CMMCに関する上位6つの質問
サイバーセキュリティは製造業の新しいテーマではありません。接続された機器、革新的なソフトウェア、高度なロボットシステムが製造現場に到達し始めた瞬間、サイバーセキュリティは会話の一部でした。サイバーセキュリティはインダストリー4.0の記事と並んで見出しを作りましたが、派手な新技術の話題が会話を支配しました。
メーカーはサイバーセキュリティを後回しにする傾向があります。これはもはや多くの人にとって選択肢にはなりません。製造業は、サイバー攻撃の対象となる最も脆弱な業界のトップ5に一貫してランク付けされています。セキュリティコンプライアンスとリスク管理に関しては、ヘルスケア、金融サービス、政府機関の各セクターがすべて高い水準に保たれています。製造業はまだ高い水準にとどまっておらず、したがってサイバー犯罪に対してさらに脆弱です。
Cybersecurity Maturity Model Certification(CMMC)は業界に影響を与えており、以下はメーカーが尋ねる必要のある6つの重要な質問です。
CMMCは、Cybersecurity Maturity ModelCertificationの略です。この認証は、重要な知的財産の安全を確保するための独自のアプローチを採用しています。最初は、CMMCは、国防総省(DoD)の管理された未分類情報(CUI)を処理するメーカーとサプライヤーにのみ必要になります。
Cybersecurity Maturity Model Certification(CMMC)は、DoDサプライチェーンの約300,000の請負業者と下請業者に対して適切なレベルのサイバーセキュリティプロセスと保護が実施されていることを証明する方法です。 CMMCプロセスでは、CMMCサードパーティ評価機関(C3PAO)が、企業が苦情を申し立てていること、およびCUIが安全であることを証明する必要があります。
CMMCには、「基本的なサイバーセキュリティ衛生」から「高度/プログレッシブ」までの5つの成熟度レベルがあります。成熟度が上がると、認定を受けてコンプライアンスを維持するために企業が従わなければならないルールやガイドラインも増えます。
国防総省は、サイバー攻撃を重大な脅威として認識しました。特に、大規模なプライムをサポートする中小規模の下請け業者にとっては重要です。悪意のある人物は、プライムが攻撃を防ぐためにより多くのリソースを費やしており、サプライチェーンがより簡単なターゲットであることを認識していました。米国国立標準技術研究所(NIST)の特別刊行物(SP)800-171サイバーセキュリティ要件は、国防総省(DoD)と協力して国防総省連邦調達規則補足(DFARS)252.204に準拠する請負業者の機密情報を保護するために開発されました。 -7012句。 DoDが、サプライチェーンのごく一部のみがこれらのガイドラインに準拠していると推定したときに、Cybersecurity Maturity Model Certification(CMMC)が作成されました。
残念ながら、サイバー攻撃は日常茶飯事です。 「国防情報の80%以上がパートナーのネットワーク上に存在するため、それはもはやあなたがしていることや私がしていることについての会話ではありません。国防長官補佐官であり、CMMCの背後にいる主要な支持者の1人であるケイティ・アリントンは、次のように述べています。
2018年12月、中国のハッカーが海軍の請負業者から船の保守データやミサイル計画などの情報を盗んだと報じられています。これらの行動は国家安全保障への直接の脅威です。ロッキードマーティンのような大規模なDoDサプライヤーが一流のサイバーセキュリティプログラムを実施している場合でも、DoDサプライチェーンのすべての下請け業者とサプライヤーは自分たちも保護する必要があります。そうしないと、サイバー犯罪者の入り口になります。 DoDサプライチェーンの1つの弱いリンクだけが、国全体を危険にさらす可能性があります。
すべての企業は、サイバーセキュリティの強化に投資する必要があります。ラドウェア調査によると、サイバー攻撃あたりの推定コストは460万ドルです
1
。調査参加者の13%が、自社に1,000万ドル以上のコストをかけたサイバー攻撃を経験しました。これは、2018年から2019年までのわずか1年で2倍になりました。ニュージャージーマニュファクチャリングエクステンションプログラム(NJMEP)のサイバーセキュリティの対象分野の専門家は、すべてのメーカーがベストプラクティスとして、「中級サイバー衛生」またはCMMCのレベル2に相当するものを達成することでメリットが得られます。 DoD請負業者の場合、成熟度レベルは、企業がDoDサプライチェーンのどこに該当するかによって異なります。
DoDサプライヤー、下請け業者、または製造業者が従わなければならない5つのCMMC成熟度レベルのどれを特定するかは、主要なDoD請負業者によって決定されるか、CMMCギャップ分析によって明らかになります。国防総省でどんなに最小限の仕事をするすべてのサプライヤー、下請け業者、または製造業者は、ある程度のCMMCを必要としますが、成熟度は、企業が扱う情報と行われている作業によって異なります。
防衛産業基地(DIB)企業が管理された未分類情報(CUI)を所有していないが、連邦契約情報(FCI)を所有している場合は、FAR条項52.204-21を満たす必要があり、少なくともCMMCレベル1の認定を受ける必要があります。
今。 DoDサプライヤー、下請け業者、および製造業者は、重要なDoD契約を失うリスクを回避するために、できるだけ早くCMMCになるプロセスを開始する必要があります。最初から最後まで、このプロセスには1年以上かかる可能性があります。 2020年6月、CMMCはRFIに登場し始めました。企業は、RFPが2020年9月にCMMCに言及し、評価が2020年秋に開始されることを期待できます。
今すぐ行動し、CMMCとCMMCの元となったフレームワークであるNIST8001-171に精通したコンサルタントと協力することが重要になります。認定は、CMMCの成熟度レベルのどこに組織が現在存在するかを特定するための評価から始まります。次のステップは、詳細なギャップ分析を実行してから、フルサービスの修復に移行することです。 CMMCの成熟度レベルごとに、異なる時間と労力がかかります。ただし、できるだけ早く開始することで、会社、リーダーシップ、および従業員の負担を軽減できます。
DoD請負業者、下請業者、サプライヤー、またはメーカーの場合…
必要なCMMCを成熟したレベルで達成することは、その次のDoD契約を確保するかどうかの違いを意味する可能性があります。 DoDの元請業者は、すべての下請業者にこれらの重要な新しい規則を遵守するよう要求し始めます。これらのガイドラインに従わず、適切なCMMCを成熟したレベルで達成していないメーカーは、DoDビジネスを継続することができません。
国防総省以外の製造業者向け…
現在のところ、CMMCを取得しない場合、国防総省の請負業者だけが国防総省の仕事を失うリスクがあります。ただし、中小規模のメーカーは常にサイバー攻撃のリスクにさらされており、ビジネスを完全に破壊し、場合によっては経済的に回復できないほどになります。この認定は、国防総省以外のメーカーに素晴らしいサイバーセキュリティベースラインとベストプラクティスを提供します。サイバーセキュリティ評価の結果に応じて、企業はどの成熟度レベルが最適かを判断できます。
CMMCに関する他のすべての質問に答えられるのは誰ですか?
特に適切なサポートがなければ、CMMCの取得は困難な場合があります。認証はまだ始まったばかりであり、メーカーが独自にナビゲートするのは難しい環境を作り出しています。 acq.osd.mil/cmmc/faq.htmlのようなウェブサイトを探索したり、NJMEPのようなコンサルタントと協力したりすることは、開始するための最良の方法であり、困難なプロセスをあらゆるビジネスの合理化された付加価値に変えるのに役立ちます。
どのビジネスに影響を与えるか、いつ行動するかを理解し、必要な成熟度レベルを特定することは、恐ろしいことです。一人で行かないでください。サイバーセキュリティは不可欠ですが、複雑になる可能性があります。適切なチームと協力し、適切な情報にアクセスできることは非常に貴重です。
このトピックについては非常に多くの質問があり、展開中に非常に多くの開発が行われました。当初、ガイドラインの最終版が決定または伝達されていなくても、支援して多額の請求を行うことができると主張する多くの企業がありました。支援するソリューションやサービスを販売している企業は無数にあり、誰を信頼するかを決めるのは難しいかもしれません。これは、要件に精通していると主張するマネージドサービスプロバイダー(MSP)に単純にアウトソーシングできるものではありません。
1.https://www.radware.com/newsevents/pressreleases/c-suite-2019 
CMMCとは何ですか?
CMMCが作成されるのはなぜですか?
私の会社にはCMMCが必要ですか?
いつ認証プロセスを開始する必要がありますか?
認定を受けないとどうなりますか?
注意してください
産業技術