CMMC (Cybersecurity Maturity Model Certification)
米国防総省はNIST SP800-171管理策を展開して5レベル評価を加えた新しい認定制度の仕組みとしてCMMC(Cybersecurity Maturity Model Certification)を適用することを宣言した。
2020年1月にはVer. 1.0が公表された。2020年11月には一部適用が開始される見通しである。CMMCはNAS9933にならって、各要求項目を5段階のレベルおよびプロセスに分けて評価するしくみとした。また、第三者評価認定機関(C3PAO)を認定し、客観的なレベル評価が行えるようにした。
CMMCはあくまで米国防総省としての取り組みであり、その他の連邦政府各機関が取り組んでいるものではない。また、米国防総省においても、これが正式に発効するのは、調達規則であるDFARS 252.204-7012の改訂が行われた後となる。
CMMCでは、管理策として全てのNIST SP800-171要件を使用しており、従来は一律に全適用を求めていたものを、段階分けしたものである。従って、これまでの連邦政府の方針とは矛盾していない。
CMMCの情報は、OUSD(A&S)[Office of the Under Secretary of Defense for Acquisition and Sustainment:調達と持続性のための国防長官室]のサイトに公開されている。
v0.7 Draft版(2019年12月)をもとに、CMMCの概要を紹介する。
OUSD(A&S)は、防衛産業基盤企業のサプライチェーンにおける、FCI(Federal Contract Information:連邦契約情報)とCUI(Controlled Unclassified Information:管理対象非機密情報)の保護を目的に、CMMCを開発している。
CMMCの開発に当たっては、米国防総省のステークホルダー、UARC(University Affiliated Research Centers:大学関連研究センター)、FFRDC(Federally Funded Research and Development Centers:連邦資金研究開発センター)、ジョンズ・ホプキンズ大学 応用物理学研究所(APL)およびカーネギーメロン大学 ソフトウェア工学研究所(SEI)および、産業界と協力して、さまざまなサイバーセキュリティ標準をレビューし、サイバーセキュリティの1つの統一標準としてCMMCに統合しようとしている。
CMMCは、FCIとCUIを保護する防衛産業基盤企業のセキュリティ対応能力を測定するための米国防総省の認定プロセスである。
CMMCは、成熟度モデルの構成をとっており、ソフトウェア開発等の成熟度モデルとして確立されているCMMI(Capability Maturity Model Integration:能力成熟度モデル統合)と同様に、定義された領域に対し、実施すべきプロセス、プラクティスが成熟度レベルにマップされている。
CMMCは、さまざまなサイバーセキュリティ基準を組み合わせ、基本的なサイバー予防策から高度なプラクティスまで、ベストプラクティスとプロセスを5つの成熟度レベル(レベル1〜5)にマップしている。
CMMCは、NIST SP 800-171 rev.1、 Draft NIST SP 800-171B、英国のCyber Essentials、オーストラリアのEssential Eight等、複数のソースからプラクティスを組み込んでいる。
CMMCは、サイバーセキュリティ要件の実装状況を検証するための認定の枠組みも含んでいる。
CMMCは、多層サプライチェーンの下請け事業者へのフローダウンを考慮し、防衛産業基盤企業がリスクに見合ったレベルでFCIおよびCUIを適切に保護できることについて、適切に認定されるように設計されている。なお、下請け事業者も含め、米国防総省の案件を受託するサプライチェーン各社は全て、CUIの取扱いの有無にかかわらず、レベル1のCMMC認定は取得する必要がある。
| 領域
(Domains) |
キーとなる一連のサイバーセキュリティ「能力」 |
| 能力
(Capabilities)
|
各「領域」の中で、サイバーセキュリティの目標達成を保証するための実施すべき事項 |
| プラクティスと
プロセス (Practices & Processes) |
各成熟度レベルで、「能力」達成のために必要な活動 |
図 CMMCの成熟度モデルの構成
CMMCモデルでは5つの成熟度レベルが定義されている。
特定のCMMCレベルを満たすには、該当レベル以下の全てのレベルの「プラクティス」と「プロセス」を満たす必要がある。
| 成熟度 | プラクティス | プロセス |
| レベル5 | 上級/プログレッシブ
(Advanced/ Progressive) |
最適化されている
(Optimized) |
| レベル4 | 積極的
(Proactive) |
見直されている
(Reviewed) |
| レベル3 | 優れたサイバー予防策
(Good Cyber Hygiene) |
管理されている
(Managed) |
| レベル2 | 中級サイバー予防策
(Intermediate Cyber Hygiene) |
文書化されている
(Documented) |
| レベル1 | 基本的なサイバー予防策
(Basic Cyber Hygiene) |
実施されている
(Performed) |
図 CMMCモデルの5つの成熟度レベル
なおCMMCのプラクティスは、NIST SP800-171の管理策をほとんど採用しており、171の110項目をレベル1から3にマッピングした形となっている。また、レベル4および5は、さらに高度な対応を求められる主にTEIR-1企業に要求され、管理策もNIST SP800-171B(今後、SP800-172に改称される)のものが充てられる。
各レベルと、管理策の関係(個数等)を以下に示す。
Exostar社 CMMC V1.0説明 2020.2.25より
1.1.1. CMMCの認定組織について
CMMCの認定形態については、まだ米国防総省においても検討・調整中であるが、2020年2月現在公表されている情報によると、以下のような組織を作り、第三者評価機関(C3PAO)を段階的に認定してゆくことがアナウンスされている。以下に、公表されている認定形態について概略を示す。
図 米国防総省CMMC についての業界説明資料より(2019.12)
この組織構造は、CMMCの運用を円滑に行うための準備を行う組織で、現在は運用開始に向けてC3PAOに対するトレーニング内容を作成している。
レベル1の認定は、今後米国防総省との契約を行う可能性のある全ての企業(約30万社)が取得する必要があるため、C3PAOも相当な数が必要となる。以下が、現時点でアナウンスされているスケジュールとなっている。
図 CMMCのスケジュール
« Back to Glossary Index