目次

  1. 概要
  2. CMMCモデルフレームワーク
  3. CMMC文書の附属書(APPENDIX)
  4. CMMCレベル3のNIST SP 800-171以外の「プラクティス」への対応
  5. 参考1.CMMIについて

はじめに

DoDは、調達に関し、防衛産業基盤企業のサプライチェーン全体のセキュリティを強化していくために、CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)の枠組みを開発している。CMMCは、現在Draft版が公開されており、2020年1月に正式版(v1.0)がリリースされ、その後順次適用を進めていく計画となっている。

CMMCの情報は、OUSD(A&S)[Office of the Under Secretary of Defense for Acquisition and Sustainment:調達と持続性のための国防長官室のサイト]に公開されている。

現在はv1.0が公開されているが、本稿ではv0.7 Draft版(2019年12月)をもとに、CMMCの概要を紹介する。

1.概要

OUSD(A&S)は、防衛産業基盤企業のサプライチェーンにおける、FCI(Federal Contract Information:連邦契約情報)とCUI(Controlled Unclassified Information:管理対象非機密情報)の保護を目的に、CMMCを開発している。

CMMCの開発に当たっては、DoDのステークホルダー、UARC(University Affiliated Research Centers:大学関連研究センター)、FFRDC(Federally Funded Research and Development Centers:連邦資金研究開発センター)、産業界と協力している。

ジョンズ・ホプキンズ大学 応用物理学研究所(APL)およびカーネギーメロン大学 ソフトウェア工学研究所(SEI)と協力して、さまざまなサイバーセキュリティ標準をレビューし、サイバーセキュリティの1つの統一標準としてCMMCに統合している。

CMMCは、FCIとCUIを保護する防衛産業基盤企業の能力を測定するためのDoD認証プロセスである。

CMMCは、成熟度モデルの構成をとっており、ソフトウェア開発等の成熟度モデルとして確立されているCMMI(Capability Maturity Model Integration:能力成熟度モデル統合)と同様に、定義された領域に対し、実施すべきプロセス、プラクティスが成熟度レベルにマップされている。 [ CMMIの概要については、「参考1.CMMIの概要」を参照。 ]

CMMCは、さまざまなサイバーセキュリティ基準を組み合わせ、基本的なサイバー予防策から高度なプラクティスまで、ベストプラクティスとプロセスを成熟度レベル(レベル1〜5)にマップしている。

CMMCの取り組みは、米国の既存の規則 48CFR 52.204-21、DFARS 252.204-7012に基づいている。

CMMCは、NIST SP 800-171 rev.1、 Draft NIST SP 800-171B、英国のCyber Essentials、オーストラリアのEssential Eight等、複数の出典からプラクティスを組み込んでいる。

CMMCは、サイバーセキュリティ要件の実装を検証するための認証の枠組みも含んでいる。

CMMCは、多層サプライチェーンの下請け事業者へのフローダウンを考慮し、防衛産業基盤企業がリスクに見合ったレベルでCUIを適切に保護できることについて、認証するように設計されている。下請け事業者も含め、DoDの案件を受託するサプライチェーン各社は、CUIの取扱いの有無にかかわらず、CMMCの認証を取得する必要がでてくる見込みである。

CMMCは、2019年9月にv0.4 Draft版、2019年11月にv0.6 Draft版をパブリック・レビュー用に公開し、見直しを行い、2019年12月のv0.7 Draft版でレベル1〜3のプロセスとプラクティスの一部変更と、レベル1〜5の詳細を公開している。