« White hat hackers find thousands of vulnerabilities: DoD | Main | US Navy robot submarine would be able to kill without human »

2020.03.09

Cybersecurity Maturity Model Certification (CMMC) Version 1.0

こんにちは、丸山満彦です。

米国のOUSD(A&S) (Office of the Under Secretary of Defense for Acquisition & Sustainment Cybersecurity Maturity Model Certification) が提供している、Cybersecurity Maturity Model Certification (CMMC)について、簡単にまとめておきます。

OUSD(A&S)は、防衛産業基盤企業のサプライチェーンにおけるFCI(Federal Contract Information:連邦契約情報)とCUI(Controlled Unclassified Information:管理対象非機密情報)の保護を目的にCMMCを開発しました。

もともとCUIについては、DFARS 252.204-7012とNIST SP 800-171が適用される予定でしたが、それがうまく行かなかったようです。その理由は、次のように言われています。

  • 110項目の要件のうち満たせない要件は今後の対応計画(PoAM)を作成すれば良く、実質的にセキュリティリスクを下げていない場合もある
  • リスクに応じた要件ではなく、すべてのサプライチェーンに対して一律に同じ要件を課したことにより、費用対効果を踏まえて対応できない組織が多いことが想定された

そこで、米国国防省(DoD)は、2019年にCUIを含む全てのUnclassified情報を扱う調達に対する要件をカバーする仕組みとしてCMMCを適用することを公表しました。

セキュリティ対応について成熟度モデル的に5段階を設け、リスクに応じた適切なレベルの認証を得ることにより、適切なセキュリティ対応ができる仕組みにしたのだろうと思います。CMMCの取り組みは、米国の既存の規則 48CFR 52.204-21(Basic Safeguarding of Covered Contractor Information Systems)DFARS 252.204-7012(Safeguarding Covered Defense Information and Cyber Incident Reporting)  に基づいています。 まずは、2020年6月から認証が始まっていくと思いますが、DoDと取引のあるすべての組織に対する認証が2026年に向けて徐々に進んでいくのだろうと思います。

OUSD(A&S)

CMMC V1.0

 ・2020.01.31 [PDF] CMMC Model V1.0 Briefing

 ・2020.01.31 [PDF] CMMC Model V1.0

 ・2020.01.31 [PDF] CMMC Model V1.0 Appendices

  • Appendix A: CMMC Model v1.0 in Tabular Form
  • Appendix B: Process and Practice Descriptions and Clarifications
  • Appendix C: Glossary
  • Appendix D: Abbreviations and Acronyms
  • Appendix E: Source Mapping
  • Appendix F: References

 

 

 

CMMCについては、株式会社エヴァアビエーションのウェブページ「CMMC(サイバーセキュリティ成熟度モデル認証)について」に完結にまとまっていますので、参考にされると良いと思います。

●CMMCのモデル

ベースはCMMIだと思うのですが、ProcessだけのCMMIと異なりProcessPracticeの2つあるのが特徴です。

20200309-25612

ProcessとPracticeのそれぞれに5段階の評価がつけられています。

20200309-30014

成熟度 プラクティス プロセス
レベル5 上級/プログレッシブ  最適化されている
レベル4 積極的  見直されている
レベル3 優れたサイバー対策
(SP800-171相当)
管理されている
レベル2 中級サイバー対策 文書化されている
レベル1 基礎的サイバー対策
(48 CFR 52.204-21対応)
実施されている

 

ドメインは17あります。

20200309-30741

基本はSP800-171ですが、Asset Management(AM)、Recovery(RE)、Situational Awareness(SA)が追加されています。

略語 Domains 領域
AC ACCESS CONTROL アクセス制御
AM ASSET MANAGEMENT 資産管理
AA AUDIT AND ACCOUNTABILITY 監査と責任追跡性(説明責任)
AT AWARENESS AND TRAINING 意識向上と訓練
CM CONFIGURATION MANAGEMENT 構成管理
IDA IDENTIFICATION AND AUTHORIZATION 識別と認証
IR INCIDENT RESPONSE インシデント対応
MA MAINTENANCE メンテナンス
MP MEDIA PROTECTION メディア保護
PS PERSONNEL SECURITY 人的セキュリティ
PP PHYSICAL PROTECTION 物理的保護
RE RECOVERY 回復
RM RISK MANAGEMENT リスクマネジメント
SAS SECURITY ASSESSMENT セキュリティアセスメント
SA SITUATIONAL AWARENESS 状況認識
SCP SYSTEM AND COMMUNICATIONS PROTECTION システムと通信の保護
SII SYSTEM AND INFORMATIONAL INTEGRITY システムと情報の完全性

20200309-31926

 

時間があれば、ぼちぼちと追加していきたいと思います。

 

|

« White hat hackers find thousands of vulnerabilities: DoD | Main | US Navy robot submarine would be able to kill without human »

Comments

Post a comment



(Not displayed with comment.)




« White hat hackers find thousands of vulnerabilities: DoD | Main | US Navy robot submarine would be able to kill without human »