CMMC 2.0:防衛産業基盤の中小規模製造業者向けの必須ガイド

防衛産業基地 (DIB) の中小企業製造業者 (SMM) にとって、サイバーセキュリティ成熟度モデル認証 (CMMC) は将来の要件ではなくなり、現在では標準となっています。

12 月、米国国防総省はCMMC 2.0を完成させました。 、それを国防総省の契約に正式に埋め込みます。防衛関連の仕事を供給、下請けしている場合、または遂行する予定がある場合、これはあなたに影響を与えます。

DIB に加盟する約 30 万社のうち、かなりの企業がレベル 2 認証を取得する必要があります。 管理対象外情報 (CUI) の取り扱いを継続するため。

これが緊急の理由です:

• 実装には6 か月から 3 年かかる場合があります
• 費用の範囲は 20,000 ドルから 200,000 ドルとなります。 、複雑さに応じて
• IT プロバイダーが必要なサイバーセキュリティの専門知識を持っていない可能性があります
• 認定第三者評価機関 (C3PAO) はまだ出現しており、エコシステムは非常に新しいものです

CMMC は単なる IT アップグレードではありません。これは運営上および文化的な変化です。

良いニュースは？一人でナビゲートする必要はありません。 IMEC は、この複雑なプロセスを通じてメーカーをガイドする立場にあります。

CMMC フレームワークを理解する

CMMC 2.0 は、サプライ チェーン全体で機密の防衛情報を保護するための、国防総省のフレームワークです。

理解すべき重要な用語は管理対象外情報 (CUI) です。 、保護が必要だが機密扱いではない政府の機密データ。

CMMC 2.0 は 3 つのレベルで構成されます。

• レベル 1 – 基礎: 基本的なサイバーセキュリティ衛生
• レベル 2 – 上級: NIST SP 800-171 との整合性 (CUI を扱うメーカーにとって最も一般的な要件)
• レベル 3 – エキスパート: 優先度の高いプログラムに対する高度な保護

DIB をサポートするほとんどの SMM はレベル 2 を満たす必要があります。 .

必要なレベルはどのようにしてわかりますか?

まずは契約と顧客とのコミュニケーションを確認することから始めましょう。以下に CMMC 言語が含まれていますか?

• プライム契約?
• 顧客からのフローダウン要件は何ですか?
• NIST 800-171 または CMMC レベル 2 を参照する提案をリクエストしますか?

そうであれば、今すぐ準備を始めなければなりません。

また、CMMC 関連の作業を残りの業務から分割できるかどうかを検討することもできます。場合によっては、CUI ワークフローを他のビジネス システムから分離することで、範囲とコストを削減できることがあります。

公式認定の最新情報と認定評価者については、CMMC の認定認定機関である The Cyber AB にアクセスしてください。

必要なリソースを決定する

CMMC に関する最大の誤解の 1 つは、CMMC が「IT プロジェクト」であるということです。

そうではありません。

CMMC は、以下に関わる組織的な取り組みです。

• 経営陣のリーダーシップ
• 人事
• 操作
• エンジニアリング
• 購入
• 販売
• IT

最終的な責任はトップマネジメントにありますが、実装を成功させるには部門を超えた関与が必要です。

内部の専門知識と外部の専門知識

ほとんどの小規模メーカーには社内にサイバーセキュリティの専門家がいません。多くの企業がマネージド サービス プロバイダー (MSP) と連携していますが、以下を理解することが重要です。

IT サポートとサイバーセキュリティは相乗効果を発揮しますが、同じではありません。

以下が必要になる場合があります。

• マネージド セキュリティ サービス プロバイダー (MSSP)
• CMMC コンサルタント
• 登録医師（RP）
• サイバーセキュリティ専門家（SME）

追加のコストに関する考慮事項は次のとおりです。

• サイバー保険の最新情報
• システムのアップグレード
• セキュリティ ソフトウェアと監視ツール
• 従業員トレーニング
• ドキュメントの開発

そしておそらく最も重要なことは、時間です。リーダーは、持続的な進歩を遂げるために十分な時間とリソースを割り当てなければなりません。

ギャップ分析を実施し、SPRS スコアを文書化する

コントロールを実装する前に、現在の立場を理解する必要があります。

ギャップ分析では、既存のサイバーセキュリティ体制を、ターゲットの CMMC レベル (通常はNIST SP 800-171) に必要な管理と比較します。 レベル 2 の場合。

多くの組織は、その備えを過大評価しています。構造化された自己評価により、見落とされていた脆弱性が明らかになることがよくあります。

主な手順は次のとおりです。

• 現在のポリシー、プロセス、技術的管理を評価する
• NIST 800-171 に対するコンプライアンスのスコアを取得する
• サプライヤー パフォーマンス リスク システム (SPRS) にスコアを入力します
• ドキュメントと技術的な安全対策の不備を特定する

社内の専門知識が限られている場合は、外部 SME がより客観的で正確なベースライン評価を提供できます。

SPRS スコアは国防総省に公開されるため、正確性が重要です。

計画、実装、監視、認証

ギャップが特定されたら、実際の作業が始まります。

実装は、明確な所有権とタイムラインを備えた構造化された行動計画に従う必要があります。

コントロールの実装を優先する

まず、次のような影響の大きい領域に焦点を当てます。

• 身体的保護: 施設を保護し、CUI への物理的アクセスを制限する
• 多要素認証 (MFA)
• 機密データの暗号化
• エンドポイントの検出と保護
• アクセス制御管理

CUI フローを特定してマッピングする

CUI がシステムにどのように入り、システム内を移動し、システムから出るかを文書化します。

可能であれば、CUI 関連のワークフローをより広範な企業システムから分離して、範囲と複雑さを最小限に抑えます。

コア ドキュメントの作成

次の 2 つの重要な文書が含まれます。

• システム セキュリティ プラン (SSP): セキュリティ管理がどのように実装および管理されるかについて詳しく説明します
• 行動計画とマイルストーン (POA&M): コンプライアンスのギャップを特定し、責任を割り当て、改善のスケジュールの概要を示す

次のことも行う必要があります。

• 必要なサイバーセキュリティ ポリシーを確立して公開する
• 組織全体でサイバーセキュリティ意識向上トレーニングを実施する
• CUI を扱う従業員に追加のトレーニングを提供する
• コンプライアンスと新たなリスクについてシステムを継続的に監視する

認定資格:C3PAO に参加する

レベル 2 認定の場合、多くの企業は認定第三者評価機関 (C3PAO) による評価を必要とします。 .

C3PAO はサイバーセキュリティ エコシステムの新興セグメントであり、CMMC がいかに新しいものであるかを改めて思い出させます。評価者の対応が制限される可能性があるため、早期の計画が重要です。

これが今重要である理由

CMMC は理論上の要件ではありません。それは今日の契約言語に組み込まれつつあります。

契約で証明書の証明が必要になるまで待っていると、会社が混乱したり、資格を失ったりする可能性があります。

防衛サプライチェーンへのサービス提供に取り組んでいるメーカーにとって、CMMC への準拠は任意ではありません。それは入場料です。

IMEC がどのように役立つか

IMEC は、防衛産業基地内の製造業務とサイバーセキュリティへの期待の両方を理解しています。

私たちはメーカーを支援します。

• 契約要件を解釈する
• ギャップ評価を実施する
• 現実的な実装ロードマップを作成する
• 資格のあるサイバーセキュリティ リソースとつながる
• C3PAO 評価の準備をする

CMMC は圧倒されるように感じるかもしれません。適切なガイダンスがあれば、管理が容易になり、戦略的に有益になります。

サイバーセキュリティはもはやコンプライアンスだけを重視するものではありません。それは、防衛市場におけるビジネス、顧客、そして未来を守ることです。

CMMC の準備に向けて最初の一歩を踏み出しましょう

CMMC の実装には時間がかかり、契約に反映されるまで待機すると、防御作業が危険にさらされる可能性があります。

自分のビジネスにどのレベルが適用されるか、CUI を扱うかどうか、または実際にどの程度の準備ができているかがわからない場合は、今すぐ確認してください。

IMEC は、現在の状態を評価し、要件を明確にし、認定に向けた実用的なロードマップを構築するのに役立ちます。

今すぐ IMEC に連絡して、CMMC の準備に関する話し合いをスケジュールし、防衛サプライ チェーンにおける貴社の立場を守りましょう。