CMMC認定について知っておくべきこと

Cyber​​security Maturity Model Certification（CMMC）が完全な実装に近づくにつれ、影響を受ける組織は、認定プロセスに合格することを確実にするために急いでいます。

目標は単純です。組織は最低限のサイバーセキュリティ基準を満たす必要があり、そうすることで、組織は国家安全保障を改善するために自分たちの役割を果たします。推定30万の防衛産業基盤（DIB）組織にとって、その賭け金は非常に高く、連邦契約を獲得する資格を得るには、まもなく5つのCMMCレベルの1つに認定される必要があります。簡単に言えば、認証も契約もありません。米国政府と国防総省の観点からは、DIBが我が国の防衛において非常に重要な役割を果たしているため、常に大きなリスクがあります。データの保護とサプライチェーンの整合性を確保する唯一の方法は、業界をより高い水準に保つことです。

どのようにしてここにたどり着きましたか？

国家および非国家主体による敵対的活動は増加し続けており、経済的コストは驚異的であり、世界全体で5兆ドルと推定されています。他の見積もりによると、2016年の米国経済へのコストは570億ドルから1,090億ドルの間でした。しかし、CMMCの必要性は、経済的利益だけでなく、集合的に自分自身を守ることでもあります。大小の企業がアメリカの戦闘機の成功に貢献しており、それらはすべてCMMCと同じレベルの説明責任を負っています。

連邦政府のスペースでは、特定の戦闘機を一目見ただけで、最終的に私たちの国を保護し、守る組織を保護することがいかに重要であるかという点を結び付けることができます。商業分野では、ターゲット違反は、ビジネスパートナーが最終的に攻撃を容易にする弱点になる可能性があることを示しました。 DIBの説明責任を強化することで、新しいビジネス要件を満たすだけでなく、攻撃に対する耐性を高めるという戦略的要請に応えます。時代は変わり、私たちのビジネスのやり方も変わりました。好むと好まざるとにかかわらず、私たちは「戦争」、「スパイ」、「犯罪」などの言葉の前に「サイバー」が付いている現代の戦場で操縦します。つまり、民間および公的機関は現代的な対応で準備する必要があります。

CMMCとは何ですか？

CMMCには、国防総省の請負業者の管理された未分類情報（CUI）および連邦契約情報（FCI）を保護することを目的とした、5つのレベルの技術的および手続き的管理があります。 CMMCレベル5に到達するには、組織は171の技術的および手続き的管理の実装と評価を行う必要があります。連邦政府のほとんどのサイバーセキュリティ専門家は、CMMCコントロールの大部分がよく知られていることに気付くでしょう。実際、CMMCレベル3に到達するために、ほとんどすべてのコントロールがNIST SP800-171にあります。間もなくCMMCの下で認証を必要とする組織は、2016年以降NIST SP 800-171で概説されている管理を満たすことがすでに義務付けられています。主な違いは、組織が自己認証を行って、欠陥に対処するための行動計画とマイルストーンを提出できないことです。 。認証を求める組織は、CMMCサードパーティ評価機関またはCMMC認定機関（評価者の準備状況の認証を担当する非営利組織）によって認証された評価者によって正式に評価される必要があります。評価が開始される日付は指定されていませんが、最近、CMMC評価者の最初のグループのトレーニングが開始されました。

今何をしますか？

CMMCの準備は、サイバーセキュリティの基礎を実装し、回復力を高めるための継続的な改善を行うための演習です。 CMMCレベルは累積的で階層化されているため、1つのレベルが次のレベルに積み上げられます。したがって、レベル4に到達するには、レベル3に完全に準拠している必要があります。レベル5での脅威ハンティングのような、より高度でプロアクティブな対策に移行します。複雑さが増す171のコントロールを使用して、どこから始めればよいかを尋ねます。

• 自分自身を教育する： CMMCによって概説された技術的管理とポリシーを理解します。
  • これがCMMCのバージョン1です。
  • これがCMMCのFAQです。
• どのレベルが自分に適しているかを判断します： 組織は、求める認定のレベルを決定する必要があります。 FCIのみを保存している組織は、CMMCレベル1に到達するコンテンツである可能性があり、CUIを保存および処理している組織、またはより機密性の高い取り組みに貢献している組織は、CMMCレベル3以上で認定されることを望む可能性があります。 DoDは、提案依頼書にCMMCレベルの要件をリストします。
• 自分自身を知る： 内部ネットワークからビジネスパートナーまでの環境を理解し、文書化します。 「知らないことは守れない」とよく言われますが、それは事実です。防御する前に、セグメンテーション、システム、および攻撃対象領域を理解する必要があります。
• 自己評価： 組織が求めている認定レベルの管理をどのように積み重ねるかを決定します。現在満たされていないコントロールを特定し、問題を解決する方法を計画し、再評価します。将来の柔軟性のために、組織が次のレベルに到達するために必要なものを特定します。
• 購入： 私たちは最も弱いリンクと同じくらい強いだけです。 CMMCは、防衛部門でビジネスを行うリスクを軽減するために設計されていることを理解してください。一部のコントロールは単純であるか、すでに実行されていますが、その他のコントロールでは、組織のさまざまな部分からのサポートが必要になる場合があります。承認、予算の増加、またはエグゼクティブスポンサーシップが必要になる場合があります。一部のコントロールは、技術的な観点からは大きな負担になる可能性があります。組織全体が賛同し、実用的であり、ミッションをサポートおよび保護するために自分たちの役割を果たす必要があります。
• 柔軟に対応する： CMMCは新しく、DoDとDIBを使用して大規模で複雑なエンティティ間にブリッジを作成します。これらは巨大な組織であり、CMMCにはまだ不明な点があり、1か月前に知られていたことは変わる可能性があります。ですから、柔軟に、忍耐強く、そして私たち全員が私たちが大切にしているものを保護するためにより良いことをする必要があることを知ってください。

CMMCレベル1または5の認定を受ける必要がある場合でも、組織がDoDと取引を行っていない場合でも、CMMCによって定められた基準は、組織がサイバーセキュリティの姿勢を成熟させるためのロードマップです。出発点に関係なく、CMMCコンプライアンスを達成することは、大小の組織に同様に課題をもたらしますが、結果は私たちが切実に必要としている改善です。データと知的財産を保護することは、敵に対して技術的な優位性を維持するために論理的かつ絶対的に必要です。サイバーセキュリティの基礎の実践における継続的な評価と改善は、現代の脅威と戦うことを可能にするレベルのデジタルレジリエンスを達成するために最も重要です。

Wayne Lloydは、RedSealの連邦最高技術責任者です。