米国国防総省(DoD)の当局者は、サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの最新バージョンが最終化されたことで、国防請負業者のサイバーセキュリティ保護をより適切に評価できる権限を得た。
国防請負業者は、DoDとの契約に入札するために本プログラムに合格する必要がある。
CMMCは、同省が利用する数千の請負業者が、連邦契約情報(FCI)および管理対象非機密情報(CUI)に関する既存の保護要件に準拠していること、ならびにサイバーセキュリティ脅威によるリスクに見合った水準で当該情報を保護していることを検証する。
この最終規則は、連邦調達規則(Federal Acquisition Regulation)第52.204-21部および米国国立標準技術研究所(NIST)の特別刊行物(SP)800-171 Rev 2および-172に記載されたサイバーセキュリティ要件とプログラムを整合させるものである。
「CMMCは、自らのサイバーセキュリティの実践やプロトコルを故意に偽って申告したり、サイバーセキュリティ事故や侵害の監視・報告義務を故意に違反したりすることで、米国の情報やシステムを危険にさらす組織または個人の責任を追及するための手段を提供する」とDoDはプレスリリースで述べた。
同省はさらに、「CMMCプログラムは、企業のサイバーセキュリティ状況の監視と説明責任の履行を徹底するうえで重要な要素となる、年次の確認(アファメーション)要件を実施する」と付け加えた。
最終化された枠組みは、10月15日(火)に連邦官報(Federal Register)に掲載される見込みで、掲載から60日後に施行される。
CMMCプログラムの進化
現在、DoDは国防請負業者のセキュリティについて自己証明(セルフ・アテステーション)に依存している。
米国政府は、約40の連邦防衛請負業者に影響を与えたSolarWindsのサプライチェーン攻撃の直後である2020年1月に、CMMCの初版を公開した。
当初のCMMCプログラムは、段階的に高度化する5つのサイバーセキュリティ標準レベルで構成されていた。内部レビューを経て、DoDは2021年11月に、規則を3つのCMMCレベルへと精緻化した更新版CMMCプログラム2.0を公表した。
レベル数の削減は、中小企業にとって手続きを合理化し簡素化することを目的としていた。
2023年12月、同省は連邦官報においてCMMCを改正するための規則案を公表し、2021年11月に示された改訂プログラムに関するDoDの構想を実装した。
2024年2月26日に終了した規則案への意見募集期間を経て、CMMCにはいくつかの重要な変更が加えられた。これには、実施された評価のレベルおよび種類を、結果として達成されたCMMCステータスから区別する新たな分類体系(タクソノミー)の作成が含まれる。
改訂されたCMMCプログラムにより、同省は是正措置計画およびマイルストーン(POA&Ms)も導入した。
POA&Msは、規則に定められた特定の要件について付与され、企業がNIST標準の充足に取り組む間、180日間の条件付き認証を取得できるようにする。
CMMCへの準拠を達成する
更新された規則により、適切な場合にはDoDの請負業者が自社の準拠状況を自己評価できるようになる。
CMMCの3つのレベルは、国防請負業者がリスクに見合った水準でFCIおよびCUIを適切に保護できることについて、同省に対する保証を高めるよう設計されている。
国防請負業者は、保護対象情報が処理・保管・送信される場所に応じて、企業全体のネットワークまたは区画(エンクレーブ)単位で特定のCMMCステータスを達成できる。
- レベル1:FCIの基本的な保護について自己評価を可能とする
- レベル2:CUIの一般的な保護を要求し、第三者評価またはCMMCレベル2における自己評価のいずれかで実証する
- レベル3:高度持続的脅威(APT)によるリスクに対する、より高水準のCUI保護を要求し、防衛産業基盤サイバーセキュリティ評価センター主導の評価を伴う
プログラムの最終版では、CMMCレベル3認証に義務付けられるNIST SP 800-172の24要件が明確に示されている。
翻訳元: https://www.infosecurity-magazine.com/news/dod-cybersecurity-standards/
