用をDoD/国防総省に指示しました。
NISTは、ここに挙げた14種類のファミリーと呼ぶグループに分類された、110の要件をSP 800-171として規定しました。
ISMSなどの一般的な情報セキュリティの基準に比べると、特にデータの秘匿性について重点をおいて作られています。その他の管理態勢については各社とも当然守られている、という前提のもとに適用される、とアナウンスされました。
しかし、施行から1年程しか経っていない2019年、米・国防総省は「DFARSによる171遵守のやり方を見直して、新たにCMMCというやり方に変える」と宣言しました。
CMMCとは、契約者全てが関わる「FCIとCUIの両方を保護する、防衛産業基盤企業のセキュリティ対応能力を測定するための、米・国防総省の新しい認証制度」で、従来の自己宣言方式から、第三者に認証してもらうしくみに変更するものです。
NIST SP 800-171では110の項目全てについて一律に遵守を要求しましたが、CMMCではレベルを5段階に分けて、対象とする情報や契約者によって適用するレベルを決めるという方法です。
具体的な適用については、今年末頃の発表を待たなくてはなりませんが、国防総省と直接・間接に契約する全ての事業者はレベル1の適用が義務づけられることがアナウンスされています。
レベル1は全部で17項目、比較的難易度の低い要件が規定されています。しかしながら、国防総省の対象サプライチェーン事業者は、全部で約35万社と言われており、その全てに要求するということは非常に画期的な取り組みであると言えます。
なお、従来の171に相当する110項目はレベル3、さらに高度なレベル4と5は主にNIST SP800-172に規程される要件が設定される計画です。
