CMMC

要約

DoD契約を扱い、連邦情報 (FCIまたはCUI) に触れる場合、CMMC (Cybersecurity Maturity Model Certification)は必須です。

3つのレベル：

• レベル1：基本的なサイバー衛生（自己評価）。
• レベル2：NIST 800-171（第三者評価）。
• レベル3：高度なセキュリティ（政府主導の監査）。

CMMCがなければ契約もありません。認証を取得し、資格を維持しましょう。

CMMCスコアカード概要：

• 開発者の労力: 中程度から高い（レベルによる。アクセス制御、構成管理、システムの整合性、脆弱性管理、CUI保護に関連するセキュアコーディングプラクティスに関連する制御の実装が必要）。
• ツール費用: 中程度から高い（アクセス制御、MFA、エンドポイントセキュリティ、脆弱性スキャン、ロギング/SIEM、構成管理のためのツールが必要。NIST 800-171コントロールに準拠したDLPも必要となる可能性あり）。
• 市場への影響: 非常に重要（FCI/CUIを含むDoD契約への参加に義務付けられています。DIB全体にとって基本的な要件となりつつあります）。
• 柔軟性: 低～中程度（特定のNIST管理策に基づいています。レベル2では評価時に限定的な改善計画とマイルストーン（POA&M）が許可されますが、完全なコンプライアンスが目標です）。
• 監査の厳格度: 高（レベル1は自己評価ですが、レベル2はC3PAOによる正式な第三者評価が必要であり、レベル3は政府による評価が必要です）。

CMMCとは何ですか？

米国防総省（DoD）のイニシアチブであるサイバーセキュリティ成熟度モデル認証（CMMC）プログラムは、防衛産業基盤（DIB）全体でサイバーセキュリティ基準を強化するために設計されています。その主な目的は、請負業者のネットワークに存在する機密性の高い非機密情報を保護することです。具体的には：

• 連邦契約情報 (FCI): 公開を意図しない情報であり、契約に基づき政府によって提供される、または政府のために生成されるものです。
• 管理された非機密情報（CUI）: 法律、規制、または政府全体のポリシーに従って、保護または配布管理が必要な情報。

CMMC 2.0は、現在のイテレーションであり、元のモデルを3つの成熟度レベルに簡素化しています。

• レベル1（基礎）: FCIの基本的な保護に焦点を当てます。FAR 52.204-21で指定された15の基本要件に準拠しています。年次自己評価が必要です。
• レベル2（高度）: CUIの保護に焦点を当てます。NIST SP 800-171 Rev 2に概説されている110のセキュリティ要件に完全に準拠しています。CUIを含むほとんどの契約において、認定されたCMMC第三者評価機関（C3PAO）による3年ごとの第三者評価が必要です。レベル2プログラムの一部では自己評価が許可される場合があります。
• レベル3（エキスパート）: APT（高度な持続的脅威）からCUIを保護することに焦点を当てます。NIST SP 800-171の全110の制御に加え、NIST SP 800-172（強化されたセキュリティ要件）からの制御のサブセットを含みます。3年ごとの政府主導の評価が必要です。

以前のNIST 800-171に対する自己証明アプローチとは異なり、CMMCは、必要なサイバーセキュリティ対策の実施を検証するために、必須の評価（レベルに応じて自己評価、第三者評価、または政府による評価）を導入します。必要なCMMCレベルは、DoDの募集要項や契約書に明記されます。

なぜそれが重要なのか

CMMCは、防衛産業基盤（DIB）にとって状況を一変させるものです。

• DoD契約における義務化: 最終的に、必要なCMMCレベルを達成し維持することは、FCIまたはCUIを含むDoD契約を受注または参加するための前提条件となります。遵守しない場合、DoD関連業務の資格を失います。
• 機密情報を保護: DIBサプライチェーンからの機密防衛情報（FCI/CUI）の盗難を大幅に削減することを目指します。これは国家安全保障上の主要な懸念事項です。
• サイバーセキュリティの標準化: DIB全体で統一されたサイバーセキュリティ標準を作成し、一貫性のない自己証明から検証済みのコンプライアンスへと移行します。
• サプライチェーンセキュリティの強化: FCI/CUIを扱う下請け業者にも要件が適用され、サプライチェーン全体の保護を目指します。
• 説明責任の強化: 自己証明から検証済み評価への移行により、必要なセキュリティ制御の実装に対する説明責任が強化されます。
• 信頼を構築します: CMMC認証は、下請業者が適切なサイバーセキュリティ対策を講じていることを国防総省（および主要請負業者）に保証します。

現在DoDと取引がある、または計画しているあらゆる企業にとって、CMMCコンプライアンスを理解し達成することは、防衛市場での存続と成長のために不可欠になりつつあります。

何を、どのように実装するか (技術的側面とポリシー側面)

CMMCの導入には、目標レベルに関連するサイバーセキュリティプラクティスを採用することが含まれます。これらは主にFAR 52.204-21およびNIST SP 800-171 / 800-172から派生しています。

1. 必要レベルの決定: 処理する情報の種類（レベル1はFCIのみ、レベル2/3はCUI）および特定の契約要件に基づき、必要なCMMCレベルを特定します。
2. スコープの定義: FCI/CUIを扱うシステム、資産、場所、および人員を明確に特定します。この「CUI境界」は評価にとって重要です。データフローを文書化します。
3. ギャップ分析: 目標とするCMMCレベルの要件（L1には15の管理策、L2には110のNIST 800-171管理策、L3にはL2 + NIST 800-172のサブセット）に対して現在のセキュリティ態勢を評価します。ギャップを特定します。
4. 改善と実施： 必要な制御を実装することで、特定されたギャップに対処します。これはNIST 800-171から派生した14のドメインにわたります：
   
   • アクセス制御 (AC): 最小権限を実装し、アカウントを管理し、リモートアクセスを制御し、MFAを使用します (CUIに必須)。
   • Awareness & Training (AT): セキュリティ意識向上トレーニングを実施します。
   • 監査と説明責任 (AU): システムログを生成および保持し、アクションがユーザーに追跡可能であることを保証します。
   • 構成管理（CM）: 構成ベースラインを確立し、変更を管理し、ソフトウェアのインストールを制限します。
   • 識別と認証 (IA): ユーザーを一意に識別し、認証します（CUIアクセスにはMFAを含む）。
   • インシデントレスポンス（IR）: インシデントレスポンス計画を策定し、テストします。
   • メンテナンス（MA）: システムメンテナンスを安全に実施します。
   • メディア保護（MP）: CUIを含むメディアをサニタイズまたは破壊します。
   • 人的セキュリティ（PS）: アクセスを許可する前に個人を審査します。
   • 物理的保護（PE）: 物理的なアクセスを制限し、訪問者をエスコートします。
   • リスク評価（RA）: 定期的にリスクを評価し、脆弱性をスキャンします。
   • セキュリティ評価（CA）: システムセキュリティ計画（SSP）を策定し、管理策を監視し、POA&Mを管理します。
   • システムおよび通信保護 (SC): 通信境界（ファイアウォール）を監視/制御し、暗号化保護（例：保存時/転送時のCUIに対するFIPS 140検証済み暗号化）を実装し、ネットワークトラフィックをデフォルトで拒否します。
   • システムおよび情報整合性 (SI): 欠陥を特定/管理し、マルウェアから保護し、不正な変更を監視します。
5. ドキュメント: 主要なドキュメントの作成：
   
   • システムセキュリティ計画 (SSP): 各必須管理策がどのように満たされているかを記述します。
   • ポリシーと手順: 管理策の実装をサポートする正式な文書。
   • 改善計画およびマイルストーン (POA&M): ギャップが残る場合（CMMCレベル2では特定の条件下で一時的にのみ許容）、それらを修正するための計画を文書化します。
6. 自己評価（全レベル）: 要件に対する内部評価を実施し、該当する場合はNIST SP 800-171評価スコアを算出します（SPRS提出に必要）。
7. 評価の準備: 証拠を収集し、面接のために担当者を準備し、文書が完全であることを確認します。
8. 評価を受ける：
   
   • レベル1: 年次自己評価。
   • レベル2: C3PAOによる3年ごとの第三者評価（ほとんどの場合）または自己評価（一部の場合）。
   • レベル3: 3年ごとの政府主導による評価です。

導入は、NIST SP 800-171にプラクティスを合わせ、文書化と評価を通じて成熟度と有効性を示すことに大きく依存します。

避けるべきよくある間違い

CMMC認証の取得には慎重な計画が必要です。これらの間違いを避けましょう：

1. 範囲/複雑さの過小評価: FCI/CUIが保存、処理、または送信されるすべてのシステム/場所を正確に特定できないこと。これは不完全な評価につながります。
2. 経営層の賛同不足：CMMCを純粋なIT問題として扱い、必要なリソース、ポリシー変更、および文化的な変化に対するリーダーシップのサポートがないこと。
3. リソース不足：取り組みへの資金不足、またはNIST 800-171コントロールを正しく実装および文書化するための専門知識を持つ人員の不足。
4. 不適切な文書化: 脆弱または存在しないSSP、ポリシー、手順があること、または評価中に管理策の実装を実証するための十分な証拠を収集できないこと。
5. NIST SP 800-171の無視: レベル2に要求される110のコントロールに対する詳細なギャップ分析を実施せずに、既存のセキュリティ対策で十分であると仮定すること。
6. サプライチェーンの軽視: FCI/CUIを扱う下請け業者にCMMC要件を適用しないこと、またはクラウドプラットフォームのような外部サービスプロバイダー（ESP）からのリスクを管理しないこと。
7. 先延ばし: CMMC要件が契約に現れるまで待ち、準備と是正にしばしば必要とされる9〜18ヶ月以上の期間を過小評価しています。
8. 「チェックボックスを埋めるだけ」の作業と見なすこと: 管理策を表面上だけ実施し、それらが実際に効果的で運用に統合されていることを確認しないこと。

監査人/評価者が尋ねること（開発者向け）

CMMC評価は広範なITおよびセキュリティ対策を対象としていますが、CUIを扱う開発者、またはCMMCの範囲内のシステムで作業する開発者は、以下のようなコントロールへの準拠を実証することに関与する可能性があります。

• (CM Controls) 「ソフトウェア構成の変更はどのように管理および追跡されていますか？」
• (SI Controls) 「開発中に悪意のあるコードを検出し、防止するためにどのような対策が講じられていますか？」
• (SA Controls - related to 800-171) 「セキュアなソフトウェア開発プラクティスについて説明してください。」（800-171自体にはSSDFの範囲で明示的に詳述されていませんが、セキュアな開発はCUIを保護するための暗黙の期待事項です。）
• (AC Controls) 「CUIを含む開発環境およびソースコードへのアクセスはどのように管理されていますか？」
• (AU Controls) 「開発者の行動はログに記録されていますか、特にCUIを含むシステムにアクセスする際に？」
• (RAコントロール) 「CUIを扱うカスタム開発ソフトウェアにおいて、脆弱性はどのように特定され、修正されますか？」（例：SAST/DASTの使用）
• (SC Controls) 「伝送中にCUIはどのように保護されていますか（例：APIで使用される暗号化）？」

評価者は、実装された技術的コントロール、開発者が従う文書化された手順、およびコンプライアンスを確認する証拠（ログ、スキャン結果、アクセスレビュー）を求めます。

開発チームのためのクイックウィン

開発チームは、特にレベル2（NIST 800-171への準拠）において、CMMCの準備に貢献できます。

1. 開発におけるCUIの特定: コード、テストデータ、ドキュメント、または開発ツールにCUIが存在するかどうか、どこに存在するかを理解します。必要に応じて取り扱い手順を実装します。
2. Secure Dev Environments: 開発サーバー、コードリポジトリ、CI/CDパイプラインにアクセス制御（最小権限、MFA）を適用します。特にCUIを扱う場合は重要です。
3. SAST/SCAの統合: コードと依存関係の脆弱性を早期に発見するために、自動化ツールを使用します。(RA.L2-3.11.2, SI.L2-3.14.1をサポート)
4. シークレット管理: シークレットや認証情報（特にCUIへのアクセスを提供するもの）がハードコードされていないことを確認します。（AC.L1-3.1.1、AC.L1-3.1.2をサポート）
5. 変更管理を形式化する: Gitflow/PRsを使用し、承認を必須とし、変更を課題にリンクさせます。（CM.L2-3.4.1、CM.L2-3.4.2をサポート）
6. 開発者向けセキュリティトレーニング: 基本的なセキュリティ意識向上とセキュアコーディングのトレーニングを提供します。(AT.L2-3.2.1をサポート)

これを無視すると...（非準拠の結果）

防衛産業基盤の組織にとって、フレームワークが展開されるにつれて、CMMCの不遵守は直接的かつ深刻な結果をもたらします。

• DoD契約の不適格: 主要な結果です。必要なCMMCレベルを達成できない場合、組織は新しいDoD契約の授与や、FCI/CUIを含む既存の契約での作業継続の資格を失います。
• 収益の喪失: DoD契約から締め出されることは、防衛請負業者にとって現在および将来の収益の重大な損失を意味する可能性があります。
• サプライチェーンからの除外: プライムコントラクターは、下請け業者にCMMC要件を満たすことを要求するため、非準拠の下請け業者はDoDサプライチェーンから除外されます。
• 競争上の不利: CMMC認証を取得した企業は、取得していない競合他社に対して大きな優位性を持つことになります。
• 契約上の罰則の可能性: CMMC要件が適用され満たされない場合、既存の契約が影響を受け、契約違反の問題につながる可能性があります（詳細はまだ進化中ですが）。

基本的に、CMMCコンプライアンスはDIBにとって事業を行う上でのコストになりつつあります。

よくあるご質問

CMMC認証は誰が必要としますか？

連邦契約情報（FCI）または管理非機密情報（CUI）を取り扱う防衛産業基盤（DIB）サプライチェーン内のすべての組織は、DoD契約で要求されるように、最終的に特定のCMMCレベルを達成する必要があります。

CMMC 1.0とCMMC 2.0の違いは何ですか？

CMMC 2.0は、元の5つのレベルを3つに合理化しました。CMMC固有のプラクティスとプロセスを削除し、レベル2をNIST SP 800-171に、レベル3をNIST SP 800-171とNIST SP 800-172のサブセットに直接整合させました。また、レベル1（およびレベル2のサブセット）での自己評価を許可し、特定の条件下でレベル2評価時に行動計画およびマイルストーン（POA&M）の限定的な使用を許可しています。

FCIとCUIの違いは何ですか？

FCI（連邦契約情報）は、公開を意図しない情報であり、契約に基づき政府によって提供される、または政府のために生成されるものです。CUI（管理非機密情報）は、法律、規制、または政府の方針（例：輸出管理データ、特定の技術データ）によって定義される、保護管理を必要とするより広範なカテゴリです。CUIの取り扱いは、CMMCレベル2または3の必要性を引き起こします。

CMMCはいつから契約で義務付けられますか？

DoDは、CMMCプログラム規則の最終決定（現在審査中）に基づき、2025年半ばから後半にかけて段階的な展開を通じてCMMCを導入する可能性があります。その後数年間で契約に登場する機会が増え、2027年後半から2028年初頭までには、FCI/CUIを扱うほぼすべてのDoD契約で必須要件となる見込みです。

NIST SP 800-171とは何ですか、そしてCMMCとどのように関連していますか？

NIST SP 800-171は、非連邦システムにおけるCUI（管理対象非機密情報）保護の要件を概説しています。CMMCレベル2は、NIST SP 800-171 Rev 2で規定されている110のセキュリティ要件と直接的に整合しています。NIST 800-171への準拠は、CMMCレベル2を達成するための基盤となります。

C3PAOとは何ですか？

CMMC第三者評価機関（C3PAO）は、CMMC認定機関（The Cyber AB）によって認定され、CMMCレベル2認証評価を実施する権限を持つ組織です。

CMMCのためにクラウドサービス（AWS、Azure、Google Cloudなど）を利用できますか？

はい、ただしクラウドサービスプロバイダー（CSP）の環境は特定の要件を満たす必要があります。CMMCレベル2を要求する契約の場合、請負業者はFedRAMP Moderate（またはHigh）の認可を受けているか、それに相当するCSPのサービスを利用できます。コントロールに関する責任は請負業者とCSPの間で共有され、慎重な文書化（例：共有責任マトリックス）が必要です。