DoDは、調達に関し、防衛産業基盤企業(DIB)のサプライチェーン全体のセキュリティを強化していくために、CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)の枠組みを開発している。CMMCの情報は、OUSD(A&S)[Office of the Under Secretary of Defense for Acquisition and Sustainment:調達と持続性のための国防長官室のサイト]に公開されている。

 CMMCの概要を紹介する。(本記事は、2019年12月時点のものである。なお、2021年10月にはV2.0が出される計画。)

1.概要

 OUSD(A&S)は、防衛産業基盤企業のサプライチェーンにおける、FCI(Federal Contract Information:連邦契約情報)とCUI(Controlled Unclassified Information:管理対象非機密情報)の保護を目的に、CMMCを開発した。

 CMMCの開発に当たっては、DoDのステークホルダー、UARC(University Affiliated Research Centers:大学関連研究センター)、FFRDC(Federally Funded Research and Development Centers:連邦資金研究開発センター)、産業界と協力している。また、ジョンズ・ホプキンズ大学 応用物理学研究所(APL)およびカーネギーメロン大学 ソフトウェア工学研究所(SEI)と協力して、さまざまなサイバーセキュリティ標準をレビューし、サイバーセキュリティの1つの統一標準としてCMMCに統合している。

 CMMCは、成熟度モデルの構成をとっており、定義された領域に対し、実施すべきプロセス、プラクティスが成熟度レベルにマップされている。

 CMMCは、さまざまなサイバーセキュリティ基準を組み合わせ、基本的なサイバー予防策から高度なプラクティスまで、ベストプラクティスとプロセスを成熟度レベル(レベル1〜5)にマッピングしている。

 CMMCは、NIST SP 800-171 rev.1、NIST SP 800-172、英国のCyber Essentials、オーストラリアのEssential Eight等、複数の出典からプラクティスを組み込んでいる。CMMCは、サイバーセキュリティ要件の実装を検証するための認証の枠組みも含んでいる。CMMCは、多層サプライチェーンの下請け事業者へのフローダウンを考慮し、防衛産業基盤企業がリスクに見合ったレベルでCUIを適切に保護できることについて、認証するように設計されている。下請け事業者も含め、DoDの案件を受託するサプライチェーン各社は、CUIの取扱いの有無にかかわらず、CMMCレベル1の認証は取得する必要がある。

 CMMCは、2021年10月にはv2.0がリリースされる計画である。v2.0では、主にNIST SP 800-53 Rev.5に用語等をあわせたものになると言われている。