公的機関向け 
ますます高度化するサイバー攻撃の脅威に連邦政府機関が
米国国防総省 (DoD) は、サイバーセキュリティ成熟度モデル認証 (CMMC) を2020年初頭に導入しました。これは、防衛産業基盤 (DIB) 全体のサイバーセキュリティを強化するとともに、管理された非機密情報 (CUI) を扱う請負業者に対し、米国国立標準技術研究所 (NIST) が定義する厳格なサイバーセキュリティ基準への準拠を徹底させることを目的としています。
2025年11月10日、CMMCにおけるDoDの最終調達規則が正式に施行されました。これにより、DoD契約にはCMMC要件が含まれるようになり、今後数年間で段階的に導入されることになります。
CMMCには3つのレベルがあり、その要件はレベルによって異なります。 CMMCレベル1には15の制御が定められており、連邦契約情報 (FCI) のみでCUIを含まない契約に適用されます。 請負業者は自己評価を行う必要がありますが、第三者の評価は不要です。 CMMCレベル2には110の制御があり、NIST SP 800-171の制御と同一のものです。 これはCUIを扱う契約に適用されます。 多くの契約において、CMMC第三者評価機関 (C3PAO) によるサードパーティの評価を通じたCMMCレベル2の認証が求められるようになります。 そしてCMMCレベル3では、レベル2の制御に加え、24のさらに厳格なセキュリティ制御が要求され、すべての契約において第三者による評価が必要となります。
新しいCMMCのスケジュール
国防総省は、今後数年かけてCMMCを展開していく予定です。 CUIを扱う請負業者にとり、展開における各フェーズが意味する内容と、現時点でのスケジュールを以下に示します。
- フェーズ1はすでに開始されています。CUIを扱う請負業者は、国防総省との契約資格を得るために、CMMCレベル2を満たしていることを自己評価する必要があります。 場合によっては、国防総省がレベル2で求められる第三者による評価を要求することもあります。
- フェーズ2は2026年11月に開始され、レベル2の契約において、自己評価だけでなく第三者による認証が必要となります。
- フェーズ3は2027年11月に開始される予定で、延期されない限り、CMMCレベル3の第三者による認証がすべての新規契約に要求されます。 なお、国防総省(DoD)は、一部の契約について、同要件の適用を契約のオプション期間まで延期する可能性があります。
- フェーズ4は最終フェーズで、2028年11月に開始される予定です。 CMMCの要件は、該当するすべての契約に適用されます。
請負業者にとって何を意味するのか
貴社がCUIまたはFCIを扱っている場合、今後の要請にはCMMC要件が含まれることになります。 次のステップに重点を置いて準備してください。
- クラウドコンプライアンスの検証: CMMCでは、CUIを保管または処理するクラウドサービスに対し、FedRAMP Moderate (中レベル) 認証あるいはそれと同程度のものが要求されます。 クラウドサービスプロバイダーを利用している場合は、各クラウドサービスの契約を評価し、FedRAMP Moderate認証を取得していることを確認する必要があります。
- CUI環境の定義: CUIの所在地をマッピングし、CUIとやり取りするシステム、ネットワーク、アプリケーション、ユーザーを特定します。
- レベル2で求められる全110の制御の確認: セキュリティの隙を特定し、どのカテゴリーで追加のサポートが必要かを書き留め、優先順位を付けて改善します。 レベル2のカテゴリーには、アクセス制御 (AC)、意識向上とトレーニング、監査と説明責任 (AU)、環境設定管理 (CM) などがあります。
- すべてを文書化: アクセスポリシー、監査、環境設定の明確な記録を維持します。 自己評価を行う場合でも、第三者評価の準備をする場合でも、明確な文書を用意しておくことで、CMMCの完全な遵守を達成するためにかかる時間を短縮できます。
なぜ特権アクセス管理が重要なのか、そしてKeeperはどのように役立つのか
特権アクセス管理 (PAM) ソリューションは、機密性の高いシステムやデータにアクセスする権限を持つアカウントを管理し、保護することで、サイバー攻撃のリスクを低減します。 PAMソリューションは、CMMCで要求される多くの制御、特にアクセス制御 (AC)、本人確認と認証 (IA)、システムと通信の保護 (SC) に関連する基準を満たすのに役立ちます。
組織のセキュリティ態勢がどの程度強力かをセキュリティチームが完全に把握できていないことは、現代では珍しくありません。Keeper Security公的機関向けクラウド (KSGC) は、パスワードの使い回しや漏洩した認証情報を可視化し、組織がパスワードポリシーを設定および監視できるようにすることで、セキュリティの隙を解消します。 またKSGCは、脆弱性を監視して管理者に警告し、サイバー被害が発生する前に先回りしてリスク管理を行えるようにします。
KSGCはFedRAMP High (高レベル) 認証を取得しており、機密情報の保護を必要とする国防総省の請負業者に最適です。Keeperは、重要なパスワードセキュリティとアクセス管理要件に対応することで、厳格化されるCMMC要件に企業が準拠するのを支援し、CMMCコンプライアンスを実証する際の負担を軽減します。
KeeperがCMMCフレームワークにどう適合しているかをご理解いただけるよう、弊社はサードパーティのCMMC専門家と共同し、Keeperの機能を特定のCMMC制御にマッピングしました。 その専門家とは、ガバナンス、リスク、コンプライアンス (GRC) 認証の提供企業であるTEKFusedのCEOを務めるジェイコブ・ヒル氏です。 ヒル氏は、WGUでサイバーセキュリティの修士号を取得し、17年以上の経験を持つ専門家で、CMMC認証評価者、CMMC暫定インストラクター、CISSP-ISSEP、CySA+など複数の資格を有しています。 またCVEも公開しており、ヒル氏によるセキュリティ関連記事は、Brian KrebsのセキュリティブログやInfosecurity Magazineで紹介されています。
*免責条項: 上記のボタンをクリックすると、コンピューターにファイルがダウンロードされます。
サイバーセキュリティの意識的な実践、強力なアクセス管理ポリシー、KSGCのようなプラットフォームを組み合わせることで、請負業者は早めに準備を進め、コンプライアンス要件を先取りし、国防総省との契約に備えることができます。詳細については、ぜひデモをご依頼の上、ご確認ください。
