2021年11月初旬、米国国防総省(DoD)はサイバーセキュリティ成熟度モデル認証(CMMC)における要求事項の更新版をリリースする計画を発表しました(DoD CMMC Version 2.0)。最初のCMMCバージョン1.0は、競合他社によるサイバー攻撃や盗用から、防衛産業基盤のネットワークと保護すべき情報(CUI:Controlled Unclassified Information)をより適切に保護するために作成され、企業が米国国防総省との特定の契約で実施する作業に応じて達成する必要がある5つの異なるセキュリティレベルが含まれていました。
また、企業は米国国防総省との契約を締結する前に、第三者機関による監査を受け、必要な要求事項を満たしていることを証明する必要がありました。これらの要求事項は5年間かけて導入され、2025年には米国国防総省が締結するすべての契約にCMMCの要求事項が盛り込まれる予定でした。
CMMCバージョン2.0(以下、CMMC 2.0)は、バージョン1.0と同様にCUIを保護することを目的としていますが、防衛産業に影響を与えるいくつかの変更点があります。
CMMCとは
サイバーセキュリティ成熟度モデル認証(以下、CMMC)は、米国国防総省が防衛産業等と調達する際に求める要件として策定されました。その目的は主に以下2点になります。
- 米国国防総省と調達契約を締結する防衛産業の企業、防衛産業基盤において、連邦契約情報(FCI)や保護すべき情報(CUI)の外部への流出に関する懸念に対処すること。
- 米国国防総省におけるサイバー空間への意識改善を行い、米国の防衛産業基盤内に信頼できるITサプライチェーンを構築すること。
米国国防総省と契約する日本企業もCMMCへの対応が求められるため、動向に注視することが求められます。また、防衛装備庁において整備された「防衛産業サイバーセキュリティ基準」が2023年4月から防衛省・自衛隊との契約に適用されますが、この基準に規定されている要求事項(セキュリティ管理策)はCMMCと同様にSP800-171に基づいています。このため、防衛省・自衛隊と契約する防衛産業にとってもCMMCの動向に留意する必要があります。
CMMC 2.0で何が変更されたか?
セキュリティレベル
CMMC 2.0では、セキュリティレベルが5つから3つに削減されました。CMMC 1.0のレベル2と4は、米国国防総省によって過渡的とみなされたため廃止となりました。
要求事項の変更
CMMC 2.0では、NIST SP 800-171 Rev.2で公開されなかった20の追加項目が廃止されました。この20項目の削除に加え、バージョン2.0では、バージョン1.0に含まれていたプロセス(ポリシー、実施手順、計画)に関する要求事項が削除されました。
行動計画とマイルストーン(POAM)
最初のCMMCフレームワークではPOAMの余地がなく、組織はすべての項目を満たす必要があり、そうでなければ認証されないというものでした。CMMC 2.0ではPOAM項目が認められますが、米国国防総省は、最も重みのある要求事項(SPRS採点方法による5点の要求事項)についてはPOAMを認めないこと、認められるPOAM項目には時間的要件(定義はないが180日の可能性)があることを示しました。
評価要件
以前はすべての契約企業に対して第三者監査を要求していましたが、CMMC2.0では、優先度の低い調達におけるレベル1、2の契約企業は第三者監査を受ける必要がなくなりました。これらの企業は、レベル1、2の要求事項の効果的な実施、システムセキュリティ計画およびPOAMの文書化、最新のSPRSスコアを持っていることの自己評価を年1回実施する必要があります。国家安全保障にとって重要な情報を扱うレベル2の契約企業は、引き続き3年に一度の第三者監査を受ける必要があります。
タイムライン
米国国防総省は、CMMC2.0の要求事項を規則制定後に施行する予定であり、9~24ヵ月かかると述べています。9ヵ月かかるとすれば、CMMC2.0は2022年9月頃、24ヵ月かかるとすれば2023年12月頃に発効することになります。
評価範囲
リリースされたCMMC評価範囲ガイドでは、評価範囲とみなされる資産区分が定義され、米国国防総省の契約企業がCMMC 2.0の対象となる資産を文書化して目録が作成されていることを確認する必要があると記載されています。
さらに、契約企業は評価範囲内のCUI資産と評価対象外の資産とが物理的/論理的に隔離されることを証明する必要があります。
この隔離する考え方は、リスクを低減するだけでなく、契約企業における評価範囲を制限することにもつながります。
CMMC導入成功のためのアプローチ
システム境界とスコープ分析
CMMC評価範囲ガイドを活用し、対象範囲内のCUI資産を定義します。システム境界の定義と初回のスコープ分析は、CMMCの導入検討における基礎になります。これには、対象範囲内にあるCUIデータ種別の目録作成、CUI情報の流れのマッピング、およびシステム境界の特定が含まれます。
CUI環境の分離または「囲い込み」
対象範囲内のCUI資産を対象外の資産から物理的/論理的に分離し、システム・アーキテクチャ設計で文書化します。
CMMC準備アセスメントの実施
組織の現在のセキュリティ管理策と、希望するレベルの主要なCMMCセキュリティ管理策を比較してギャップ分析を実施します。準備状況の評価により、CMMCに準拠するまでのロードマップが確立されます。
行動計画とマイルストーン
行動計画とマイルストーン(POAM)にギャップ分析の結果を記録し、システムセキュリティプラン(SSP)を確立します。CMMC 2.0では、ポリシー、実施手順、および計画に関する管理策が削除されましたが、契約企業のリスク管理資産および特別な資産が適切に管理されていることを十分に示す文書を提供できることが、これらの資産が評価されるのを回避するために不可欠です。
本稿は、KPMGインターナショナルが2022年に発表した「CMMC 2.0 Key updates and impacts」を翻訳・加筆したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちらから(英文)
CMMC 2.0 Key updates and impacts
