TOPNetwork > 米国防関連の請負業者が知っておくべきセキュリティ要件、CMM...

Network

米国防関連の請負業者が知っておくべきセキュリティ要件、CMMC(前)

2020/04/28

Abigail Stokes、Marcus Childress CSO

 CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)は、米国の防衛産業基盤(DIB)企業がサイバーセキュリティ対策で満たすべき水準について定めた統一規格である。米国防総省(DoD)の請負業者の情報システムで、防衛関連情報に対する重大な侵害が発生した事例があったことから策定されたもので、DIBのサプライチェーンに関与する30万社以上が対象となる。

Credit: Gorodenkoff / Getty Images

 DoDは、CMMCの草稿の段階で、UARC(University Affiliated Research Center)、FFRDC(Federally Funded Research and Development Center)、および業界内から意見を募ったうえで、2020年1月31日に待望のCMMCバージョン1.0を公開した。

 これまで、DoDの案件を受託する請負業者は、DoDの情報を扱うITシステムのセキュリティや、これらのシステムで保存や伝送を行うセンシティブな情報のセキュリティの実装、監視、認証について、自らの責任のもとで遂行してきた。今後も、サイバーセキュリティの重要な要件を履行する責任は請負業者自身にあるが、CMMCで枠組みが変わったのは、第三者による評価が義務づけられた点だ。所定のプラクティス、手順、能力を請負業者が要件どおり履行しているかどうかや、進化を続けるサイバーセキュリティの脅威に適応していけるかどうかについて、第三者機関のお墨付きを得る必要がある。

現時点で請負業者に必要な対応は

 防衛関連の請負業者は、認証取得はもとより、長期的なサイバーセキュリティに俊敏に対応するという意味でも、CMMCの技術要件を早急に理解し、対応を急ぐ必要がある。CMMCの評価の具体的な実施方法や、異議申し立てなどの細目については、間もなく発表になるものと考えられるが、詳細が確定する前の段階で、自社のプラクティス、手順、ギャップの評価に着手しておけば、プロセスの確実な遂行や、今後の契約で求められるCMMCの要件への対応という面で、他社より優位に立てる。

 DoDの取得・維持担当国防次官室のサイトで公開されているCMMCのFAQでは、認証プロセスの最新情報について知ることができる。

↑ページ先頭へ