EntrustはCMMCコンプライアンスをサポートしているため、契約ネットワークによって米国防総省(DoD)やその他の政府機関を継続的にサポートできます。

サイバーセキュリティ成熟度モデル認証(CMMC)は、米国によって確立されたプログラムです。米国防総省(DoD)は、それぞれ5つの認証レベルが指定された、17の異なるドメインにわたって外部請負業者の認証を要求することで、連邦契約情報(FCI)および 管理対象非機密情報 (CUI)を保護します。

CMMCは、防衛産業基盤のサプライチェーンに関与する30万社を超える企業など、DoDの契約ネットワーク全体にサイバーセキュリティを実装するための統一規格です。CMMCは、請負業者の情報システムに存在する防衛関連の機密情報への重大な侵害に対する米国防総省による対応策となります。

  • この規格は、2020年1月1日にリリースされました。
  • DoDは、2020年11月30日から、CMMC要件を一部のRFP/RFIに組み込み始めました。
  • 2025年10月1日までに、すべてのDoD契約ネットワークには、少なくとも一定レベルのCMMC認証が必要になります。さらに、DoDがCMMC開発のきっかけとなった一方、今日においては防衛産業基盤企業(DIB)全体でこの規格が広く採用されています。これには国土安全保障省およびその他の連邦政府の省庁も含まれ、特にSolarWinds悪用による大規模サイバー攻撃後にこの規格の積極的な採用が見られます。
お客様を保護する

CMMCコンプライアンスに対する準備はできていますか?

歴史的に、請負業者は情報技術システムと、それらのシステムによって保存または送信されるDoDの機密情報のセキュリティを実装、モニタリング、および認証する責任がありました。

2020年11月30日以降、DoDはCMMC要件を一部のRFP、RFI、および調査契約書に組み込み始めました。2025年10月1日までに、すべてのDoD契約ネットワークには、少なくとも一定レベルのCMMC認証が必要になります。防衛産業基盤企業の大多数は、1(基本)から5(上級)の範囲でのレベル認証において、レベル3以上の認証が必要になる可能性があります。CMMCは、攻撃者からの新しく進化するサイバー攻撃の脅威に対応可能な特定の必須プラクティス、手順、および能力の各要件に関する請負業者の履行状況の第三者評価を要求することで、DIB市場のパラダイムに変化をもたらします。ID、証明書、およびデータ保護ソリューションなど、Entrustのデジタルセキュリティポートフォリオは、5つの認証レベルにおける11のCMMCドメインの遵守をサポートします。

組織を保護する

組織に必要な成熟度レベルを判断するための重要な質問

組織は連邦契約情報(FCI)などの基本情報を扱っていますか?それとも、管理対象非機密情報(CUI)を扱っていますか? FCIにはレベル1の認証が必要ですが、CUIにはレベル3以上の認証が必要です。

組織の現在のサイバーセキュリティスタンスと、目標とするCMMCレベルの間のギャップはどこにありますか? ギャップの評価は、CMMCサイバーセキュリティの成熟度を達成するための行動計画とマイルストーンを定義するために非常に重要です。

CMMCには、NIST SP 800-171で指定されているセキュリティ要件のほか、他の規格やスキームなどを参照した追加要件が含まれており、認証レベルによってこれらの要件も異なります。 ギャップの評価により、組織の現在のサイバーセキュリティ対策レベルについて明らかになることは何ですか?

次のCMMCの最終目標を忘れないでください。FCIとCUIを悪意のあるサイバー攻撃者の手に渡さないようにします。

CMMCドメインと機能

お客様を満足させる

Entrustは、いつでもお客様をサポートします。

Entrustは、次の11のCMMCドメインの遵守をサポートするソリューションを提供します。

CMMCドメイン

アクセス制御(AC)
資産管理(AM)
監査と説明責任(AU)
構成管理(CM)
識別と認証(AI)
メンテナンス(MA)
メディア保護(MP)
物理的保護(PE)
復元(リカバリー)(RE)
システムと通信の保護(SC)
システムと情報の完全性(SI)

機能

  • システムアクセス要件の確立
  • 内部システムアクセスの制御
  • リモートシステムアクセスの制御
  • 承認されたユーザーとプロセスへのデータアクセス制限
  • 資産の特定と文書化
  • 資産インベントリの管理
  • 監査要件の定義
  • 監査の実施
  • 監査情報の特定と保護
  • 監査ログのレビューと管理
  • 構成基準の確立
  • 構成管理と変更管理の実施
  • 認証されたエンティティへのアクセスの許可
  • メンテナンスの管理
  • メディアの識別とマーク付け
  • メディアの保護と制御
  • メディアの無害化
  • 伝送中のメディアの保護
  • 物理的なアクセスを制限
  • バックアップの管理
  • 情報セキュリティ継続の管理
  • システムと通信のセキュリティ要件の定義
  • システム境界での通信の制御
  • 情報システムの欠陥を特定して管理
  • 悪意のあるコンテンツを特定
  • ネットワークとシステムを監視
  • 高度なメール保護を実装

Entrustのサポート

今すぐ無料相談をリクエストする