マルコム・ジャックは、サイバーセキュリティにおいてはテクノロジーと同じくらい人が重要であることを理解してほしいと考えている。
ジャックは、カリフォルニア州ワトソンビルに拠点を置く請負業者グラナイトの最高技術責任者(CTO)で、同社は12月に政府契約における重要な技術的マイルストーンを達成したと発表した。サイバーセキュリティ成熟度モデル認証(CMMC)レベル2に到達したのだ。
発表によれば、CMMCフレームワークは、政府請負業者が連邦政府の基準を満たすために自社のサイバーセキュリティ実践を認証することを求めるもので、管理対象の非機密情報(CUI)を取り扱うために必須となる。
2026年10月31日までに、旧国防総省(Department of Defense)である戦争省(Department of War)とのすべての契約で、適切なCMMC証明書が必要となる。
最近の評価で、グラナイトは同社が「ほぼ不可能な満点に近いスコア」と表現する成果を達成し、110のセキュリティ要件すべてに合格し、320の評価目的を満たした。
ここではジャックが、導入までのタイムライン、請負業者がプロセスについて知っておくべきこと、そして遅れを取り戻す方法について語る。
編集者注:本インタビューは簡潔さと明確さのために編集しています。
CONSTRUCTION DIVE:グラナイトがCMMCレベル2認証の取得を目指し始めたのはいつですか?
マルコム・ジャック:私たちは実際には「2年の道のり」と呼んでいますが、記録を振り返ると、これはむしろ5〜6年の道のりでした。
私たちがCMMCに注目したのは2019年で、政府が連邦請負業者(私たちもその一社です)にCMMC認証を求めることになる新しい国防連邦調達規則補足(DFARS)の規則を初めて発表した時でした。私たちには連邦部門があり、何年にもわたって連邦関連の業務を行ってきました。
この5〜6年の間に、政府からの方針転換や想定外の出来事も含め、今日の地点に至るまで興味深い進化がありました。
連邦業務の入札にあたり、いつまでにCMMC認証を整備しておく必要があるのかという点で、彼らは何度もゴールポストを動かしました。しかし今は、2026年の要件を本当に堅持しているように見えます。
認証を取得するまでのプロセスはどのようなものでしたか?
道のりでした。
CMMCレベル2では、110項目を整備する必要があり、それは実際には置き換えなければならない300以上の統制(コントロール)に落ちてきます。大規模な実装です。すべて準備が整ったと思ってからテストするのでは遅いのです。
その代わり、いくつかを整備したらテストに進みました。外部の人を招いたり、社内の監査チームと連携したりして、不備を見つけられるか確認しました。
実装して間もない段階で統制に対して反復的にテストを行い、その後も前に進めていくことが、継続的に前進し、整備した内容に自信を持てた理由です。
この実装は会社にとってどのようなものでしたか?
今おっしゃったのは、CMMC全般におけるおそらく最大のポイントの一つです。
これはテクノロジーの取り組みではありません。私たちがこれをやり遂げられたのは、連邦部門との緊密なパートナーシップがあったからです。より重要なのは人です。
テクノロジーやツールを整備することはできますが、実際に日々管理対象の非機密情報を扱っているのは人です。
彼らがルールや規制、安全な取り扱い手順を知らなければ、情報をどこに置くべきか、どう置くべきかが分かりません。人との関わり方や、共有できること・できないことを理解していなければ、大きな問題に発展します。
CMMCはテクノロジーの成功のように見えますが、これは本当にIT組織と私たちの連邦グループのパートナーシップの成功です。両者が、理解することと日々どう運用するかという大きな部分を担ったからです。彼らは、これらのシステムの使い方に関するトレーニングプログラムを作り上げ、それが本当にうまく機能しました。
業界の同僚と話していて気づくのは、欠けているのが「人」だということです。同僚から「技術やソリューションをどう実装するの?」と聞かれることがあります。それについては助言できます。しかし本当に重要なのは、この新しいDFARS要件の中で運用できるように、スタッフや労働力をどう変えていくかです。
現在、請負業者にはどのようなハードルがありますか?
「どうすればそこに到達できますか?」と聞かれることがあります。私は「私ができる最善の助言は、2年前に始めることです」と答えます。
というのも、先ほど言ったように2年の道のりではありましたが、私たちにとっては実際には5年の道のりでした。時間の経過とともに方針転換し、経験を積み、連邦チームとのパートナーシップを本当に築く必要があったからです。到達するには時間がかかりました。だから、もし今から始めるのだとしたら、私は非常に不安になります。
遅れを取り戻す方法はあると思います。非常に短期間で実装するのを手伝うために、多額の費用を喜んで受け取る企業やコンサルティング会社が数多く出てくるはずです。
しかし私はそれを心配します。というのも、何かを無理やり押し込むように整備すると、要件が何であるかについてチームやスタッフを訓練する時間を実際には取れないことが多いからです。
翻訳元: https://www.cybersecuritydive.com/news/granite-federal-cyber-regulations/810966/
