サイバーセキュリティ成熟度モデル認証（CMMC）

サイバーセキュリティ成熟度モデル認証（CMMC）は、米国によって確立されたプログラムです。 米国防総省（DoD）は、それぞれ3つの認証レベルが指定された、14の異なるドメインにわたって外部請負業者の認証を要求することで、連邦契約情報（FCI）および 管理対象非機密情報 （CUI）を保護します。

CMMCは、防衛産業基盤のサプライチェーンに関与する30万社を超える企業など、DoDの契約ネットワーク全体にサイバーセキュリティを実装するための統一規格です。CMMCは、請負業者の情報システムに存在する防衛関連の機密情報への重大な侵害に対する米国防総省による対応策となります。

• この規格は、2020年1月1日にリリースされました。
• DoDは、2020年11月30日から、CMMC要件を一部のRFP/RFIに組み込み始めました。
• 2025年10月1日までに、すべてのDoD契約ネットワークには、少なくとも一定レベルのCMMC認証が必要になります。さらに、DoDがCMMC開発のきっかけとなった一方、今日においては防衛産業基盤企業（DIB）全体でこの規格が広く採用されています。これには国土安全保障省およびその他の連邦政府の省庁も含まれ、特にSolarWinds悪用による大規模サイバー攻撃後にこの規格の積極的な採用が見られます。

歴史的に、請負業者は情報技術システムと、それらのシステムによって保存または送信されるDoDの機密情報のセキュリティを実装、モニタリング、および認証する責任がありました。

2020年11月30日以降、DoDはCMMC要件を一部のRFP、RFI、および調査契約書に組み込み始めました。 2025年10月1日までに、すべてのDoD契約ネットワークには、少なくとも一定レベルのCMMC認証が必要になります。 このモデルは、処理する情報の種類に応じて、基礎、上級、専門家の3つの成熟度レベルで構成されています。 各レベルには、自己評価、サードパーティ評価、または政府主導といったそれぞれ異なる評価要件があります。 ID、証明書、およびデータ保護ソリューションなど、Entrustのデジタルセキュリティポートフォリオは、3つの認証レベルにおける9のCMMCドメインの遵守をサポートします。

組織は連邦契約情報（FCI）などの基本情報を扱っていますか？ それとも、管理対象非機密情報（CUI）を扱っていますか？ FCIにはレベル1の認証が必要ですが、CUIには最低でもレベル2の認証が必要です。

組織の現在のサイバーセキュリティスタンスと、目標とするCMMCレベルの間のギャップはどこにありますか？ ギャップの評価は、CMMCサイバーセキュリティの成熟度を達成するための行動計画とマイルストーンを定義するために非常に重要です。

CMMCには、NIST SP 800-171で指定されているセキュリティ要件のほか、他の規格やスキームなどを参照した追加要件が含まれており、認証レベルによってこれらの要件も異なります。 ギャップの評価により、組織の現在のサイバーセキュリティ対策レベルについて明らかになることは何ですか？

次のCMMCの最終目標を忘れないでください。FCIとCUIを悪意のあるサイバー攻撃者の手に渡さないようにします。