Help Net Securityのインタビューに応じたSecureframeのサイバーセキュリティ・コンプライアンス責任者Marc Rubbinaccio氏が、CMMCおよびFedRAMP 20xへの準備において組織が陥りがちな間違いを解説します。110件の要件はチェックしても、その背後にある320のアセスメント目標を見落とすという問題、完璧に見えるSOC 2の証拠が機能不全のコントロールを隠してしまう理由、そして継続的監視がコンプライアンス業務をどう変えつつあるかについて詳しく語っています。
また、AIに関して若手実践者に向けたアドバイスや、予算が限られた中堅の防衛サプライヤーがCMMCレベル2の審査に備えるための実践的なステップも紹介しています。
CMMCまたはFedRAMP 20xの要件に既存のコントロールセットをマッピングしようとしたものの、そのマッピングが実態と乖離していたと気づいた場面について教えてください。そのとき何が起きていましたか?またその後、どのように改善しましたか?
CMMCはNIST 800-171r2をベースとしており、110件のハイレベル要件に加えて、その中に320のアセスメント目標が含まれています。私が現場でよく目にするのは、組織が110件の要件を把握しているだけで準備完了だと思い込んでしまい、アセスメント目標がいかに細かく定義されているかを理解していないというケースです。
組織が既存のコントロールセットや他のフレームワークをNIST 800-171と照合する際、ハイレベル要件の趣旨を「解釈」で補完してしまいがちであることに気づきました。本来は、各コントロールを個々のアセスメント目標そのものに紐付けることが重要です。たとえばAC.L2-3.1.1では「システムアクセスを制限する」と定められていますが、その目標の中には「認可されたユーザーが特定されているか」「ユーザーに代わって動作するプロセスが特定されているか」「デバイスが特定されているか」といった問いが含まれています。チームは最上位の要件にチェックを入れても、4つの目標のうち3つを見落としてしまいます。一方でFedRAMP 20xのKSI(主要セキュリティ指標)は、標準的な情報セキュリティフレームワークにおける一般的なコントロールとは異なり、特定の実装手段ではなく成果と目標に焦点を当てています。そのため、一つのFedRAMP KSIが社内の複数のコントロールにまたがって対応していることもあります。
コンプライアンスの証拠としては完璧に見えても、実際のコントロールが機能していなかった事例を一つ挙げてください。それはどのように発覚し、誰が最初に気づいたのでしょうか。監査人ですか、レッドチームですか、それともインシデントが起きてからですか?
私が最もよく目にするパターンは、SOC 2 Type 2監査のアクセスレビューの場面で現れます。ポリシーは適切なプロセスと手順に沿って文書化されており、四半期ごとのレビュー、管理者による承認、証拠の保持も行われています。さらにSecureframeのプラットフォームからレビュー担当者にリマインダーが送信され、そのリマインダーも確認済みとして処理されています。
監査人がサンプリングの過程で発見するのは、同一の承認者が複数のサイクルにわたってユーザーリストを実際に確認せずに「承認」をクリックし続けているという事実です。ポリシー上はレビューが実施されたことになっており、プラットフォーム上もレビュー完了と記録されています。しかし、アクセス権について人間が適切に判断するというコントロール本来の機能は、完全に失われています。これに最初に気づくのは、顧客ではなくほぼ常に監査人です。そしてそのきっかけは多くの場合、レビューの実施状況に関する質問か、証拠の中の誤りの発見です。
FedRAMP 20xは継続的監視と機械可読な成果物を強く求めています。FedRAMP 20x環境によって不要になる従来の火曜日朝の業務とはどのようなものですか?また、そこで新たに身につける必要が生じた能力とは何でしょうか?
FedRAMP 20xによって過去のものとなる火曜日朝の業務、それは手動での証拠収集ルーティンです。長年にわたり、コンプライアンスチームは週明けにインフラ管理者へ最新のサーバーインベントリをメールで依頼し、各アプリケーションオーナーにユーザーアクセスリストを要求し、得られた結果をスプレッドシートにまとめてレビューするという作業を繰り返してきました。私は2020年から自動テストとインテグレーションを活用することで、顧客をこうした作業から解放してきましたが、FedRAMP 20xはそれを正式な標準要件として位置付けています。インベントリの取得、ユーザーアクセスのレビュー、設定確認、コントロールの証拠は、管理者が監査前にかき集めるものではなく、プラットフォームが継続的に生成するものとなります。
最も大きな変化は、検証の設計手法です。従来のコントロールテストでは、ある設定が有効かどうかをtrueかfalseで確認するに過ぎませんでした。しかしFedRAMP 20xのKSIは成果重視であるため、保存データの暗号化が有効になっているとか、MFAが設定されているといった確認だけでは不十分です。検証では、そのコントロールが継続的に機能していることを実証する必要があります。具体的には、コントロールが発動する頻度、失敗した場合の対応、そして行政機関が直接利用できる機械可読な形式での証拠提示が求められます。この能力を構築するには、チームとしての思考を「チェックボックスを確認する監査人」から「各KSIをいかに継続的に計測し、基礎となるコントロールに明確にマッピングして、FedRAMPが目指す永続的な検証モデルを支えられる形で提示できるか」という方向へシフトさせる必要があります。
AIとセキュリティ運用についてLinkedInのインフルエンサーが若手実践者に伝えている最悪のアドバイスは何だと思いますか?また、実際に相談を受けたとき、あなたは何を伝えていますか?
LinkedInで広まっている最も有害なアドバイスは、「セキュリティと コンプライアンスの基礎を学ぶより、AIの使い方を学ぶべきだ。AIがサイバーセキュリティの基礎的な部分をすべて担ってくれるから」というものです。AIがポリシーを書き、レポートを作成し、コントロールをフレームワークにマッピングできるという主張はよく見かけますが、それを人間がレビューし、専門知識に基づいて判断することの重要性は著しく軽視されています。AIは誤りを犯すことがあります。そして、基礎的な経験なしに、その正しさを判断することはできません。
セキュリティ運用におけるAIの実態は、オンラインで見られる両極端の意見の中間に位置します。AIがすべての仕事を奪うわけでもなく、役に立たないわけでもありません。防御側と攻撃側の両方で能力を着実に高めており、脆弱性の検出やエクスプロイトの生成も例外ではありません。ただし、運用コストは高く、膨大な量の誤検知を生成するため、依然として人間の判断による選別が必要です。セキュリティやコンプライアンスの文脈でAIから真の価値を引き出すには、モデルが誤っているときに見抜けるだけのドメイン専門知識が不可欠です。つまり、基礎の重要性は以前より高まっているのであり、低下しているわけではありません。
相談してくる若手実践者には、まずフレームワーク、コントロール目標、そして実務において組織がどのようにそれらの要件を満たす必要があるかをしっかり学ぶことに投資するよう伝えています。AIはその作業を加速するツールであり、理解の必要性を置き換えるものではないと捉えてほしいのです。この分野で長期的に価値を発揮できる人材とは、AIが生成したファインディング、AIが起草したポリシー、AIが提案したコントロールマッピングを見て、それが正しいか、部分的に正しいか、あるいは誤りかを自信を持って判断できる人です。
小規模なチームと限られた予算で、9か月以内にCMMCレベル2の審査に臨もうとしている中堅の防衛サプライヤーに対して、公式のガイダンス文書には載っていない実践的なアドバイスを2〜3点挙げるとしたら何ですか?
最も重要なことは、先延ばしにしないことです。CMMCは準備から審査まで複雑なプロセスを伴います。早期に着手することで、環境のスコープを適切に設定し、目標とする認定スケジュールに間に合わせるために必要な専門知識を確保する余裕が生まれます。
第一のステップは、機密データとCUI(管理対象未分類情報)が実際にどこに存在するかを正確に把握することです。CUIがどこに保存され、処理され、送信され、取り込まれているかを明確にすることで、それをどこに限定すべきかを意図的に判断できるようになります。CMMCへの対応をコントロール可能な規模に収めるカギは、スコープをできる限り狭くすることです。小さな環境、あるいはCUIとスコープ内資産に特化したエンクレーブを構築することで、企業全体の環境をスコープに含めようとする場合と比べて、準備段階でも審査本番でも大きな手間を省くことができます。
第二のステップは、設定です。CMMCに精通したプロバイダーとの連携が不可欠です。なぜなら、GCC HighやGoogle WorkspaceといったエンクレーブプラットフォームをI選択しても、それだけでCMMCへの準拠が自動的に実現するわけではないからです。これらのプラットフォームは基盤を提供するものですが、その上で動くシステムは引き続き110件の要件と320のアセスメント目標に対して設定を行う必要があります。「プラットフォームが全部やってくれる」と思い込んでいる組織こそ、審査で最も苦労することになります。
第三のステップは、適切な審査機関の選定です。業界のC3PAO(認定CMMC第三者評価機関)と早期に会話を持ち、自社の環境・スコープ・タイムラインについて相談することで、自社のサービスやアーキテクチャに最も精通した審査機関を見極めることができます。類似環境での経験を持つ審査機関は、そうでない機関と比べてより迅速に動き、より的確な質問をします。その差は、審査の円滑さに直接反映されます。
翻訳元: https://www.helpnetsecurity.com/2026/06/04/marc-rubbinaccio-secureframe-cmmc-compliance-readiness/
