Cybersecurity Maturity Model Certification (CMMC) Version 1.0
こんにちは、丸山満彦です。
米国のOUSD(A&S) (Office of the Under Secretary of Defense for Acquisition & Sustainment Cybersecurity Maturity Model Certification) が提供している、Cybersecurity Maturity Model Certification (CMMC)について、簡単にまとめておきます。
OUSD(A&S)は、防衛産業基盤企業のサプライチェーンにおけるFCI(Federal Contract Information:連邦契約情報)とCUI(Controlled Unclassified Information:管理対象非機密情報)の保護を目的にCMMCを開発しました。
もともとCUIについては、DFARS 252.204-7012とNIST SP 800-171が適用される予定でしたが、それがうまく行かなかったようです。その理由は、次のように言われています。
- 110項目の要件のうち満たせない要件は今後の対応計画(PoAM)を作成すれば良く、実質的にセキュリティリスクを下げていない場合もある
- リスクに応じた要件ではなく、すべてのサプライチェーンに対して一律に同じ要件を課したことにより、費用対効果を踏まえて対応できない組織が多いことが想定された
そこで、米国国防省(DoD)は、2019年にCUIを含む全てのUnclassified情報を扱う調達に対する要件をカバーする仕組みとしてCMMCを適用することを公表しました。
セキュリティ対応について成熟度モデル的に5段階を設け、リスクに応じた適切なレベルの認証を得ることにより、適切なセキュリティ対応ができる仕組みにしたのだろうと思います。CMMCの取り組みは、米国の既存の規則 48CFR 52.204-21(Basic Safeguarding of Covered Contractor Information Systems)、DFARS 252.204-7012(Safeguarding Covered Defense Information and Cyber Incident Reporting) に基づいています。 まずは、2020年6月から認証が始まっていくと思いますが、DoDと取引のあるすべての組織に対する認証が2026年に向けて徐々に進んでいくのだろうと思います。
・2020.01.31 [PDF] CMMC Model V1.0 Briefing
・2020.01.31 [PDF] CMMC Model V1.0
・2020.01.31 [PDF] CMMC Model V1.0 Appendices
- Appendix A: CMMC Model v1.0 in Tabular Form
- Appendix B: Process and Practice Descriptions and Clarifications
- Appendix C: Glossary
- Appendix D: Abbreviations and Acronyms
- Appendix E: Source Mapping
- Appendix F: References
CMMCについては、株式会社エヴァアビエーションのウェブページ「CMMC(サイバーセキュリティ成熟度モデル認証)について」に完結にまとまっていますので、参考にされると良いと思います。
●CMMCのモデル
ベースはCMMIだと思うのですが、ProcessだけのCMMIと異なりProcessとPracticeの2つあるのが特徴です。
ProcessとPracticeのそれぞれに5段階の評価がつけられています。
| 成熟度 | プラクティス | プロセス |
| レベル5 | 上級/プログレッシブ | 最適化されている |
| レベル4 | 積極的 | 見直されている |
| レベル3 | 優れたサイバー対策 (SP800-171相当) |
管理されている |
| レベル2 | 中級サイバー対策 | 文書化されている |
| レベル1 | 基礎的サイバー対策 (48 CFR 52.204-21対応) |
実施されている |
ドメインは17あります。
基本はSP800-171ですが、Asset Management(AM)、Recovery(RE)、Situational Awareness(SA)が追加されています。
| 略語 | Domains | 領域 |
| AC | ACCESS CONTROL | アクセス制御 |
| AM | ASSET MANAGEMENT | 資産管理 |
| AA | AUDIT AND ACCOUNTABILITY | 監査と責任追跡性(説明責任) |
| AT | AWARENESS AND TRAINING | 意識向上と訓練 |
| CM | CONFIGURATION MANAGEMENT | 構成管理 |
| IDA | IDENTIFICATION AND AUTHORIZATION | 識別と認証 |
| IR | INCIDENT RESPONSE | インシデント対応 |
| MA | MAINTENANCE | メンテナンス |
| MP | MEDIA PROTECTION | メディア保護 |
| PS | PERSONNEL SECURITY | 人的セキュリティ |
| PP | PHYSICAL PROTECTION | 物理的保護 |
| RE | RECOVERY | 回復 |
| RM | RISK MANAGEMENT | リスクマネジメント |
| SAS | SECURITY ASSESSMENT | セキュリティアセスメント |
| SA | SITUATIONAL AWARENESS | 状況認識 |
| SCP | SYSTEM AND COMMUNICATIONS PROTECTION | システムと通信の保護 |
| SII | SYSTEM AND INFORMATIONAL INTEGRITY | システムと情報の完全性 |
時間があれば、ぼちぼちと追加していきたいと思います。
« White hat hackers find thousands of vulnerabilities: DoD | Main | US Navy robot submarine would be able to kill without human »
Comments