ついに最終決定:48 CFR DFARS規則、防衛請負業者にCMMC要件を制定
サイバーセキュリティ成熟度モデル認証(CMMC)2.0は、国防総省(DoD)が防衛産業基盤(DIB)内の機密性の高い非公開情報を保護するために策定した最新のフレームワークです。本プログラムは、DoDの請負業者および下請け業者が連邦契約情報(FCI)および制御されていない分類情報(CUI)を保護するために適切なサイバーセキュリティ対策を実施することを確実にします。CMMC 2.0の主な目的は、DIBのサイバーセキュリティ態勢を強化し、機密性の高い非公開情報を窃盗やスパイ行為から守り、防衛サプライチェーン全体でサイバーセキュリティの統一基準を確立することです。
48 CFRが最終規則として公表されたことにより、防衛請負業者は機密性の高い非公開情報の保護に関する具体的な要件が強化されました。本ブログでは、これらの要件、導入スケジュール、コンプライアンスのベストプラクティスについて概要を解説します。
CMMC 2.0コンプライアンスロードマップ DoD請負業者向け
48 CFR、32 CFR、CMMC 2.0とは
48 CFR – Defense Federal Acquisition Regulation Supplement(DFARS)
連邦規則集第48編には、連邦調達規則(FAR)およびその補足規則が含まれており、防衛連邦調達規則補足(DFARS)も含まれます。最近公表された48 CFRの最終規則には、DFARS条項252.204-7021が含まれており、防衛請負業者にCMMC要件を義務付けています。この条項により、請負業者および下請け業者は、取り扱う情報の機密性に基づいて特定のサイバーセキュリティ基準を実施することが求められます。本規則は、防衛請負業者が契約受注の条件として、適切なCMMC認証レベルを取得することを要求しています。
32 CFR – 国家防衛規則
32 CFRには国家防衛に関する規則が含まれており、パート170ではCMMCプログラムが定められています。32 CFRは2024年10月に公表されました。セクション170.14では、特にCMMCモデルが明記されており、各レベルにおけるサイバーセキュリティ要件が詳細に記載されています。この規制フレームワークは、DoDが情報保護要件のコンプライアンスをどのように評価するかを説明しています。
CMMC 2.0 – サイバーセキュリティ成熟度モデル認証
CMMCは、DIB内のFCIおよびCUIの保護を強化するために設計された統一基準です。DoD CMMCモデル概要ドキュメントに記載されている通り、CMMCはFAR条項52.204-21(対象請負業者情報システムの基本的な保護)、NIST SP 800-171 Rev 2(非連邦組織およびシステムにおける制御されていない分類情報の保護)、およびNIST SP 800-172(制御されていない分類情報の保護のための強化されたセキュリティ要件)の一部要件を取り入れています。
CMMC 2.0認証が必要な対象
防衛サプライチェーンに属する企業は、CMMC認証を取得する必要があります。CMMCコンプライアンス、そして最終的なCMMC認証は、組織がCMMC 2.0フレームワークを遵守していることを示します。この認証プロセスは、国家防衛に関連する機密データを取り扱う企業が特定のサイバーセキュリティ基準を満たしていることを保証するため、極めて重要です。CMMC認証を取得することで、これらの企業は重要情報の完全性と機密性を維持する姿勢を示します。
認証プロセスでは、企業のサイバーセキュリティ対策が、取り扱うデータの複雑さや機密性に応じて異なるレベルに分類され、徹底的に評価されます。これにより、連邦契約情報や制御されていない分類情報のより安全な環境が促進されるだけでなく、国家全体のセキュリティ基盤強化にも重要な役割を果たします。そのため、CMMC認証の取得は単なるコンプライアンスの問題にとどまらず、防衛サプライチェーン内の脆弱性を悪用するサイバー脅威から国家利益を守るための広範な取り組みに貢献するものです。
CMMC 2.0のスケジュールと導入フェーズ
CMMC要件の導入は、DoD CMMC 101ブリーフで示されている段階的なアプローチに従って進められます。フェーズ1(初期導入)は48 CFR規則の発効日から開始され、該当する案件ではレベル1または2の自己評価が求められます。フェーズ2はフェーズ1開始から12か月後に始まり、該当する案件ではレベル2認証が必要となります。フェーズ3はフェーズ1開始から24か月後に始まり、該当する案件ではレベル3認証が必要となります。フェーズ4(完全導入)はフェーズ1開始から36か月後に始まり、すべての案件・契約において該当するCMMCレベル要件が契約受注の条件となります。なお、一部の調達では、DoDが計画されたフェーズより前倒しでCMMC要件を導入する場合があります。
CMMC 2.0フレームワークの主な構成要素
CMMCレベル
CMMCモデルは、3つの段階的なサイバーセキュリティ成熟度レベルで構成されています。レベル1はFCIの保護に焦点を当て、FAR 52.204-21に準拠した15のセキュリティ要件で構成され、年次の自己評価と誓約が必要です。レベル2はCUIの保護を対象とし、NIST SP 800-171 Rev 2の110のセキュリティ要件すべてを取り入れ、3年ごとのC3PAO認証評価または一部プログラムでは3年ごとの自己評価、加えて年次の誓約が求められます。レベル3はCUIの保護をさらに強化し、134の要件(NIST SP 800-171の110項目+NIST SP 800-172の24項目)で構成され、3年ごとのDIBCAC認証評価と年次の誓約が必要です。
CMMCドメイン
CMMCモデルは、NIST SP 800-171 Rev 2のセキュリティ要件ファミリーに対応した14のドメインで構成されています:アクセス制御(AC)、意識向上とトレーニング(AT)、監査とアカウンタビリティ(AU)、構成管理(CM)、識別と認証(IA)、インシデント対応(IR)、保守(MA)、メディア保護(MP)、人事セキュリティ(PS)、物理的保護(PE)、リスク評価(RA)、セキュリティ評価(CA)、システムおよび通信の保護(SC)、システムおよび情報の整合性(SI)。
CMMCスコアリング手法
CMMCには、各レベルごとに定義されたスコアリング手法があります。レベル1ではスコアは不要で、要件が「達成」または「未達成」で評価されます。レベル2では、セキュリティ要件ごとに1、3、5点が割り当てられ、-203から110の範囲で評価され、合格最低点は88点です。レベル3では、すべてのセキュリティ要件が1点で評価され、最大スコアは24点、かつレベル2で110点を取得していることが前提条件となります。
CMMC 2.0導入によるセキュリティ上のメリット
CMMCを導入することで、組織は大きなセキュリティ上のメリットを得られます。本フレームワークは、複数のサイバーセキュリティドメインにまたがる管理策を網羅し、機密情報の保護に向けた包括的なアプローチを提供します。DIB全体に適用される標準化されたセキュリティ基準を確立し、DoD情報の一律な保護レベルを実現します。CMMCは、サプライチェーンのすべての階層で認証を義務付けることで、サードパーティとの関係を通じて悪用される脆弱性の軽減に貢献します。モデルの段階的アプローチにより、取り扱う情報の機密性に応じたセキュリティ管理策を適用でき、CUIを扱わない請負業者に過剰な負担がかからないよう配慮されています。年次の誓約や定期的な評価により、単なる一時的な評価ではなく、継続的な監視とコンプライアンスが確保されます。
DoD請負業者・下請け業者の非準拠リスク
適切なCMMC認証を取得できない組織は、いくつかの重大なリスクに直面します。契約・ビジネス面では、必要なCMMCレベルを満たさない場合、CMMC要件を明記したDoD契約を受注できません。元請業者は下請け業者がCMMC要件を満たしていることを確認する必要があり、下請けが準拠できない場合は主要サプライヤーを失うリスクもあります。CMMCが完全導入されると、未認証の請負業者はDoD調達機会の大部分から排除されます。規制・法的リスクとしては、既存契約でCMMC要件に違反した場合、契約解除やその他の救済措置が発生する可能性があります。評価に失敗した場合、是正措置が必要な正式なセキュリティ指摘につながります。行動計画とマイルストーン(POA&M)を180日以内に完了できない場合、CMMCステータスが失効します。データセキュリティリスクとしては、十分なサイバーセキュリティ管理策がない組織はFCIやCUIの侵害リスクが高まり、サプライチェーン内の脆弱なセキュリティ慣行がDoD情報を狙う脅威アクターの侵入口となる恐れがあります。
CMMC導入のための要件
CMMC認証を目指す組織は、処理する情報の種類(FCIまたはCUI)に基づいて該当するCMMCレベルを特定し、FCIまたはCUIを処理・保存・送信するシステムやコンポーネントを特定し、システムセキュリティ計画(SSP)やPOA&Mなど必要な文書を作成し、レベル2または3の場合はC3PAOまたはDIBCACによる第三者評価に備える必要があります。
技術的要件
技術的な実装はCMMCレベルによって異なりますが、共通要件として、ユーザー・システム・外部接続の適切なアクセス管理、保存中および転送中データの適切な保護策の適用、システム監査・脅威検知・インシデント対応能力の確立、安全なベースライン構成の維持と変更管理、セキュリティ管理策の定期的なテストと評価が含まれます。
CMMC 2.0コンプライアンス導入・維持のベストプラクティス
CMMC 2.0コンプライアンスの導入と維持には、戦略的なアプローチと継続的な取り組みが必要です。最も重要なベストプラクティスの一つは、できるだけ早く認証プロセスを開始することです。32 CFRおよび48 CFRが公表された今、CMMCコンプライアンスへの取り組みをまだ始めていない場合は、今がその時です。CMMC要件は包括的であるため、コンプライアンス達成には時間がかかる場合があります。早期に着手することで、必要な変更の実施や発生する課題への対応に十分な時間を確保できます。
以下のベストプラクティスを取り入れることで、CMMC認証取得に必要なプロセスや手順の円滑な導入と、認証取得後のCMMCコンプライアンス維持の両方を実現できます。これは、どのCMMC成熟度レベルを目指す場合でも有効です。
1. CMMCコンプライアンスプロセスに経営層を巻き込む
経営層の関与は、CMMC導入の成功に不可欠です。トップマネジメントの賛同を得ることで、認証プロセスに必要なリソースが確保され、組織全体でサイバーセキュリティが優先事項となります。経営層の支援は、全社的なセキュリティ文化の醸成にもつながります。
2. サイバーセキュリティ態勢とCMMCコンプライアンスを継続的に評価する
定期的な自己評価は、CMMCコンプライアンス維持に不可欠です。組織は認証取得後もCMMC要件に照らして自社のサイバーセキュリティ態勢を継続的に評価すべきです。これらの評価により、改善点の特定や、進化する脅威に対するセキュリティ対策の有効性確保が可能となります。
3. 従業員へのサイバーセキュリティ教育を徹底する
堅牢なトレーニングプログラムの実施も重要なベストプラクティスです。すべての従業員が、自身の役割に関連するサイバーセキュリティのベストプラクティスやCMMC要件について教育を受ける必要があります。このトレーニングは継続的に実施し、新たな脅威やCMMCプログラムの変更に対応して定期的に更新することが求められます。
4. CMMCコンプライアンス活動を文書化する
徹底した文書化は、CMMCコンプライアンスに不可欠です。組織は、セキュリティ対策・ポリシー・手順について詳細な記録を維持すべきです。これらの文書は認証プロセスを支援するだけでなく、組織内で一貫したセキュリティ運用を維持するのにも役立ちます。
5. CMMCフレームワークの変更を常に把握する
CMMCプログラムの変更や最新情報を常に把握することは、コンプライアンス維持に不可欠です。サイバーセキュリティの状況は絶えず変化しており、CMMCプログラムも新たな脅威や要件に対応して更新される可能性があります。組織は、これらの変更を監視し、必要に応じてセキュリティ対策を調整する担当者を任命すべきです。
6. 既存のサイバーセキュリティフレームワークを活用する
既存のサイバーセキュリティフレームワークを活用することで、CMMC導入プロセスを効率化できます。多くの組織は、すでにNIST SP 800-171など他の基準への対応策を導入している場合があります。CMMCの取り組みをこれら既存フレームワークと連携させることで、重複作業を減らし、より包括的なサイバーセキュリティ対策を実現できます。
7. サイバーセキュリティ専門家を活用する
サイバーセキュリティ専門家の活用は、CMMC導入プロセス全体で有益なアドバイスをもたらします。これには、CMMCコンサルタントや認定第三者評価機関(C3PAO)と連携し、ベストプラクティスの知見を得たり、認証プロセスの複雑さを乗り越えるサポートを受けたりすることが含まれます。
8. トラフィックとシステムを監視しCMMCコンプライアンスを維持する
継続的な監視ツールやプロセスの導入は、CMMCコンプライアンス維持に不可欠です。これらのツールにより、組織はリアルタイムでセキュリティ態勢を把握し、潜在的な脆弱性を特定し、セキュリティインシデントに迅速に対応できます。
9. セキュリティ文化を醸成する
セキュリティ文化の醸成は、CMMCコンプライアンスにおける最も重要なベストプラクティスの一つです。すべての従業員が日常業務でサイバーセキュリティを優先し、セキュリティ課題についてオープンにコミュニケーションし、優れたセキュリティ実践を評価・表彰することが求められます。
CMMC 2.0が始動
サイバーセキュリティ成熟度モデル認証プログラムは、国防総省がサプライチェーン内の機密性の高い非公開情報を保護する方法に大きな変革をもたらします。48 CFRが最終規則として公表されたことで、CMMCプログラムはDFARS条項252.204-7021による明確な規制基盤を持ち、32 CFRパート170で示されたプログラム構造によって支えられています。3段階のフレームワークは、取り扱う情報の機密性に応じて要件を調整したスケーラブルなセキュリティアプローチを提供します。組織は、CMMCレベルに応じて自己評価または第三者評価を通じて適切な認証レベルを取得する必要があります。導入は4つのフェーズで進み、規則発効から36か月後に完全導入が求められます。準備のためには、ギャップアセスメントの実施、包括的なセキュリティ文書の作成、リスクベースの是正措置の実施、サプライチェーン検証プロセスの確立、継続的なコンプライアンス維持が必要です。本ガイドで紹介したベストプラクティスに従うことで、防衛請負業者はCMMC要件を効果的に乗り越え、DoD契約の資格を維持し、防衛産業基盤のセキュリティ態勢強化に貢献できます。
追加リソース