CMMCのFedRAMP相当性要件への対応

CMMCコンプライアンスの観点では、DFARS 7012の特に(D)項が、請負業者がカバード防衛情報（CDI）を外部のクラウドサービスプロバイダー（CSP）に取り扱わせる場合、CSPがFedRAMP中程度のベースラインと同等のセキュリティ要件を満たし、条項(c)から(g)に記載された特定のセキュリティ対策に準拠することを求めています。つまり、請負業者はCSPがCDIを取り扱う際にこれらのセキュリティ基準を満たしていることを確認する責任があります。CMMC 2.0はDFARS 7012の全要件を包含し、さらに成熟度レベルや正式な第三者評価プロセスを追加して拡張されています。そのため、請負業者はDFARS 7012と自社のCMMC成熟度レベルに応じた要件の両方を遵守する必要があり、CMMC 2.0は実質的にDFARS 7012の枠組みを包含・拡張したものとなっています。

「同等」とは何を意味するのかを明確に理解する必要があります。幸いにも、DoDは最近FedRAMP Equivalency Memo（FedRAMP同等性メモ）を発表し、「同等」とみなされるためのガイダンスと明確化を提供しています。このメモによると、FedRAMP中程度と同等と見なされるためには、CSOがFedRAMP認定第三者評価機関による評価を通じて最新のFedRAMP中程度セキュリティ管理基準に100%準拠し、システムセキュリティ計画、セキュリティ評価計画、3PAOによるセキュリティ評価報告書、行動計画とマイルストーン（POA&M）などの証拠を請負業者に提供し、さらにDFARS 252.204-7012のサイバーインシデント報告、悪意のあるソフトウェア、メディアの保存・保護、フォレンジック分析に必要な追加情報や機器へのアクセス、サイバーインシデント損害評価などの要件に準拠する必要があります。

CMMCにおけるFedRAMP同等要件の達成

この明確化を踏まえ、CSPプロバイダーに必ず確認すべき3つの質問があります：

1. FedRAMP認定第三者評価機関による評価を受けていますか？ これができていなければ、実際には同等とは見なされません。
2. この評価の証拠一式（システムセキュリティ計画、セキュリティ評価計画、3PAOによるセキュリティ評価報告書、行動計画とマイルストーンなど）を提供できますか？ これができていなければ、実際には同等とは見なされません。
3. DFARS 252.204-7012のサイバーインシデント報告、悪意のあるソフトウェア、メディアの保存・保護、フォレンジック分析に必要な追加情報や機器へのアクセス、サイバーインシデント損害評価の要件にどのように準拠しているか示せますか？ これができていなければ、実際には同等とは見なされません。

機密性の高い政府データを取り扱い、厳格な防衛サイバーセキュリティ規制へのコンプライアンス維持に取り組む請負業者にとって、適切なセキュリティ機能の検証は困難な作業となることがあります。しかし、FedRAMP中程度認証取得済みなど、すでに厳格な認証を取得しているパートナーを活用することで、組織は独自の広範なコントロール評価を行うことなく、効率的にセキュリティ体制を検証できます。FedRAMP、FIPS、SOC 2などのコンプライアンス認証実績を持つKiteworksは、請負業者がDFARS 7012やCMMC 2.0などの基準への適合性を迅速に証明できるよう支援し、調達のスピードアップや「同等」とされる非準拠パートナーによるリスク回避を実現します。継続的な独立テストと監査によって担保された豊富な機能により、Kiteworksのソリューションは、請負業者がDoD要件を自信を持って満たし、成熟した実績あるプラットフォームを活用してデータ保護を強化できるようにします。