米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0
こんにちは、丸山満彦です。
防衛省への納品する組織についてのセキュリティ認証ですが、、、先日サイバーセキュリティ成熟度モデル認証(CMMC)2.0について発表されていますね。。。2020年9月にCMMC1.0が公開されていますので、それから約1年ちょっとで2.0に進化するということのようですね。。。
成熟度モデルも、1.0の5段階から2.0では3段階(基礎、上級、エキスパート)へと簡素化されているようですね。。。(合理化ということのようです。。。)
ISMS認証的なものになりそうですね。。。
https://www.acq.osd.mil/cmmc/about-us.html
● U.S. Department of Defense - News
・2021.11.04 (release) Strategic Direction for Cybersecurity Maturity Model Certification (CMMC) Program
・SECURING THE DEFENSE INDUSTRIAL BASE - CMMC 2.0
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・
・2020.04.19 COVID-19によりDODのサイバーセキュリティ認証(CMMC)の開始が遅れる?
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
・SECURING THE DEFENSE INDUSTRIAL BASE - CMMC 2.0
Cybersecurity is a top priority for the Department of Defense. | サイバーセキュリティは、国防総省の最重要課題です。 |
The Defense Industrial Base (DIB) is the target of increasingly frequent and complex cyberattacks. To protect American ingenuity and national security information, the DoD developed CMMC 2.0 to dynamically enhance DIB cybersecurity to meet evolving threats and safeguard the information that supports and enables our warfighters. | 国防産業基盤(DIB)は、ますます頻繁で複雑なサイバー攻撃の標的となっています。米国の創意工夫と国家安全保障情報を保護するために、国防総省はCMMC 2.0を開発し、DIBのサイバーセキュリティを動的に強化して、進化する脅威に対応し、戦力を支える情報を保護しています。 |
OVERVIEW OF THE CMMC PROGRAM | CMMCプログラムの概要 |
The Cybersecurity Maturity Model Certification (CMMC) program enhances cyber protection standards for companies in the DIB. It is designed to protect sensitive unclassified information that is shared by the Department with its contractors and subcontractors. The program incorporates a set of cybersecurity requirements into acquisition programs and provides the Department increased assurance that contractors and subcontractors are meeting these requirements. | サイバーセキュリティ・モデル認証(CMMC)プログラムは、DIBの企業のサイバー保護基準を強化します。このプログラムは、DIBがその請負業者や下請け業者と共有する機密性の高い非分類情報を保護するために設計されています。このプログラムは、買収プログラムに一連のサイバーセキュリティ要件を組み込み、請負業者や下請け業者がこれらの要件を満たしていることを省庁がより強く保証するものです。 |
The framework has three key features: | このフレームワークには3つの重要な特徴があります。 |
・Tiered Model: CMMC requires that companies entrusted with national security information implement cybersecurity standards at progressively advanced levels, depending on the type and sensitivity of the information. The program also sets forward the process for information flow down to subcontractors. | ・階層モデル:CMMCは、国家安全保障に関わる情報を預かる企業に対し、その情報の種類や機密性に応じて、段階的に高度なレベルのサイバーセキュリティ基準を導入することを求めています。また、下請け企業への情報伝達のプロセスも定められています。 |
・Assessment Requirement: CMMC assessments allow the Department to verify the implementation of clear cybersecurity standards. | ・評価要件:CMMCの評価により、明確なサイバーセキュリティ基準が実施されているかどうかを確認することができます。 |
・Implementation through Contracts: Once CMMC is fully implemented, certain DoD contractors that handle sensitive unclassified DoD information will be required to achieve a particular CMMC level as a condition of contract award. | ・契約による導入:CMMCが完全に導入されると、機密性の高い未分類の国防総省情報を扱う特定の国防総省の請負業者は、契約締結の条件として特定のCMMCレベルを達成することが求められる。 |
THE EVOLUTION TO CMMC 2.0 | CMMC 2.0への進化 |
In September 2020, the DoD published an interim rule to the DFARS in the Federal Register (DFARS Case 2019-D041), which implemented the DoD’s initial vision for the CMMC program (“CMMC 1.0”) and outlined the basic features of the framework (tiered model, required assessments, and implementation through contracts). The interim rule became effective on November 30, 2020, establishing a five-year phase-in period. | 2020年9月、国防総省はDFARSの暫定規則を連邦官報に掲載し(DFARS Case 2019-D041)、CMMCプログラムに対する国防総省の当初のビジョン(「CMMC 1.0」)を実施し、フレームワークの基本的な特徴(階層モデル、必要な評価、契約による実施)を概説した。暫定規則は2020年11月30日に発効し、5年間の段階的導入期間を設けた。 |
In March 2021, the Department initiated an internal review of CMMC’s implementation, informed by more than 850 public comments in response to the interim DFARS rule. This comprehensive, programmatic assessment engaged cybersecurity and acquisition leaders within DoD to refine policy and program implementation. | 2021年3月、同省はDFARS暫定規則に対する850件以上のパブリックコメントを参考に、CMMCの導入に関する内部レビューを開始しました。この包括的かつプログラム的な評価では、国防総省内のサイバーセキュリティと買収のリーダーが参加し、政策とプログラムの実施を改善しました。 |
In November 2021, the Department announced “CMMC 2.0,” an updated program structure and requirements designed to achieve the primary goals of the internal review: | 2021年11月、国防総省は「CMMC 2.0」を発表しました。これは、内部レビューの主な目標を達成するために設計された、プログラム構造と要件の更新です。 |
Safeguard sensitive information to enable and protect the warfighter | 機密情報を保護し、戦闘員の活動を可能にし、保護する |
Dynamically enhance DIB cybersecurity to meet evolving threats | DIBのサイバーセキュリティをダイナミックに強化し、進化する脅威に対応する。 |
Ensure accountability while minimizing barriers to compliance with DoD requirements | 説明責任を果たすとともに、国防総省の要求事項を遵守するための障害を最小限に抑えること |
Contribute towards instilling a collaborative culture of cybersecurity and cyber resilience | サイバーセキュリティとサイバーレジリエンスの協力的な文化を浸透させることに貢献すること |
Maintain public trust through high professional and ethical standards | 高い専門性と倫理基準により国民の信頼を維持する |
KEY FEATURES OF CMMC 2.0 | CMMC 2.0の主な特徴 |
With the implementation of CMMC 2.0, the Department is introducing several key changes that build on and refine the original program requirements. These are: | CMMC 2.0の導入に伴い、国防総省は当初のプログラム要件を基に改良を加えたいくつかの重要な変更点を導入します。それは以下の通りです。 |
Streamlined Model | 効率的なモデル |
・Focused on the most critical requirements:Streamlines the model from 5 to 3 compliance levels | ・最も重要な要件に焦点を当てています:モデルを5段階から3段階にスリム化しました。 |
・Aligned with widely accepted standards:Uses National Institute of Standards and Technology (NIST) cybersecurity standards | ・広く受け入れられている基準との整合性:米国標準技術局(NIST)のサイバーセキュリティ基準を採用 |
Reliable Assessments | 信頼性の高い評価 |
・Reduced assessment costs:Allows all companies at Level 1 (Foundational), and a subset of companies at Level 2 (Advanced) to demonstrate compliance through self-assessments | ・評価コストの削減:レベル1(基礎)のすべての企業と、レベル2(上級)の一部の企業が、自己評価によってコンプライアンスを証明できるようになります。 |
・Higher accountability:Increases oversight of professional and ethical standards of third-party assessors | ・アカウンタビリティの向上:第三者評価者の専門的・倫理的水準の監視を強化します。 |
Flexible Implementation | 柔軟な実施 |
・Spirit of collaboration:Allows companies, under certain limited circumstances, to make Plans of Action & Milestones (POA&Ms) to achieve certification | ・協働の精神:限られた状況下で、企業が認証取得のための行動計画(POA&M)を策定することを認める。 |
・Added flexibility and speed:Allows waivers to CMMC requirements under certain limited circumstances | ・柔軟性とスピードの向上:限られた状況下でCMMCの要求事項を免除することができる |
RULEMAKING AND TIMELINE FOR CMMC 2.0 | CMMC 2.0の規則制定とタイムライン |
The changes reflected in CMMC 2.0 will be implemented through the rulemaking process. Companies will be required to comply once the forthcoming rules go into effect. The Department intends to pursue rulemaking both in Part 32 of the Code of Federal Regulations (C.F.R.) as well as in the Defense Federal Acquisition Regulation Supplement (DFARS) in Part 48 of the C.F.R. Both rules will have a public comment period. Stakeholder input is critical to meeting the objectives of the CMMC program, and the Department will actively seek opportunities to engage stakeholders as it drives towards full implementation. | CMMC 2.0に反映された変更点は、規則制定プロセスを通じて実施されます。CMMC 2.0に反映された変更は、規則制定プロセスを通じて実施されます。CMMC 2.0は、米国連邦規則集(C.F.R.)のパート32と、米国国防省連邦調達規則補足(DFARS)のパート48の両方で規則化を進める予定です。CMMCプログラムの目的を達成するためには、ステークホルダーからの意見が非常に重要であり、米国防総省は、完全実施に向けてステークホルダーを巻き込む機会を積極的に模索していきます。 |
While these rulemaking efforts are ongoing, the Department intends to suspend the current CMMC Piloting efforts and will not approve inclusion of a CMMC requirement in any DoD solicitation. | これらの規則作成作業が進行中である間、国防総省は現在のCMMCパイロット作業を中断し、国防総省のいかなる募集にもCMMC要件を含めることを承認しない予定です。 |
The Department encourages contractors to continue to enhance their cybersecurity posture during the interim period while the rulemaking is underway. The Department has developed Project Spectrum to help DIB companies assess their cyber readiness and begin adopting sound cybersecurity practices. | 当省では、規則を策定中は、契約企業が引き続きサイバーセキュリティの態勢を強化することを奨励しています。当省は、DIB企業がサイバー対策の準備状況を評価し、健全なサイバーセキュリティ対策の採用を開始できるよう、プロジェクト・スペクトラムを開発しました。 |
The DoD is exploring opportunities to provide incentives for contractors who voluntarily obtain a CMMC certification in the interim period. Additional information will be provided as it becomes available. | 国防総省は、暫定期間中に自主的にCMMC認証を取得した請負業者にインセンティブを提供する機会を検討しています。追加情報は、入手可能になった時点で提供します。 |
PROTECTED INFORMATION | 保護される情報 |
The CMMC model is designed to protect Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) that is shared with contractors and subcontractors of the Department through acquisition programs. | CMMCモデルは、連邦契約情報(FCI)と、取得プログラムを通じて政府の請負業者や下請け業者と共有される管理下非分類情報(CUI)を保護するように設計されています。 |
In alignment with section 4.1901 of the Federal Acquisition Regulation (FAR), FCI is defined as information, not intended for public release, that is provided by or generated for the Government under a contract to develop or deliver a product or service to the Government, but not including information provided by the Government to the public (such as that on public websites) or simple transactional information, such as that necessary to process payments. | 連邦調達規則(FAR)のセクション4.1901に沿って、FCIは、製品やサービスを開発または提供する契約に基づいて政府から提供された、または政府のために作成された、一般公開を目的としない情報と定義されています。政府から一般に提供された情報(公開ウェブサイト上の情報など)や、支払い処理に必要な情報などの単純な取引情報は含まれません。 |
CUI is information the Government creates or possesses, or that an entity creates or possesses for or on behalf of the Government, that a law, regulation, or Government-wide policy requires or permits an agency to handle using safeguarding or dissemination controls. | CUIとは、政府が作成もしくは保有する情報、または政府に代わって組織体が作成もしくは保有する情報であり、法律、規則、または政府全体の方針により、省庁が保障措置や普及管理を用いて取り扱うことが要求または許可されているものです。 |
The CUI Registry provides information on specific CUI categories and subcategories and can be accessed through the National Archives and DoD websites. | CUI登録簿は、特定のCUIカテゴリーおよびサブカテゴリーに関する情報を提供しており、国立公文書館および国防総省のウェブサイトからアクセスできます。 |
KEY CHANGES INCORPORATED UNDER THE CMMC 2.0 FRAMEWORK | CMMC 2.0 フレームワークの主な変更点 |
With the implementation of CMMC 2.0, the Department intends to introduce the following changes to the CMMC Model relative to CMMC 1.0: | CMMC 2.0の導入に伴い、国防総省はCMMC 1.0と比較してCMMCモデルに以下のような変更を加える予定です。 |
Levels | レベル |
CMMC 1.0 | CMMC 1.0 |
5 increasingly progressive levels from Basic to Advanced | ベーシックからアドバンスまでの5つの段階的なレベル |
Levels 2 and 4 intended as transition stages between Levels 1, 3, and 5 | レベル1、3、5の間の移行段階としてのレベル2、4 |
CMMC 2.0 | CMMC 2.0 |
3 increasingly progressive levels: | 3つの段階的なレベル。 |
Foundational / Level 1 (same as previous level 1) | 基礎/レベル1(1.0のレベル1と同等) |
Advanced / Level 2 (previous level 3) | 上級/レベル2(1.0のレベル3と同等) |
Expert / Level 3 (previous level 5) | エキスパート/レベル3(1.0ののレベル5と同等) |
Requirements at Each Level | 各レベルの要求事項 |
CMMC 1.0 | CMMC 1.0 |
Requirements include cybersecurity standards and maturity processes at each level | 各レベルの要件には、サイバーセキュリティ基準と成熟度プロセスが含まれる |
Cybersecurity standards consist of certain requirements from NIST SP 800-171 as well as CMMC-unique standards | サイバーセキュリティ基準は、NIST SP 800-171の一部の要件とCMMC独自の基準で構成されている。 |
CMMC 2.0 | CMMC 2.0 |
Eliminates all maturity processes | すべての成熟度プロセスを削除する。 |
Eliminates all CMMC unique security practices: | すべてのCMMC独自のセキュリティ対策を削除する。 |
Advanced / Level 2 will mirror NIST SP 800-171 (110 security practices) | 上級/レベル2は、NIST SP 800-171(110のセキュリティ・プラクティス)を反映したものになる。 |
Expert / Level 3 will be based on a subset of NIST SP 800-172 requirements | エキスパート/レベル3は、NIST SP 800-172の要件のサブセットに基づくものになる。 |
The Department intends to post the CMMC 2.0 model for Levels 1 and 2, their associated Assessment Guides, and scoping guidance to this website in the coming weeks for informational purposes. Level 3 information will likewise be posted as it becomes available. | CMMC 2.0のレベル1とレベル2のモデル、それに関連するアセスメントガイド、スコーピングガイダンスを、情報提供のために今後数週間のうちに本ウェブサイトに掲載する予定です。レベル3の情報も同様に、利用可能になった時点で掲載される予定です。 |
As a result of the alignment of CMMC to NIST standards, the Department’s requirements will continue to evolve as changes are made to the underlying NIST SP 800-171 and NIST SP 800-172 requirements. | CMMCをNIST標準に合わせた結果、基礎となるNIST SP 800-171およびNIST SP 800-172の要件に変更が加えられると、国防省の要件も進化し続けることになります。 |
Regular cybersecurity assessments of contractors provide the Department increased assurance that sensitive information shared with the defense industrial base (DIB) is adequately protected. CMMC 2.0 simplifies and increases accountability in the cybersecurity assessment process. | 契約者の定期的なサイバーセキュリティ評価により、防衛産業基盤(DIB)で共有される機密情報が適切に保護されていることを省庁が保証します。CMMC 2.0は、サイバーセキュリティ評価プロセスを簡素化し、説明責任を高めます。 |
OVERVIEW OF ASSESSMENTS | アセスメントの概要 |
CMMC 2.0 implements tiered assessment requirements based on the sensitivity of the information shared with a contractor. Upon implementation of CMMC 2.0: | CMMC 2.0は、契約者と共有する情報の機密性に基づいて、段階的な評価要件を実装しています。CMMC 2.0の導入に伴い、以下のようになります。 |
Contractors who do not handle information deemed critical to national security (Level 1 and a subset of Level 2) will be required to perform annual self-assessments against clearly articulated cybersecurity standards. | 国家安全保障にとって重要とみなされる情報(レベル1およびレベル2のサブセット)を取り扱わない契約者は、明確に明示されたサイバーセキュリティ基準に照らして、毎年自己評価を行うことが求められます。 |
Contractors managing information critical to national security (a subset of Level 2) will be required to undergo third-party assessments. | 国家安全保障にとって重要な情報(レベル2のサブセット)を管理する契約者は、第三者による評価を受けることが求められます。 |
The highest priority, most critical defense programs (Level 3) will require government-led assessments. | 最優先で最も重要な防衛プログラム(レベル3)では、政府主導の評価が必要となります。 |
SELF-ASSESSMENTS | 自己評価 |
The Department views Level 1 (“Foundational”) as an opportunity to engage its contractors in developing and strengthening their approach to cybersecurity. Because Level 1 does not involve sensitive national security information, DoD intends for this Level to allow companies to assess their own cybersecurity and begin adopting practices that will thwart cyber-attacks. | 国防総省は、レベル1(基礎)を、サイバーセキュリティへのアプローチの開発と強化にコントラクターを関与させる機会と考えています。レベル1には国家安全保障上の機密情報は含まれていないため、国防総省はこのレベルで、企業が自らのサイバーセキュリティを評価し、サイバー攻撃を阻止するための実践方法を採用し始めることを意図しています。 |
Likewise, a subset of programs with Level 2 (“Advanced”) requirements do not involve information critical to national security, and associated contractors will only be required to conduct self-assessments. | 同様に、レベル2(上級)の要件を持つプログラムのサブセットは、国家安全保障にとって重要な情報を含まないため、関連する契約者は自己評価の実施のみを求められます。 |
Contractors will be required to conduct self-assessment on an annual basis, accompanied by an annual affirmation from a senior company official that the company is meeting requirements. The Department intends to require companies to register self-assessments and affirmations in the Supplier Performance Risk System (SPRS). | 契約者は年に1度、自己評価を行うことが求められ、その際、会社が要件を満たしていることを会社の高官が毎年確認する必要があります。また、自己評価と確認書をサプライヤー・パフォーマンス・リスク・システム(SPRS)に登録することを企業に求める予定です。 |
THIRD-PARTY ASSESSMENTS | 第三者評価 |
Once CMMC 2.0 is implemented, contractors will be required to obtain a third-party CMMC assessment for a subset of acquisitions requiring Level 2 (“Advanced”) cybersecurity standards that involve information critical to national security. | CMMC 2.0が導入されると、コントラクターは、国家安全保障にとって重要な情報に関わるレベル2(上級)のサイバーセキュリティ基準を必要とする取得のサブセットについて、第三者によるCMMC評価を受けることが求められます。 |
The CMMC-AB will accredit CMMC Third Party Assessment Organizations (C3PAOs) and the CMMC Assessors and Instructors Certification Organization (CAICO). Accredited C3PAOs will be listed on the CMMC-AB Marketplace. The DIB company will be fully responsible for obtaining the needed assessment and certification, to include coordinating and planning the CMMC assessment. After the completion of the CMMC assessment, the C3PAO will provide an assessment report to the DoD. | CMMC-ABは、CMMC第三者評価機関(C3PAO)およびCMMC評価者・指導者認証機関(CAICO)を認定する。認定されたC3PAOは、CMMC-ABのマーケットプレイスに掲載されます。DIB 企業は、CMMC 評価の調整および計画を含め、必要な評価および認証の取得に全責任を負うものとします。CMMC評価の完了後、C3PAOは評価報告書を国防総省に提出します。 |
As part of the CMMC 2.0 implementation, the DoD will approve all CMMC-AB conflict of interest related policies that apply to the CMMC ecosystem. Additionally, the CMMC-AB must achieve compliance with the ISO/IEC 17011 standard prior to accrediting C3PAOs and a CAICO. Separately, C3PAOs will be required to comply with ISO/IEC 17020 and the CAICO will be required to comply with ISO/IEC 17024 requirements. | CMMC 2.0導入の一環として、国防総省は、CMMCエコシステムに適用されるすべてのCMMC-ABの利益相反関連ポリシーを承認します。さらに、CMMC-ABは、C3PAOおよびCAICOを認定する前に、ISO/IEC 17011規格への準拠を達成する必要があります。これとは別に、C3PAOにはISO/IEC 17020への準拠が、CAICOにはISO/IEC 17024の要求事項への準拠が求められます。 |
GOVERNMENT ASSESSMENTS | 政府の評価 |
The Department intends for Level 3 (“Expert”) cybersecurity requirements to be assessed by government officials. Assessment requirements are currently under development. | 本省は、レベル3(エキスパート)のサイバーセキュリティ要件を政府関係者が評価することを意図している。評価要件は現在開発中です。 |
KEY CHANGES INCORPORATED UNDER THE CMMC 2.0 FRAMEWORK | CMMC 2.0フレームワークの主な変更点 |
Assessments | アセスメント |
CMMC 1.0 | CMMC 1.0 |
Required all DoD contractors to undergo third-party assessments for CMMC compliance | すべての国防総省の請負業者に、CMMC準拠のための第三者評価を受けることを要求。 |
CMMC 2.0 | CMMC 2.0 |
Allows the majority of contractors, associated with Foundational/ Level 1 and a subset of Advanced/Level 2 programs, to perform annual self-assessments | 大半のコントラクターは、基礎/レベル1および一部の上級/レベル2プログラムに関連して、毎年自己評価を行うことができる。 |
A portion of the Advanced/Level 2 programs will require triennial third-party assessments | Advanced/Level 2 プログラムの一部は、3 年ごとの第三者評価を必要とする。 |
Expert / Level 3 programs will require triennial assessments conducted by government officials | エキスパート/レベル3プログラムでは、政府関係者による3年ごとの評価が必要となる。 |
Oversight of Assessment Ecosystem | 評価エコシステムの監視 |
CMMC 1.0 | CMMC 1.0 |
DoD reviewed CMMC-AB Conflict of Interest policies | 国防総省がCMMC-ABの利益相反ポリシーをレビューする。 |
CMMC 2.0 | CMMC 2.0 |
DoD will approve CMMC-AB’s Conflict of Interest policies | 国防総省はCMMC-ABの利益相反ポリシーを承認する。 |
CMMC program requirements will be implemented through the acquisition and contracting process. With limited exceptions for information with little national security need, the Department intends to require compliance with CMMC as a condition of contract award. | CMMCプログラムの要件は、取得および契約のプロセスを通じて実施されます。国家安全保障上の必要性が低い情報に対する限定的な例外を除き、国防総省は契約締結の条件としてCMMCへの準拠を求める予定です。 |
OVERVIEW OF IMPLEMENTATION | 実装の概要 |
Once CMMC 2.0 is implemented, the required CMMC level for contractors and sub-contractors will be specified in the solicitation and in Requests for Information (RFIs), if utilized. | CMMC 2.0が導入されると、契約者や下請業者に要求されるCMMCレベルは、募集要項や情報提供依頼書(RFI)が利用される場合には、その中で指定されます。 |
Five Steps to Make Your Company More Cyber Secure | 企業のサイバーセキュリティを高めるための5つのステップ |
Educate people on cyber threats | サイバー脅威について従業員を教育する |
Implement access controls | アクセスコントロールの導入 |
Authenticate users | ユーザーを認証する |
Monitor your physical space | 物理的空間の監視 |
Update security protections | セキュリティ保護の更新 |
Most cyber incidents start because of user error. Educate people about the importance of setting strong passwords, recognizing malicious links, and installing the latest security patches. Helpful materials and training videos are available through Project Spectrum. | サイバー事件の多くは、ユーザーのミスから始まります。強力なパスワードを設定すること、悪意のあるリンクを認識すること、最新のセキュリティパッチをインストールすることの重要性について、従業員を教育しましょう。役に立つ資料やトレーニングビデオは、プロジェクト・スペクトラムから入手できます。 |
PLAN OF ACTIONS AND MILESTONES (POA&MS) | 行動計画とマイルストーン(POA&MS)について |
With the implementation of CMMC 2.0, the Department intends to allow companies to receive contract awards with a Plan of Actions and Milestones (POA&M) in place to complete CMMC requirements. The Department’s intent is to specify a baseline number of requirements that must be achieved prior to contract award, in order to allow a remaining subset to be addressed in a POA&M within a clearly defined timeline. The Department also intends to specify a small subset of requirements that cannot be on a POA&M in support of achieving a CMMC certification. | CMMC 2.0の導入に伴い、CMMCの要件を満たすための行動計画とマイルストーン(POA&M)を策定した企業が契約を受注できるようにすることを意図しています。同省の意図は、契約締結前に達成しなければならない要件の基本数を指定し、残りのサブセットを明確に定義されたタイムライン内のPOA&Mで対処できるようにすることです。また、CMMC 認証の取得を支援するために POA&M に含めることができない要件の一部を指定する予定です。 |
WAIVERS | 免除 |
Under CMMC 2.0, the Department intends to allow a limited waiver process to exclude CMMC requirements from acquisitions for select mission-critical requirements. Waiver requests will require senior DoD leadership approval and will have a limited duration. The specifics of the waiver requirements will be implemented as part of the rulemaking process. | CMMC 2.0では、特定のミッションクリティカルな要件の買収からCMMC要件を除外する限定的な免除プロセスを認める予定である。免除申請には国防総省の上級指導者の承認が必要であり、その期間は限られている。免除要件の詳細は、規則制定プロセスの一環として実施されます。 |
KEY CHANGES INCORPORATED UNDER THE CMMC 2.0 FRAMEWORK | CMMC 2.0のフレームワークの主な変更点 |
Plan of Actions and Milestones (POA&Ms) | 行動計画とマイルストーン(POA&M)について |
CMMC 1.0 | CMMC 1.0 |
No allowance for POA&Ms | POA&Mの許容範囲外 |
CMMC 2.0 | CMMC 2.0 |
Allows the use of POA&Ms | POA&M の使用を認める。 |
Highest weighted requirements cannot be on POA&M list | POA&M リストに最上位の要件を含めることはできない。 |
DoD will establish a minimum score requirement to support certification with POA&Ms | 国防総省は、POA&M を使用した認証をサポートするための最低スコア要件を設定する。 |
Waivers | 免除 |
CMMC 1.0 | CMMC 1.0 |
No allowance for waivers | 免除を認めない |
CMMC 2.0 | CMMC 2.0 |
Applied to entire CMMC requirement, not individual cybersecurity practices | 個々のサイバーセキュリティ対策ではなく、CMMC要件全体に適用される。 |
Allowed on a very limited basis in select mission critical instances, upon senior leadership approval | ミッションクリティカルな特定の事例においては、上層部の承認を得た上で、非常に限定的に許可される。 |
DoD program office submits a justification package that includes specified timeline and associated risk mitigation plan | 国防総省のプログラムオフィスが、指定したタイムラインと関連するリスク軽減計画を含む正当化パッケージを提出する。 |
Timelines imposed on a case-by-case basis to achieve CMMC compliance | タイムラインは、CMMC準拠を達成するためにケースバイケースで課される。 |
Defense Federal Acquisition Regulation (DFARS) Case 2019-D041: Assessing Contractor Implementation of Cybersecurity Requirements | 国防連邦調達規則(DFARS)ケース2019-D041:サイバーセキュリティ要件のコントラクター実装を評価する |
DoD issued an interim rule to amend DFARS to implement a DoD Assessment Methodology and the Cybersecurity Maturity Model Certification (CMMC) framework in order to assess contractor implementation of cybersecurity requirements and enhance the protection of unclassified information within the DoD supply chain. | DoDは、コントラクターのサイバーセキュリティ要件の実装を評価し、DoDサプライチェーン内の未分類情報の保護を強化するために、DoD Assessment MethodologyとCybersecurity Maturity Model Certification(CMMC)フレームワークを導入するため、DFARSを改正する暫定規則を発行しました。 |
DFARS Clause 252.204-7012: Safeguarding Covered Defense Information and Cyber Incident Reporting | DFARS Clause 252.204-7012: 対象となる防衛情報の保護とサイバーインシデント報告 |
CMMC complements DFARS clause 252.204-7012, which was published in the Federal Register and became effective in 2015. Among other requirements, 252.204-7012 requires Contractors/Subcontractors to safeguard CUI by implementing cybersecurity requirements in NIST SP 800-171. | CMMCは、2015年に連邦官報に掲載されて発効したDFARS条項252.204-7012を補完するものです。252.204-7012は、他の要件の中で、契約者/下請業者に、NIST SP 800-171のサイバーセキュリティ要件を実施することでCUIを保護することを求めています。 |
DFARS Provision 252.204-7019: Notice of NIST SP 800-171 DoD Assessment Requirements | DFARS規定252.204-7019:NIST SP 800-171 DoDアセスメント要件の通知 |
Advises offerors required to implement the NIST SP 800-171 standards of the requirement to have a current NIST SP 800-171 DoD Assessment on record to be considered for award. Requires offerors to post current Assessments in the Supplier Performance Risk System (SPRS). | NIST SP 800-171規格を実施する必要がある提供者に対し、受注を検討するためには最新のNIST SP 800-171 DoDアセスメントを記録しておく必要があることを通知します。サプライヤー・パフォーマンス・リスク・システム(SPRS)に最新のアセスメントを掲載することを求める。 |
DFARS Clause 252.204-7020: NIST SP 800-171 DoD Assessment Requirements | DFARS Clause 252.204-7020: NIST SP 800-171 DoDアセスメント要件 |
Requires contractors to provide the Government with access to its facilities, systems, and personnel when necessary for DoD to conduct or renew a higher-level NIST SP 800-171 DoD Assessment. | NIST SP 800-171 DoD Assessmentを実施または更新するために必要な施設、システム、人員へのアクセスを契約者に提供することを要求する。 |
DFARS 252.204-7021 Contractor Compliance with the Cybersecurity Maturity Model Certification Level Requirement | DFARS 252.204-7021 Cybersecurity Maturity Model認証レベル要件に対するコントラクターのコンプライアンス |
Effective 1 Oct 2025. Requires CMMC certificate by time of contract award. Until 1 Oct 2025, DoD must approve CMMC clause in new acquisitions. Contractor certification level must be maintained for contract duration and this clause must be flowed down, as required. | 2025年10月1日より有効。契約締結時までにCMMC認証が必要。2025年10月1日までは、米国国防総省は新規買収の際にCMMC条項を承認する必要があります。契約者の認証レベルは契約期間中維持されなければならず、この条項は必要に応じてフローダウンされなければならない。 |
NIST SP 800-171 Rev. 2: Protecting CUI in Nonfederal Systems | NIST SP 800-171 Rev.2: 非連邦システムにおけるCUIの保護 |
National Institute of Standards and Technology Special Publication (NIST SP) 800-171 provides requirements for protecting the confidentiality of CUI. | 米国国立標準技術研究所特別出版物(NIST SP)800-171は、CUIの機密性を保護するための要件を規定している。 |
NIST SP 800-172: Enhanced Security Requirements for Protecting Controlled Unclassified Information (A Supplement to NIST Special Publication 800-171) | NIST SP 800-172: NIST SP 800-172: 管理された非分類情報を保護するための強化されたセキュリティ要件(NIST Special Publication 800-171の補足) |
National Institute of Standards and Technology Special Publication (NIST SP) 800-172, provides federal agencies with a set of enhanced security requirements for protecting the confidentiality, integrity, and availability of CUI in nonfederal systems and organizations from the advanced persistent threat when the CUI is associated with a critical program or high value asset. | 米国国立標準技術研究所(NIST)の特別出版物(NIST SP)800-172は、連邦政府機関に対し、CUIが重要なプログラムや価値の高い資産に関連している場合に、非連邦のシステムや組織におけるCUIの機密性、完全性、可用性を高度な永続的脅威から保護するための一連の強化されたセキュリティ要件を提供しています。 |
DoD CUI Program website | 国防総省CUIプログラムのウェブサイト |
Explains the source and importance of CUI and posts related policies, training, marking aids, as well as the CUI registry and new developments. | CUIの起源と重要性を説明し、関連するポリシー、トレーニング、マーキングエイド、CUIレジストリと新開発を掲載しています。 |
Defense Counterintelligence and Security Agency (DCSA) CUI program overview | 国防防諜報・安全保障局(DCSA)CUIプログラム概要 |
Provides an overview of DCSA’s responsibilities in support of DoD CUI program management, including information about program’s phased rollout and various CUI resources. | 国防総省のCUIプログラム管理をサポートするDCSAの責任について、プログラムの段階的な展開や様々なCUIリソースに関する情報を含む概要を掲載しています。 |
Supplier Performance Risk System (SPRS) | サプライヤー・パフォーマンス・リスク・システム(SPRS) |
SPRS “...is the authoritative source to retrieve supplier and product PI [performance information] assessments for the DoD [Department of Defense] acquisition community to use in identifying, assessing, and monitoring unclassified performance.” (DoDI 5000.79) | SPRSは、DoD(国防総省)の取得コミュニティが、未分類のパフォーマンスを特定、評価、監視する際に使用するサプライヤーおよび製品のPI(パフォーマンス情報)評価を取得するための権威あるソースである。 (DoDI 5000.79) |
The Use of the Supplier Performance Risk System (SPRS) in Implementing DFARS Case 2019-D041, Assessing Contractor Implementation of Cybersecurity Requirements | DFARS Case 2019-D041「Assessing Contractor Implementation of Cybersecurity Requirements」を実施する際のサプライヤー・パフォーマンス・リスク・システム(SPRS)の使用について |
Provides offerors guidance on the use of SPRS in Implementing DFARS Case 2019-D041, Assessing Contractor Implementation of Cybersecurity Requirements. | DFARS Case 2019-D041, Assessing Contractor Implementation of Cybersecurity Requirementsを実施する際のSPRSの使用について、提供者にガイダンスを提供しています。 |
CMMC Accreditation Body Website and Marketplace | CMMC認定機関のウェブサイトとマーケットプレイス |
The authoritative source for CMMC-AB information, including marketplace listings of authorized/approved CMMC Third Party Assessment Organizations (C3PAOs). | 認定/承認された CMMC Third Party Assessment Organizations (C3PAO) のマーケットプレイスのリストを含む、CMMC-AB 情報の権威ある情報源です。 |
DODI 5200.48 – Controlled Unclassified Information | DODI 5200.48 - 管理された非分類情報 |
Establishes policy, assigns responsibilities, and prescribes procedures for CUI throughout the DoD in accordance with Executive Order 13556; 32 CFR Part 2002, "Controlled Unclassified Information;“ and DFARS secs. 252.204-7008 and 252.204-7012. Also, establishes the official DoD CUI Registry. | DODI 5200.48 - Controlled Unclassified Information 大統領令 13556、32 CFR Part 2002「Controlled Unclassified Information」、および DFARS secs.252.204-7008 および 252.204-7008 に準拠して、国防総省全体の CUI に関する方針、責任、および手順を規定する。252.204-7008および252.204-7012。また、公式の国防総省CUIレジストリを確立しています。 |
DODI 5000.90 – Cybersecurity for Acquisition Decision Authorities and Program Managers | DODI 5000.90 - 取得意思決定者およびプログラム管理者のためのサイバーセキュリティ |
Establishes policy, assigns responsibilities, and prescribes procedures for the management of cybersecurity risk by program decision authorities and program managers in the DoD acquisition processes. | DODI 5000.90 - Cybersecurity for Acquisition Decision Authorities and Program Managers - 国防総省の取得プロセスにおけるプログラム決定権限者およびプログラム管理者によるサイバーセキュリティリスクの管理について、方針を定め、責任を割り当て、手順を規定しています。 |
Executive Order on Improving the Nation’s Cybersecurity (May 12, 2021) | 国家のサイバーセキュリティの改善に関する大統領令(2021年5月12日) |
E.O. modernizing cybersecurity defenses by protecting federal networks, improving information-sharing on cyber issues, and strengthening our ability to respond to incidents. | 連邦政府のネットワークを保護し、サイバー問題に関する情報共有を改善し、インシデントに対応する能力を強化することで、サイバーセキュリティの防御を近代化するE.O.。 |
ABOUT CMMC | CMMCについて |
Now that CMMC 2.0 is published, will companies be required to comply with CMMC 1.0? | CMMC 2.0が発行されましたが、企業はCMMC 1.0への準拠を求められるのでしょうか? |
The interim DFARS rule established a five-year phase-in period, during which CMMC compliance is only required in select pilot contracts, as approved by the Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)). The Department does not intend to approve inclusion of a CMMC requirement in any contract prior to completion of the CMMC 2.0 rulemaking process. | DFARSの暫定規則では、5年間の段階的導入期間が設けられています。この期間中は、OUSD(A&S)の調達・維持担当国防次官室が承認した一部のパイロット契約でのみ、CMMCへの準拠が求められます。国防総省は、CMMC 2.0の規則制定プロセスが完了する前に、いかなる契約にもCMMCの要件を含めることを承認する予定はありません。 |
Once CMMC 2.0 is codified through rulemaking, the Department will require companies to adhere to the revised CMMC framework according to requirements set forth in regulation. | CMMC 2.0が規則化によって成文化された後は、規則に定められた要件に従って、改訂されたCMMCフレームワークを遵守することを企業に求めることになります。 |
When will CMMC 2.0 be required for DoD contracts? | 国防総省の契約にCMMC 2.0が必要になるのはいつですか? |
The publication of materials relating to CMMC 2.0 reflect the Department’s strategic intent with respect to the CMMC program; however, CMMC 2.0 will not be a contractual requirement until the Department completes rulemaking to implement the program. The rulemaking process and timelines can take 9-24 months. CMMC 2.0 will become a contract requirement once rulemaking is completed. | CMMC 2.0に関連する資料の公表は、CMMCプログラムに関する国防総省の戦略的意図を反映したものですが、国防総省がプログラムを実施するための規則制定を完了するまでは、CMMC 2.0は契約上の要件とはなりません。しかし、CMMC 2.0は、CMMCプログラムを実施するための規則制定が完了するまで、契約上の要件とはなりません。規則制定のプロセスとスケジュールには、9〜24ヶ月を要します。CMMC 2.0は、ルールメイキングが完了した時点で契約上の要求事項となります。 |
Why did the Department make these changes? | なぜ国防総省はこれらの変更を行ったのですか? |
The Department values feedback from industry, Congress, and other stakeholders and received over 850 public comments in response to the interim rule establishing CMMC 1.0. These comments focused on the need to enhance CMMC by (1) reducing costs, particularly for small businesses; (2) increasing trust in the CMMC assessment ecosystem; and (3) clarifying and aligning cybersecurity requirements to other federal requirements and commonly accepted standards. CMMC 2.0 was designed to meet these goals, which also contribute toward enhancing the cybersecurity of the defense industrial base. | CMMC 1.0を制定した暫定規則に対して、産業界、議会、その他の関係者からのフィードバックを重視しており、850件以上のパブリックコメントを受け取りました。これらのコメントは、(1)特に中小企業のコストを削減すること、(2)CMMC評価エコシステムの信頼性を高めること、(3)サイバーセキュリティ要件を他の連邦要件や一般的に受け入れられている基準に合わせて明確化すること、によってCMMCを強化する必要性に焦点を当てていました。CMMC 2.0は、これらの目標を達成するために設計されており、防衛産業基盤のサイバーセキュリティの強化にも貢献しています。 |
How much will it cost to implement CMMC 2.0? | CMMC 2.0の導入にはどのくらいの費用がかかりますか? |
The Department will publish a comprehensive cost analysis associated with each level of CMMC 2.0 as part of rulemaking. Costs are projected to be significantly lower relative to CMMC 1.0 because the Department intends to (a) streamline requirements at all levels, eliminating CMMC-unique practices and maturity processes, (b) allow companies associated with the new Level 1 (Foundational) and some Level 2 (Advanced) acquisition programs to perform self-assessments rather than third-party assessments, and (c) increase oversight of the third-party assessment ecosystem. | CMMC 2.0の各レベルに関連する包括的なコスト分析を、規則制定の一環として発表する予定です。CMMC 2.0では、(a)すべてのレベルで要件を合理化し、CMMC独自のプラクティスや成熟度プロセスを排除すること、(b)新しいレベル1(基礎)および一部のレベル2(上級)の取得プログラムに関連する企業が、第三者評価ではなく自己評価を行うことを認めること、(c)第三者評価エコシステムの監視を強化することを意図しているため、CMMC 1.0と比較してコストは大幅に削減されると予測されます。 |
CMMC 2.0 MODEL | CMMC 2.0モデル |
How will my organization know what CMMC level is required for a contract? | 契約に必要なCMMCレベルは、どのようにして知ることができますか? |
Once CMMC 2.0 is implemented, DoD will specify the required CMMC level in the solicitation and in any Requests for Information (RFIs), if utilized. | CMMC 2.0が導入されると、国防総省は必要なCMMCレベルを募集要項や情報提供依頼書(RFI)に明記します(利用する場合)。 |
What is the relationship between National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171 and CMMC? | 米国標準技術研究所(NIST)の特別出版物(SP)800-171とCMMCの関係は? |
Under CMMC 2.0, the “Advanced” level (Level 2) will be equivalent to the NIST SP 800-171. The “Expert” level (Level 3), which is currently under development, will be based on a subset of NIST SP 800-172 requirements. | CMMC 2.0では、「上級」レベル(レベル2)がNIST SP 800-171と同等になります。現在開発中の「エキスパート」レベル(レベル3)は,NIST SP 800-172の要求事項のサブセットに基づいています。 |
Will prime contractors and subcontractors be required to maintain the same CMMC level? | 主契約者と下請け契約者は、同じCMMCレベルを維持する必要がありますか? |
If contractors and subcontractors are handling the same type of FCI and CUI, then the same CMMC level will apply. In cases where the prime only flows down select information, a lower CMMC level may apply to the subcontractor. | 主契約者と下請け契約者が同じ種類のFCIやCUIを扱う場合は、同じCMMCレベルが適用されます。プライムが選択した情報のみを流す場合には、下請け契約者にはより低いCMMCレベルが適用されることがあります。 |
ASSESSMENTS | 評価 |
How does my company become a C3PAO? | どうすればC3PAOになれますか? |
Interested organizations should reference the CMMC-AB website for additional information on becoming a candidate C3PAO. | ご興味のある企業は、CMMC-ABのウェブサイトで、C3PAO候補になるための詳細情報をご確認ください。 |
How frequently will assessments be required? | 評価はどのくらいの頻度で実施されますか? |
Once CMMC 2.0 is implemented, self-assessments, associated with Level 1 and a subset of Level 2 programs, will be required on an annual basis. Third-party and government-led assessments, associated with some Level 2 and all Level 3 programs, will be required on a triennial basis. | CMMC 2.0が導入されると、レベル1とレベル2の一部のプログラムに関連する自己評価が年1回要求されます。レベル2の一部とレベル3のすべてのプログラムに関連する第三者および政府主導の評価は、3年ごとに必要となります。 |
Who will perform third-party CMMC assessments? | 第三者によるCMMC評価は誰が行うのか? |
Once CMMC 2.0 is fully implemented, DoD will only accept CMMC assessments provided by an authorized and accredited C3PAO or certified CMMC Assessor, and C3PAOs shall use only certified CMMC assessors for the conduct of CMMC assessments. | CMMC 2.0が完全に導入されると、国防総省は、認定されたC3PAOまたは認定されたCMMCアセッサーによって提供されるCMMC評価のみを受け入れ、C3PAOはCMMC評価の実施に認定されたCMMCアセッサーのみを使用するものとします。 |
Will my organization need to be certified if it does not handle CUI? | CUIを取り扱っていない組織でも、認証を受ける必要がありますか? |
DoD’s intent under CMMC 2.0 is that if a DIB company does not process, store, or transmit Controlled Unclassified Information (CUI) on its unclassified network, but does process, store or handle Federal Contract Information (FCI), then it must perform a CMMC Level 1 self-assessment and submit the results with an annual affirmation by a senior company official into SPRS. | CMMC 2.0における国防総省の意図は、DIB企業が非分類ネットワーク上でCUI(Controlled Unclassified Information)を処理、保管、または送信しないが、FCI(Federal Contract Information)を処理、保管、または取り扱う場合、CMMCレベル1の自己評価を行い、その結果を企業の上級職員による年次確認書とともにSPRSに提出しなければならないというものです。 |
Will CMMC certifications and the associated third-party assessments apply to a classified systems and / or classified environments within the Defense Industrial Base? | CMMC認証および関連する第三者評価は、国防産業基地内の機密システムおよび/または機密環境に適用されますか? |
CMMC only applies to DIB contractor’s unclassified networks that process, store or transmit FCI or CUI. | CMMCは、FCIやCUIを処理、保管、伝送するDIB契約者の非分類ネットワークにのみ適用されます。 |
Will the results of my assessment be public? Will the DoD see my results? | 評価の結果は公開されますか?国防総省は私の結果を見ることができますか? |
Once CMMC 2.0 is fully implemented, the DoD will have access to information and data relating to a company’s assessment, to include the assessment results and final report. The DoD will store all self-assessment results on SPRS. CMMC certificates and the associated third-party assessment data will be stored in the CMMC Enterprise Mission Assurance Support Services (eMASS) database. CMMC eMASS will automatically post a copy of a company’s CMMC certificate to the Supplier Performance Risk System (SPRS). The detailed results of a CMMC assessment will not be made public. | CMMC 2.0が完全に導入されると、国防総省は評価結果や最終報告書を含む、企業の評価に関連する情報やデータにアクセスできるようになります。国防総省はすべての自己評価結果をSPRSに保存します。CMMC の証明書および関連する第三者評価データは、CMMC Enterprise Mission Assurance Support Services(eMASS)データベースに保存されます。CMMC eMASSは、企業のCMMC証明書のコピーをサプライヤー・パフォーマンス・リスク・システム(SPRS)に自動的に掲載されます。CMMC評価の詳細な結果は公開されません。 |
If a company voluntarily chooses to obtain a CMMC assessment and certification from a third-party assessment organization in the absence of a contractual requirement, the company must provide written consent to allow DoD access to or use of those assessment results. If a company consents to DoD access and use of data relating to the assessment, then DoD intends to store that information on eMASS. | 契約上の要求がないにもかかわらず、企業が自主的に第三者評価機関からCMMC評価および認証を取得する場合、企業はDoDがこれらの評価結果にアクセスしたり使用したりすることに書面による同意を与えなければならない。企業が評価に関連するデータへのDoDのアクセスと使用に同意した場合、DoDはその情報をeMASSに保存する予定です。 |
How much will CMMC certification cost? | CMMC認証にはどのくらいの費用がかかりますか? |
The CMMC assessment costs will depend upon several factors including the CMMC level, complexity of the DIB company’s unclassified network for the certification boundary, and market forces. DoD will develop a new cost estimate associated with CMMC 2.0 to account for the changes made to the program which will be published on the Federal Register as part of the rulemaking process. | CMMC評価費用は、CMMCレベル、認証境界のためのDIB企業の非機密ネットワークの複雑さ、市場の動向など、いくつかの要因によって異なります。国防総省は、プログラムに加えられた変更を考慮して、CMMC 2.0に関連する新しいコスト見積もりを作成し、規則制定プロセスの一環として連邦官報に掲載します。 |
What is the difference between a CMMC self-assessment and a basic assessment required as part of the DoD Assessment Methodology? | CMMCの自己評価とDoD Assessment Methodologyの一部として要求される基本評価の違いは何ですか? |
A CMMC self-assessment will apply to those companies that are only required to protect the information systems on which FCI is processed, stored or transmitted; and a subset of companies that are required to protect CUI. The CMMC self-assessment should be completed using the CMMC Assessment Guide codified in 32 CFR for the appropriate CMMC level. A CMMC self-attestation is a representation that the offeror meets the requirements of the CMMC level required by the solicitation. The CMMC program will require an annual self-assessment and an annual affirmation by a senior company official. | CMMC自己評価は、FCIが処理、保存、送信される情報システムの保護のみが求められる企業と、CUIの保護が求められる企業のサブセットに適用されます。CMMC 自己評価は、適切な CMMC レベルのために 32 CFR に成文化された CMMC 評価ガイドを使用して行われるべきである。CMMC 自己申告書は、提案者が募集要項で要求されている CMMC レベルの要件を満たしていることを表明するものである。CMMCプログラムでは、年1回の自己評価と会社の上級役員による年1回の宣誓が必要となります。 |
A “Basic Assessment”, as defined in DFARS clause 252.204-7020, NIST SP 800-171 DoD Assessment Requirements, means a contractor’s self-assessment of the contractor’s implementation of NIST SP 800-171 that — | DFARS条項252.204-7020「NIST SP 800-171 DoD Assessment Requirements」に定義されている「Basic Assessment」とは、NIST SP 800-171の実装に関する契約者の自己評価で、以下のものを指します。 |
Is based on the Contractor’s review of their system security plan(s) associated with covered contractor information system(s); | 対象となる契約者の情報システムに関連するシステム・セキュリティ・プランの契約者によるレビューに基づいていること。 |
Is conducted in accordance with the NIST SP 800-171 DoD Assessment Methodology; and | NIST SP 800-171 DoD Assessment Methodology に基づいて実施されていること。 |
Results in a confidence level of “Low” in the resulting score, because it is a self-generated score. | 結果として得られるスコアの信頼度が「低」であること(自己採点であるため)。 |
IMPLEMENTATION | 実装 |
How will CMMC apply to non-US companies? | CMMC は米国以外の企業にはどのように適用されますか? |
The DoD intends to engage with our international partners to establish agreements related to cybersecurity and ensure that foreign companies that support U.S. warfighters will be equipped to safeguard sensitive national security information. These agreements will establish a framework to address application of CMMC to non-US companies. Implementation of such agreements will be accomplished through the rulemaking process. | 国防総省は、国際的なパートナーと協力して、サイバーセキュリティに関連する協定を確立し、米国の戦闘員をサポートする外国企業が国家安全保障上の機密情報を保護するための装備を整えられるようにしたいと考えています。これらの協定は、CMMCを米国以外の企業に適用するための枠組みを確立する。このような協定の実施は、規則制定プロセスを通じて達成される。 |
What is the Department’s intent regarding acceptance agreements between CMMC and other cybersecurity standards and assessments? | CMMCと他のサイバーセキュリティ基準や評価との間の受け入れ協定に関する省の意図は何ですか? |
The Department is pursuing development of acceptance standards between CMMC and other cybersecurity standards and assessments, to include between CMMC Level 2 (Advanced) and the NIST SP 800-171 DoD Assessment Methodology for the high assessment confidence level, as well as CMMC Level 2 and the GSA Federal Risk and Authorization Management Program (FedRAMP) requirements for commercial cloud service offerings. | 国防総省は、CMMCレベル2(上級)と、高い評価信頼度のためのNIST SP 800-171 DoD Assessment Methodologyとの間や、CMMCレベル2と商用クラウドサービス提供のためのGSA Federal Risk and Authorization Management Program(FedRAMP)要件との間を含む、CMMCと他のサイバーセキュリティ標準および評価の間の受け入れ基準の開発を追求しています。 |
Furthermore, DoD is working with international partners to coordinate on potential agreements between CMMC and their respective cybersecurity programs. | さらに、国防総省は国際的なパートナーと協力して、CMMCとそれぞれのサイバーセキュリティプログラムとの間の協定の可能性について調整しています。 |
Any such equivalencies or acceptance standards, if established, will be implemented as part of the rulemaking process. | このような同等性や受け入れ基準が確立された場合は、規則制定プロセスの一環として実施されます。 |
« 会計検査院 令和2年検査報告(森田検査院長から岸田総理大臣へ) | Main | 英国 王立防衛安全保障研究所 (RUSI) 諜報機関が商用クラウドサービスを利用するということはどういうことか? »
Comments