米国国防総省は、連邦政府の防衛産業基盤(DIB)全体のサイバーセキュリティの備えを正常化し標準化するために、サイバーセキュリティ成熟度モデル認証(CMMC)を導入しています。 この記事では、サイバーセキュリティの文脈における成熟度モデルの概念、DIBの主要な描写、CMMCレベルの構造、およびVaronisが認証を迅速に取得する方法について説明します。
成熟度モデルとは何か
成熟度モデルはベスト プラクティスの集合体であり、その順守度合いによって、組織は採用または「成熟」の低レベルから適性や認証の高レベルへと段階的に進歩します。
Fast Track CMMC with this Free Guide
What is the Cybersecurity Maturity Model Certification?
Cybersecurity Maturity Model Certification は、米国国防総省 (DoD) が、防衛請負業者のサイバーセキュリティ分野における能力、準備、および洗練度を測定するために開始したプログラムです。 ハイレベルでは、このフレームワークは、プロセス、他のフレームワーク、および NIST、FAR、DFARS などの既存のサイバーセキュリティ標準からのインプットを集めたものです。
戦術レベルでは、この認証の主要目標は、連邦政府契約者が所有および使用する管理下非分類情報(CUI)と連邦契約情報(FCI)の確実性とセキュリティを改善することです。 CMMCプログラムは2020年1月31日に発表されました。
When Does It Take Effect?
2020年9月の時点で、DoDはCMMC仕様を含む限定数の情報要求の発行を開始し、2026年からCMMCがすべての新しいDoD提案要求の要件になるものと予想されています。
CMMC は誰に適用されるのか
この認証は、DoD と直接契約する「元請け」と、元請けと契約してその契約の履行と実行を提供する下請けの両方に適用されるものである。 2026 年以降、すべての契約で何らかのレベルの認証が必要となりますが、DoD は、成熟度モデルのすべてのレベルで契約機会を発行する意向を示しており、低レベルの認証しか必要としない要求もあれば、より高いレベルの認証が必要となる要求も発行されることになります。
Why Does CMMC Matter? 年間 6,000 億ドルのサイバー犯罪の影響、年間 4,020 億ドルの DoD 契約額、DIB の 30 万社、中小企業への 54% の予算配分
サイバー犯罪は、世界の GDP から年間 6000 億ドル以上流出すると推定されています。 請負業者の膨大なネットワークに頼って任務を遂行するということは、国防総省が、DIB の全体的なリスク プロファイルを体系的に増加させる重要なデータを、それぞれの業者に託していることを意味します。 そのため、国防総省は、サイバー犯罪が下請け業者に与える負担とリスクの割合の大きさを理解しています。 CMMC の主なポイント
- DoD のプライム コントラクタおよびサブコントラクタに適用
- 2020 年に始まる一部の新規契約に適用され、2026 年に始まるすべての契約に適用
- The progressive model covers advanced levels of cybersecurity processes and practices resulting in a certification level
- Contractors must be activated at level 1 and each level of certification
The CMMC Framework and 5 Levels
The Cybersecurity Maturity Model Certification is based on the ascending level of preparedness from level 1 (lowest) to level 5 (advanced).
CMMC の最終目標は、2 種類の情報を開示または不正使用から確実に保護することです。
- Controlled Unclassified Information(CUI)。
- 連邦契約情報(FCI):適用される法律、規制、および政府全体の方針に従って、保護または配布の管理を必要とするが、大統領令13526または改正後の原子力法の下では分類されていない情報。
CMMC Certification Levels (Summary)
各レベルには、一連のプロセスおよびプラクティスと、そのレベルの該当するドメインに関連するそれぞれの修飾語または「目標」が用意されています。 例えば、下の画像に見られるように、CMMCレベル2を達成することは、組織の目標が、文書化されたプロセスと中級のサイバー衛生と一致するプラクティスを持つことであることを意味します。
Framework Components
CMMCの構成要素は次のとおりです。
- Domains
- Processes
- Capabilities
- Practices
契約者がこれらのコンポーネントそれぞれにおいて評価を進めていくと、あるレベルへの総合認証が達成されることになる。
連邦政府のプライムコントラクターおよびサブコントラクターは、モデルの各レベルで該当する「ドメイン」に関連する「プロセス」および「プラクティス」への準拠を評価されます。
注:すべての「ドメイン」が5レベルすべてにわたるわけではありません。
Understanding CMMC Levels & Domains
以下のチャートでは、上から下に向かって、17のドメインのリストが表示されます。 左から右へ見ると、各ドメインのプラクティス数と、レベル別のそのドメインのプラクティス数が示されている(棒グラフは色で区分されている)
グラフを下に移動すると、たとえば、すべてのドメインがレベル1(L1)に存在するわけではないことが分かる。
L1 に該当する 6 つのドメインに含まれる 17 の L1 実践を提供するプライムまたはサブプライムの政府契約者は、Cybersecurity Maturity Model Certification レベル 1 を受けるべきです。
上記のレベルの要約を参照すると、CMMC レベル 1 の契約者は基本的なサイバー衛生を実践し、プロセスは単に実行されているだけであることがわかります。
モデルを通じてさらに進むと、請負業者は、L3 に適用される 16 のドメインに含まれる 130 の L3 プラクティスを提供し、これらのドメインのそれぞれで ML3 のプロセス評価を獲得すると、CMMC レベル 3 を達成することになります。
Recap of the Framework
CMMCには相互に関連し、動く部分が多いため、上記の画像に見られるように、主要指標をまとめ、それらの関係を可視化するとよいでしょう。 17
プロセスは、認証レベルに対応した成熟度レベルで評価されます。 ドメインは、プラクティス(Capabilitiesで構成)で構成され、その中で行われるプロセスを包含しています。
How to Get CMMC Certified
DoD は CMMC Accreditation Body (AB) を設立し、非営利の独立組織として、個々のアセッサに加えて、第三者評価機関 (3PAO) を認定しています。 認証の仕組みについての詳細はこれからですが、DoD は、認証を求める請負業者が評価および雇用する 3PAO のための市場を確立する予定です。
Fast-Track CMMC with Varonis
CMMCを始めることは大変な作業のように思えるかもしれませんが、現実には、認証は単に1人、あるいは組織内の1チームで処理するにはあまりにも大きなプログラムです。 それでも、認証は今後、国防総省の請負業者にとって譲れない要件となるでしょうが、Varonis は連邦政府の請負業者がすぐにでも開始できるよう支援することができます。 これらは、組織が認証レベルを達成し、向上させるために実行し、継続的に最適化しなければならないタスクや管理を行う「センター オブ エクセレンス」であることを思い出してください。
Varonis Data Security Platformは、CMMCの要件である171のプラクティスとその関連プロセスの多くを促進、実行、自動化することができます。
Data Classification Engine + Policy Pack, Data Classification Labels, Data Transport Engine & Automation Engine
CUI および FCI プロセスに機械学習のパワーを導入し、オンプレおよびクラウド内のデータ ストアを迅速に検索して完全にクリーンアップすることが可能です。 Varonis は、60 以上のファイル タイプに対応した分類モデルを内蔵した強力な製品セットを提供しており、連邦政府の請負業者がビジネスの継続性と重要なデータへのアクセスを確保しながら CMMC をレベルアップして維持できるように支援します。
Varonis Product Mapping to CMMC Domains
Product Map key:
|
|
|
。
| ドメイン | 機能 | バロニス製品 | |
| AC – アクセス制御 |
|
DatAdvantage
DataPrivilege |
|
| AM – (英語) | DatAdvantage
DataPrivilegeは、システムアクセス要件を定義しているため、システムアクセスを制限することができます。 資産管理 |
|
Data Classification Engine + Policy Pack |
| AU – 監査 & Accountability |
|
DatAdvantage
Data Transport Engine |
|
| AT – Awareness & Training |
を行う |
専門サービス | |
| CM – 構成管理 |
|
DatAdvantage
DatAlert + Edge DataPrivilege Automation Engine |
|
| IA – Identification & Authentication |
|
DatAdvantage
DataPrivilege |
|
| IR – インシデント対応 |
|
DatAdvantage
DatAlert + Edge Incident Response Team |
|
| MA – メンテナンス |
|
DatAlert + Edge | |
| MP – メディア保護 |
Protect media during transport |
||
| PS – Personnel Security |
Screen personnel |
DatAdvantage
DataPrivilege |
|
| PE – 物理的特性 保護 |
|
||
| RE – 回復 |
情報セキュリティの継続性の管理 |
DatAlert + Edge
Data Transport Engine |
|
| RM – リスク管理 |
サプライチェーンの管理 リスク |
DatAdvantage
DatAlert + Edge Automation Engine |
|
| CA – セキュリティ評価 |
を遂行する。 |
DatAdvantage
DatAlert + Edge Professional Services |
|
| SA – Situational Awareness |
|
DatAlert + Edge | |
| SC – System & 通信保護 |
|
DatAdvantage
DatAlert + Edge |
|
| SI – システム & Information Integrity |
|
DatAdvantage
DatAlert + Edge |
を実行する。