研究大学がCMMCレベル2準拠に備えるには

サイバーセキュリティ成熟度モデル認証 (CMMC) は、連邦政府の情報を扱う組織が適切なサイバーセキュリティ制御を維持していることを証明するために策定された、米国国防総省 (DoD) のフレームワークです。 CMMCは、政府機関や防衛関連請負業者に適用されると考えられることがよくありますが、米国国防総省の資金提供を受けるプロジェクトに携わる研究大学も、研究データや技術仕様書などの管理対象非機密情報 (CUI) を保護する必要がある場合があります。 政府資金による研究や連邦政府の助成金を獲得する研究大学は、受給資格を維持し、機密データを保護するために、最新の要件を遵守しなければなりません。 研究大学がCMMCレベル2への準拠に向けた準備を進めるには、CUIがどこに存在しているかを特定し、アクセス制御を強化し、機密データを保護するために必要なセキュリティ対策を実施する必要があります。

以下では、CMMCレベル2の詳細、それが研究大学にとって重要である理由、KeeperがCMMCへの準拠をどのように支援するかについてご紹介します。

CMMCレベル2とは

CMMCには複数の認証レベルがありますが、米国国防総省の資金提供を受ける研究に携わる機関は、CMMCレベル2の要件を求められることが多くあります。CMMCレベル2は、CUIを保管、処理、共有する組織に適用され、機密性の高い政府情報が潜在的なサイバー攻撃の脅威や不正アクセスから確実に保護されることを目的としています。 CMMCレベル2は、米国国立標準技術研究所 (NIST) の特別刊行物800-171に規定されているセキュリティ制御と整合しています。同刊行物は、連邦政府以外の組織がCUIを保護できるよう支援することを目的としたフレームワークです。 そこで定められている110のセキュリティ制御は、アクセス制御、認証、インシデント対応、データ整合性を含んでおり、幅広いサイバーセキュリティ対策を網羅しています。

CMMCレベル2が研究大学にとって重要な理由

政府機関を標的としたサイバー攻撃の脅威が増加し続ける中、政府機関はゼロトラストのセキュリティ原則を採用しつつありますが、CMMCの要件は、従来の防衛関連請負業者だけに限定して適用されるわけではありません。 政府資金による多くの研究プロジェクトには、機密性の高いデータ、研究成果、試験結果、その他の形態のCUIが含まれているため、研究大学にとってCMMCレベル2は特に重要です。 各機関がCMMCレベル2の認証を取得するには、CUIのライフサイクル全体を通じて適切なセキュリティ制御措置が講じられていることを実証する必要があります。

米国国防総省の契約においてCMMCを義務付ける施行規則 (48 CFR) は、2025年11月10日に発効しました。現在国防総省の契約には、段階的なスケジュールに従ってCMMCの要件が適用されています。 第1段階では、ほとんどの要件はレベル1またはレベル2の自己評価の形式をとりますが、一部の契約では、第三者評価機関 (C3PAO) によるレベル2の認証がすでに義務付けられています。 レベル2 C3PAO認証に関する広範な要件は、2026年11月10日より施行されます。 具体的な要件は契約の詳細や取り扱う情報によって異なります。 現在または将来、米国国防総省の資金提供を受けるプロジェクトに携わる研究大学は、今すぐセキュリティ態勢を評価して、認証に向けた準備を開始しなければなりません。

研究大学がCMMC準拠のために実施すべきこと

CMMCレベル2の準拠に向けた準備を行うにあたり、研究大学は、自組織の環境内でCUIがどこに存在しているかを把握し、現在のセキュリティ制御の評価を行い、継続的なコンプライアンスへの取り組みを支援する必要があります。 CMMCレベル2の準拠に積極的に取り組むことで、組織はセキュリティ上の課題を早期に特定し、機密データを保護するためのより強固な基盤を構築することができます。

CUIの所在を特定

セキュリティ制御措置を実施する前に、研究大学は、CUIが組織全体でどこに保存され処理されているかを理解する必要があります。 CUIは、研究データベース、研究室システム、クラウドプラットフォーム、教員や研究者が使用するデバイスに存在しています。 大学は多くの場合、複数の学部やプログラムにまたがって運営されているため、機密情報を完全に把握するのが困難な場合があります。 またCUIは多くの場合、メールメッセージ、共有ドライブ、教員所有のデバイスなど、専用の研究環境以外にも存在する可能性があります。 これらのデータソースを特定することは、どのユーザーとシステムを追加のセキュリティ制御の対象にするかを決定する上で、重要な第一歩となります。

徹底したセキュリティギャップの評価を実施

CUIが特定されたら、研究大学は、現在の自校のセキュリティ施策がNIST SP 800-171で規定されている要件と比較して、どのように異なるかを評価する必要があります。 これには、既存のアクセス制御、監視機能、インシデント対応計画、監査プロセスの見直しが含まれていなければなりません。 また特権アカウントも把握し、アクセス権限を精査して、ユーザーのロールに必要な範囲を超えてアクセスが許可されていないかを判断する必要があります。 多くの機関は既にセキュリティ対策を講じているものの、それらの対策が学部やプログラム全体で一貫して実施されているとは限りません。

安全な研究環境を実装

研究環境においては、CUIへのアクセスは、許可されたユーザーとシステムのみに制限するように構築する必要があります。 アクセスを制限することで、データの漏洩を減らし、機密情報の不正開示を予防できます。 IDおよびアクセス管理 (IAM) ソリューションは、職務の遂行に必要な権限のみをユーザーに付与することで、大学が最小権限アクセスを適用するのに役立ちます。 またCUIが含まれるシステムにアクセスするすべてのアカウントには、多要素認証 (MFA) を義務付けることが求められます。リモートアクセス環境も例外ではありません。 強力なアイデンティティ管理とアクセス制御を実施することは、内部脅威を最小限に抑え、IDと認証に関するCMMCレベル2の要件を満たすのに役立ちます。

SSPとPOAMを文書化

正確なシステムセキュリティ計画 (SSP) および行動計画とマイルストーン (POAM) を維持することで、将来の評価作業を簡素化し、CMMCレベル2の要件への準拠を実証できます。 SSPは、組織のセキュリティ制御を文書化し、その実施方法と管理方法を定義するものです。 またPOAMは、セキュリティギャップとそれに対処するために必要な対策を特定します。 システムや研究環境が時間の経過とともに変化する中で、こうした情報は、常に正確であり続けなければなりません。そのため大学は、この文書化を一度限りの作業ではなく、継続的なプロセスとして扱う必要があります。

C3PAOによる監査に備える

CMMCレベル2の認証を目指す研究大学は、C3PAOによる評価を受けることが求められます。 これらの評価に備えるには、セキュリティ制御を実施するだけでなく、それらの対策が適切に機能していることを証明しなければなりません。 そのため、セキュリティ対策の有効性を裏付ける証拠を保管する必要があります。これには、詳細な監査証跡、アクセスレコード、セキュリティポリシー、トレーニングレコードが含まれます。 こうした情報を事前に収集しておくことで、評価プロセスを効率化し、正式な審査に向けた準備の負担を軽減できます。

Keeper^®がCMMC 2.0への準拠を支援する方法

CUIを扱う組織には、強力なアクセス制御、ユーザーアクティビティの完全な可視性、セキュリティ制御が効果的に機能していることを証明する能力が求められます。 CMMCレベル2への準拠を達成するには、人、技術、プロセスを組み合わせることが必要であり、Keeper Security公的機関向けクラウド (KSGC) を導入することで、組織はCUIを保護し、CMMC準拠に向けた取り組みをサポートする複数のセキュリティ制御を強化することができます。 FedRAMP High認証取得プラットフォームであるKeeperによって、研究大学は、機密情報を保護し、特権アクセスを制御し、環境全体で監査対応可能な可視性を維持するためのツールが手に入ります。

研究大学がCMMC 2.0の準拠に向けて取り組むにあたり、KSGCを活用すると以下のことが可能になります。

Keeperを活用して、CMMCレベル2準拠に備えましょう

研究大学が米国国防総省の資金提供を受ける研究に引き続き携わる中で、機密情報を保護し、将来の研究参加資格を維持するには、CMMCへの準拠がますます重要になっています。 CMMCレベル2は、特にCUIの保護に重点を置いているため、各機関は、コンプライアンスが義務化されるまで待つのではなく、できるだけ早く自組織のセキュリティ態勢の評価に着手する必要があります。ぜひデモをお申し込みいただき、KSGCが、アクセス制御の強化、CUIの保護、CMMCレベル2への対応準備をどのようにサポートするかをご体験ください。