サイバーセキュリティ成熟度モデル認証(CMMC)
電子ブック: CMMCの取得準備
CCMCとは? あなたの組織は、それに備えるために何をする必要がありますか? そして、どのEntrustソリューションがCMMCの準備に役立ちますか? 答えを見つけるためにこの電子書籍を読んでください。
EntrustはCMMC順守をサポートしているため、契約ネットワークによって米国防総省(DoD)やその他の政府機関を継続的にサポートできます。
サイバーセキュリティ成熟度モデル認証(CMMC)は、米国によって確立されたプログラムです。 米国防総省(DoD)は、それぞれ3つの認証レベルが指定された、14の異なるドメインにわたって外部請負業者の認証を要求することで、連邦契約情報(FCI)および 管理対象非機密情報 (CUI)を保護します。
CMMCは、防衛産業基盤のサプライチェーンに関与する30万社を超える企業など、DoDの契約ネットワーク全体にサイバーセキュリティを実装するための統一規格です。CMMCは、請負業者の情報システムに存在する防衛関連の機密情報への重大な侵害に対する米国防総省による対応策となります。
- この規格は、2020年1月1日にリリースされました。
- DoDは、2020年11月30日から、CMMC要件を一部のRFP/RFIに組み込み始めました。
- 2025年10月1日までに、すべてのDoD契約ネットワークには、少なくとも一定レベルのCMMC認証が必要になります。さらに、DoDがCMMC開発のきっかけとなった一方、今日においては防衛産業基盤企業(DIB)全体でこの規格が広く採用されています。これには国土安全保障省およびその他の連邦政府の省庁も含まれ、特にSolarWinds悪用による大規模サイバー攻撃後にこの規格の積極的な採用が見られます。
CMMCコンプライアンスに対する準備はできていますか?
歴史的に、請負業者は情報技術システムと、それらのシステムによって保存または送信されるDoDの機密情報のセキュリティを実装、モニタリング、および認証する責任がありました。
2020年11月30日以降、DoDはCMMC要件を一部のRFP、RFI、および調査契約書に組み込み始めました。 2025年10月1日までに、すべてのDoD契約ネットワークには、少なくとも一定レベルのCMMC認証が必要になります。 このモデルは、処理する情報の種類に応じて、基礎、上級、専門家の3つの成熟度レベルで構成されています。 各レベルには、自己評価、サードパーティ評価、または政府主導といったそれぞれ異なる評価要件があります。 ID、証明書、およびデータ保護ソリューションなど、Entrustのデジタルセキュリティポートフォリオは、3つの認証レベルにおける9のCMMCドメインの遵守をサポートします。
組織に必要な成熟度レベルを判断するための重要な質問
組織は連邦契約情報(FCI)などの基本情報を扱っていますか? それとも、管理対象非機密情報(CUI)を扱っていますか? FCIにはレベル1の認証が必要ですが、CUIには最低でもレベル2の認証が必要です。
組織の現在のサイバーセキュリティスタンスと、目標とするCMMCレベルの間のギャップはどこにありますか? ギャップの評価は、CMMCサイバーセキュリティの成熟度を達成するための行動計画とマイルストーンを定義するために非常に重要です。
CMMCには、NIST SP 800-171で指定されているセキュリティ要件のほか、他の規格やスキームなどを参照した追加要件が含まれており、認証レベルによってこれらの要件も異なります。 ギャップの評価により、組織の現在のサイバーセキュリティ対策レベルについて明らかになることは何ですか?
次のCMMCの最終目標を忘れないでください。FCIとCUIを悪意のあるサイバー攻撃者の手に渡さないようにします。
Entrustは、いつでもお客様をサポートします。
Entrustは、次の9のCMMCドメインの遵守をサポートするソリューションを提供します。
機能
- システムアクセス要件の確立
- 内部システムアクセスの制御
- リモートシステムアクセスの制御
- 承認されたユーザーとプロセスへのデータアクセス制限
- 監査要件の定義
- 監査の実施
- 監査情報の特定と保護
- 監査ログのレビューと管理
- 構成基準の確立
- 構成管理と変更管理の実施
- 認証されたエンティティへのアクセスの許可
- メンテナンスの管理
- メディアの識別とマーク付け
- メディアの保護と制御
- メディアの無害化
- 伝送中のメディアの保護
- 物理的なアクセスを制限
- システムと通信のセキュリティ要件の定義
- システム境界での通信の制御
- 情報システムの欠陥を特定して管理
- 悪意のあるコンテンツを特定
- ネットワークとシステムを監視
- 高度なメール保護を実装