Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る

CMMC 2.0 レベル2評価チェックリスト

CMMC 2.0 レベル2評価の準備には、綿密な計画と実行が必要です。準備段階として、防衛産業基盤(DIB)の防衛請負業者は、現在のサイバーセキュリティ体制をCMMC要件と照らし合わせて包括的な準備評価を実施する必要があります。以下の推奨事項は、IT、リスク、コンプライアンス担当者に対し、C3PAO評価への準備状況を把握し、最終的にCMMC 2.0 レベル2のコンプライアンスを確保するための指針となります。

1. 情報の棚卸しと分類

どの情報が制御される未分類情報(CUI)に該当するかを特定します。特定後は、その情報を機密性、重要性、または規制要件に基づいて明確なグループや分類に分けます。組織内のCUIの種類や所在を把握することで、アクセス制御暗号化規格、データ損失防止技術、従業員向けトレーニングプログラムなど、最適なセキュリティ対策の策定と実施が可能となります。

2. ギャップ分析の実施

既存のサイバーセキュリティ対策を評価し、非連邦システムにおける制御される未分類情報の保護ガイドラインを提供するNIST SP 800-171の基準と比較します。現在のセキュリティポリシー、手順、管理策がNIST SP 800-171の具体的要件とどの程度整合しているかを確認します。アクセス制御、インシデント対応、構成管理、リスク評価などの側面を検討します。

セキュリティ管理策の不一致、実装上のギャップ、コンプライアンスが不十分な領域を特定します。目的は、サイバーセキュリティ対策を強化し、NIST SP 800-171への準拠を確実にするための詳細なロードマップを作成することです。

3. 必要なセキュリティ管理策の実施

潜在的な脅威の特定、迅速なセキュリティ侵害対応、最小限の影響での復旧を支援する堅牢なインシデント対応計画を策定します。加えて、機密性の高いシステムやデータへのアクセスを許可された担当者のみに限定するアクセス制御策を導入します。多要素認証(MFA)、ロールベースアクセス制御(RBAC)、ユーザーアクセス権の定期監査を活用してください。さらに、侵入検知システム(IDPS)の導入、不審な活動に対する自動アラートの設定、詳細なログの維持・分析・報告を行います。

4. ポリシーと手順の策定

組織の運用やコンプライアンス義務に関連するセキュリティ管理策、リスク管理、データ保護戦略をCMMC レベル2要件と密接に連携させた体系的なフレームワークを作成します。これらのポリシーには、アクセス制御、インシデント対応、データ暗号化、従業員向けセキュリティトレーニングなど、幅広い領域を網羅する必要があります。これらのポリシーは、明確なガイドラインと手順を詳細に文書化し、一貫した実施とトレーニングの参考資料として機能することが不可欠です。効果的なコミュニケーションによって、これらの実践を組織文化に根付かせることが重要です。

5. 従業員トレーニングと意識向上への投資

従業員を対象に、サイバーセキュリティのベストプラクティスに焦点を当てた定期的なトレーニングや意識向上プログラムを実施します。全員がCUIの保護に重要な役割を担っていることを強調してください。トレーニングプログラムでは、フィッシングの見分け方、強力なパスワードの作成、ソフトウェアの更新やパッチの重要性など、さまざまな重要トピックを網羅します。さらに、従業員が質問やシナリオについて議論できる場を設け、組織全体でセキュリティ意識を高める文化を築きます。

6. 内部監査とモニタリングの実施

既存のセキュリティ対策や手順が意図通りに機能し、最新のセキュリティ基準に準拠しているかを体系的に見直し・評価します。改善の余地がある領域(例:古いソフトウェア、設定ミスのあるシステム、セキュリティポリシーのギャップなど)を特定します。自動化ツールや技術を活用し、ネットワーク活動、システム運用、ユーザー行動を継続的に監視・分析し、異常や不審な活動を検知します。これにより、脆弱性や侵害の兆候を迅速に把握し、被害の露出期間を最小限に抑え、迅速な対応が可能となります。

7. 早期にC3PAOと連携

早期の連携により、防衛請負業者はC3PAOの専門知識を活用し、改善が必要な領域やベストプラクティスに関する重要なフィードバックを得ることができます。また、評価時に求められる具体的な基準や要件を包括的に理解できるため、何を期待すべきかを把握できます。得られた知見は、自社のプロセスや文書をコンプライアンス基準に合わせるのに役立ち、最終的に正式な評価プロセスを円滑かつ効率的に進めることができます。

8. サイバーセキュリティ対策の継続的な更新と改善

技術的な管理策の更新、ポリシーやトレーニングプログラム、インシデント対応戦略の見直しを行い、新たな脅威に効果的に対応します。脅威インテリジェンスプラットフォーム(TIPs)や業界のベストプラクティスを活用し、潜在的なリスクを先取りします。サイバーセキュリティの専門家と連携し、最新のフレームワークを参照することで、新たな脅威や最適な防御策に関する有益な知見を得てください。

CMMC レベル2評価についてさらに詳しく知る

CMMC レベル2評価やCMMCコンプライアンスの準備についてさらに詳しく知りたい方は、CMMC レベル2評価ガイド:DIBのIT・リスク・コンプライアンス担当者向け包括的概要をご覧ください。

また、KiteworksによるCMMCコンプライアンスについて詳しく知りたい方は、CUIとFCIを完全に保護してCMMCコンプライアンスを達成もぜひご覧ください。

 

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約
Share
Tweet
Share
Explore Kiteworks