CMMC 2.0 レベル2監査に向けての期待事項
CMMCコンプライアンスには、厳格なCMMCコンプライアンス監査を受けて合格することが含まれます。このウェビナーでは、CMMCコンプライアンスの専門家が、CMMC監査を成功裏に完了するためのベストプラクティスを提供します。推奨事項には、認定第三者評価機関(C3PAO)をどこで見つけ、どのように効果的に審査するか、行動計画とマイルストーン(POA&M)をどのように開発し使用するか、そして防衛請負業者がCMMCコンプライアンスを達成するための多くの戦略が含まれています。
防衛請負業者におけるCMMCコンプライアンスの課題
CMMCコンプライアンスは、防衛請負業者に対して、制御されていない分類情報(CUI)や連邦契約情報(FCI)のような機密情報のセキュリティと適切な取り扱いを確保することを要求します。以下は、防衛産業基盤(DIB)の請負業者がCMMCコンプライアンスの文脈で機密コンテンツを交換する際に直面する最大の課題のいくつかです。
セキュアなメール 通信
メールは一般的な通信手段ですが、傍受や不正アクセスのリスクがあります。このリスクを軽減し、CMMCコンプライアンスを遵守するために、DIB請負業者は、暗号化やデジタル署名などのセキュアなメールプロトコルを実装し、メールで送信される機密情報の保護と整合性の確認を行う必要があります。さらに、FedRAMP中程度の認可を受けたメールソリューションを使用することを検討すべきです。これにより、サービスプロバイダーが米国政府の厳格なセキュリティ要件を満たしていることが保証されます。
CUIの識別 とラベリング
制御されていない分類情報(CUI)は、保護が必要な広範な機密情報を含んでおり、CMMCコンプライアンスの要件です。防衛請負業者は、デジタルおよび物理的な文書、メール、デジタル資産を含むさまざまな形式でCUIを正しく識別し、ラベル付けするプロセスを開発し、実施する必要があります。CUIを適切に識別しラベル付けすることで、機密情報が適切なレベルの保護を受け、許可された個人のみと共有されることを保証し、CMMCコンプライアンスを促進します。
セキュアなファイル共有 とコラボレーション
DIB請負業者は、DoDの同僚と日常的にCUIやFCIについて協力しています。CMMCコンプライアンスは、これらのコラボレーションがセキュアであることを要求します。したがって、DIB請負業者は、エンドツーエンドの暗号化、アクセス制御、監査機能を提供するセキュアなファイル共有ソリューションを使用する必要があります。ファイル共有プラットフォームを選択する際には、FedRAMP中程度の影響レベル情報またはそれ以上の認可を受けたソリューションを選ぶべきです。これにより、保護措置が最高レベルのセキュリティとコンプライアンス基準に準拠していることが保証されます。
大容量または一括ファイルのマネージドファイル転送
CMMCコンプライアンスは、DIB請負業者とDoDクライアント間でCUIおよびFCIを含む大容量または一括ファイルのセキュアな転送を義務付けています。セキュアなマネージドファイル転送ソリューションには、転送中および保存中のデータの暗号化、アクセス制御、詳細な権限設定、詳細な監査ログなどの機能が含まれているべきです。理想的には、マネージドファイル転送ソリューションは、FedRAMP中程度の影響レベル情報の認可を受けているべきで、最高レベルのセキュリティとコンプライアンスを満たしていることを保証します。
効率的にコンプライアンスを実証
メール、SFTP、ファイル共有プラットフォームなどのほとんどの通信ツールはサイロ化されており、別々の監査ログを生成します。これらのログをCMMCコンプライアンス監査の一環として集約し、調整することは、事実上不可能でないにしても、非常に困難で時間のかかる作業です。対照的に、組織に出入りするCUIおよびFCIを含むすべてのファイルを追跡する統合された包括的な監査ログは、貴重な時間とコストを節約することができます。
KiteworksでCMMC 2.0コンプライアンスの旅を加速
機密DoD通信を管理、保護、追跡
CUIおよびFCIを送信、共有、受信、または保存する際にCMMCコンプライアンスを実証します。詳細なアクセス制御、多要素認証、エンドツーエンド暗号化、およびセキュアリンクにより、この機密コンテンツへのアクセスが許可されたユーザーのみに制限されます。セキュアメール、セキュアファイル共有、セキュアマネージドファイル転送、セキュアウェブフォーム、およびAPIを1つのプラットフォームに統合し、メタデータを統一し、セキュリティポリシーと制御を標準化します。最後に、ATP、DLP、CDR、LDAP/AD、SIEMなどのセキュリティ投資のための単一の統合ポイントにより、防衛請負業者および下請け業者は、CMMCコンプライアンスのために機密コンテンツを保護します。
FedRAMP展開でCMMCコンプライアンスを迅速化
クラウドプラットフォームがCMMCコンプライアンスに不可欠な325のNIST 800-53セキュリティ制御を満たしていることを証明する時間とコストを避け、米国連邦政府がすでに承認したKiteworksのFedRAMP Moderate Authorizedプライベートコンテンツネットワークを採用します。「FedRAMP相当」と主張するベンダーとは異なり、Kiteworksは定期的なペンテストと従業員スクリーニングを受け、強力な暗号化、物理的セキュリティ、インシデント対応計画などでバックアップされています。FedRAMP Moderate Authorizationは、防衛請負業者にセキュリティ制御の確かな証拠を提供し、重要なCMMC要件を満たし、CMMCコンプライアンスを加速します。
包括的なアクセス制御でCUIを保護
Kiteworksプラットフォームが統合するすべての通信チャネルを通じて流れるCUIを保護するために、単一のユーザーロールとポリシーを中央で管理します。フォルダー、メール、SFTP、マネージドファイル転送フロー、ウェブフォーム、およびクライアント、機能、リポジトリ、ドメインに対するデフォルトの最小権限アクセス制御で、意図しないまたは悪意のあるCUIの露出リスクを軽減します。Kiteworksを使用すると、管理者は外部ユーザーに対して詳細なポリシー制御とロールベースの権限を適用し、CUIを不正アクセスから保護します。これはCMMCコンプライアンスの重要な要件です。
シームレスなエンドツーエンドメール暗号化でCUIを保護
強力な暗号化アルゴリズムで、DoDのステークホルダーとメールで共有するCUIを保護します。メール暗号化にセキュリティポリシーを適用し、各メールを暗号化するかどうかの判断を自動化します。自動化された鍵交換により、ユーザーの利便性が確保され、従業員はプラグインやトレーニングなしで通常のメールクライアントを使用して作業できます。エンドツーエンド暗号化により、メールの内容と添付ファイルは送信クライアントから受信クライアントまで暗号化され、プライベート復号鍵は受信クライアントに保持されるため、サーバー側のベンダーや攻撃者は復号できません。最後に、DLPをアウトバウンドトラフィックに適用し、アンチマルウェアとアンチフィッシングをインバウンドトラフィックに適用します。C3PAOの前で素晴らしい印象を与え、CMMCコンプライアンスに向けてさらに一歩進みます。
すべてのファイル活動を追跡し、CMMCコンプライアンス監査を簡素化
誰が、いつ、どのようにCUIまたはFCIを送信したかを確認し、組織に出入りする機密コンテンツを追跡し、疑わしい活動を検出し、異常に対処します。すべてのユーザー、自動化、および管理者の活動を含む、コンテンツ、権限、構成に関するすべてのアクションの包括的で不変の監査ログでCMMCコンプライアンス監査を加速します。組み込みツールを使用してイベントを分析、アラート、報告するか、syslogまたはSplunk Forwarderを介してSIEMに転送して、より深い分析を行います。
厳密に管理された構成で最大限のセキュリティを維持
CMMCコンプライアンスに必要な最小限の機能の原則に従い、必要最小限のポートのみを公開し、すべての不要なサービスを無効にします。強化された仮想アプライアンスで保護されているため、Kiteworksはユーザーや管理者がオペレーティングシステムにアクセスしたり、ソフトウェアをインストールしたりすることを防ぎ、職務の厳格な分離を強制し、すべての構成変更をログに記録します。そして、CMMCコンプライアンス監査の準備をする際には、構成と文書化された制御を検証するために必要な報告を提供します。
データ管理を妥協せずに生産性を向上
元のソースドキュメントの管理を放棄することなく、機密ファイルでの安全な外部コラボレーションを可能にすることで、CUIを保護し、CMMCコンプライアンスを実証します。Kiteworks SafeEDIT次世代DRMを使用すると、CUIおよびFCIは環境内に安全に保管されます。ファイルの編集可能なビデオレンダリングをストリーミングすることで、所有権を移転することなく、CUIはセキュリティ境界を離れることがなく、最高レベルのセキュリティ、制御、追跡を提供します。ストリーミングされたファイルレンダリングの編集とコラボレーションのためのネイティブアプリケーション体験で、厳格なデータ保護を維持しながらシームレスなリモートワークフローを楽しむことができます。
CMMCコンプライアンスに関するFAQ
CMMCは、国防総省(DoD)の関係者と共有されるすべてのControlled Unclassified Information(CUI)およびFederal Contract Information(FCI)に対してエンドツーエンド暗号化を要求しています。防衛請負業者は、転送中および保存中のデータに対してFIPS 140-2認証済みの暗号化と安全な鍵管理プロトコルを使用しなければなりません。Kiteworksのプライベートデータネットワークは、CMMC 2.0コンプライアンスをサポートし、優れた暗号化を提供します。FIPS 140-3 レベル1認証、さらに強力な暗号アルゴリズムによる自動化されたエンドツーエンド暗号化、標準的なメールクライアントでプラグインやトレーニング不要で利用できるシームレスな鍵交換を実現しています。
CMMCは、防衛請負業者に対し、デジタル文書、メール、ファイル転送などあらゆる通信チャネルでCUIを正確に識別・ラベル付けするプロセスの策定を義務付けています。請負業者は、すべての通信プラットフォームで一貫したラベリングシステムと自動検出機能を導入する必要があります。Kiteworksのプライベートデータネットワークは、Kiteworksセキュアメール、Kiteworksセキュアなファイル共有、セキュアMFT、Kiteworksセキュアなウェブフォームを1つのプラットフォームに統合し、統一されたメタデータと標準化されたセキュリティポリシーにより、コンテンツ分類に基づき自動的に適切なCUI保護を適用し、CMMC 2.0コンプライアンスを実現します。
CMMCは、すべてのCUIおよびFCIの活動、アクセス試行、ファイル転送、権限変更、ユーザー操作を追跡する包括的かつ改ざん不可能な監査ログを要求しています。防衛請負業者は、すべての通信チャネルにわたり詳細な記録を保持し、評価時にコンプライアンスを証明する必要があります。Kiteworksは、すべての機密データの入出力を単一のプラットフォーム、プライベートデータネットワークで追跡する統合型監査ログを提供し、C3PAOによるCMMC監査時にサイロ化したツールごとのログを突き合わせる手間を解消し、CMMC 2.0コンプライアンスの迅速化を実現します。
CMMCは、最小権限の原則に基づくロールベースアクセス制御(RBAC)システム、定期的な権限レビュー、役割変更時の迅速なアクセス権剥奪を義務付けています。防衛請負業者は、DoDとの連携において厳格なセキュリティ管理と業務効率の両立が求められます。Kiteworksのプライベートデータネットワークは、CMMC 2.0コンプライアンスをサポートし、中央集約型のユーザーロールときめ細かなポリシー制御によるセキュアなコラボレーションを実現。さらに、ファイル所有権を移動させずにCUIの所有権を持たない編集を可能にするSafeEDIT次世代DRMにより、セキュリティ境界を維持しつつ生産性も確保します。
CMMCは、転送中および保存中の暗号化、きめ細かなアクセス制御、詳細な監査ログを備えたセキュアなマネージドファイル転送ソリューションによる大容量CUIおよびFCIファイルの管理を要求しています。防衛請負業者には、大量転送にも対応し、セキュリティを損なわないFedRAMP Moderate認証済みプラットフォームが必要です。Kiteworksのプライベートデータネットワークは、エンドツーエンド暗号化、ロールベース権限、包括的な監査証跡を備えたセキュアなマネージドファイル転送を提供し、FedRAMP High認証およびFedRAMP Moderate認証環境の両方に対応。FedRAMPコンプライアンスを証明し、大容量ファイル交換におけるCMMC 2.0コンプライアンス要件を満たします。