サイバーセキュリティ成熟度モデル認証 (CMMC)

概要

• CMMC 2.0 とは?

  CMMC 2.0 は、DoD の CMMC サイバーセキュリティモデルの次の段階です。要件をサイバーセキュリティの 3 つのレベル (Foundation、Advanced、Expert) に合理化し、各レベルの要件を、よく知られていて広く受け入れられている NIST サイバーセキュリティ標準と整合的なものとしています。

• CMMC 2.0 の新しいレベルはどのようなものですか?

  2021 年 12 月 3 日、DoD は CMMC 2.0 Model Overview を発表しました。CMMC 2.0 モデルは、連邦調達規則 (FAR) 52.204-21 で規定されている FCI の基本的な保護要件と、国防連邦調達規則 (DFARS) の 252.204-7012 節に基づく NIST SP 800-171r2 の CUI のセキュリティ要件を包含しています。

  CMMC レベル 1 (基礎知識) は FCI のみを持つ企業を対象とし、情報は保護が必要ですが、国家安全保障にとって重要ではなく、17 の基本的な保護対策を必要とします。CMMC レベル 1 スコーピングガイダンス

  CMMC レベル 2 (アドバンスト) は CUI を持つ企業を対象とし、NIST SP 800-171r2 の 110 の実施事項を要求し、情報の種類に応じてサードパーティー評価または自己評価を必要とする場合があります。CMMC レベル 2 スコーピングガイダンス

  CMMC Level 3 (Expert) は、CUI を持つ最優先プログラムを対象とし、NIST SP 800-172 のサブセットを使用して、政府関係者による評価が行われます。
  

• なぜ CMMC 2.0 が実施されるのですか?

  サイバーセキュリティは国防総省にとって最優先事項です。
  
  防衛産業基盤 (DIB) は、ますます頻繁で複雑なサイバー攻撃の標的になっています。米国の創意工夫と国家安全保障情報を保護するために、DoD は CMMC 2.0 を開発し、DIB サイバーセキュリティを動的に強化して、進化する脅威に対応し、情報を保護しています。
  

• どのような組織が CMMC 認定を受ける必要がありますか?

  CMMC が完全に施行されると、機密性の高い DoD の非格付け情報を処理する特定の DoD 請負業者は、契約締結の条件として特定の CMMC レベルを達成することが求められます。

• DoD が CMMC 2.0 の要求事項を施行するのはいつですか?

  DoD は、CMMC 2.0 ルール作成プロセスが完了する前に、契約に CMMC 要求事項を含めることを承認するつもりはないと表明しました。  DoD はそのプロセスが完了するのに 2021 年 11 月から 9〜24 か月かかると見積もっています。      
  
  CMMC 2.0 が実装されると、DoD は、使用する場合は要請と情報要求 (RFI) に必要な CMMC レベルを指定します。

• 現在 AWS を使用している DoD サプライチェーンメンバーはいますか？

  DoD サプライチェーンにおける幅広い組織、プログラム、および請負業者が AWS を使用して事業や運営を刷新しています。AWS を活用して安全な処理、維持、および保存できるように、セキュアなクラウド環境を米国で整えます。米国国防総省調達規則 (DFARS)、DoD、クラウドコンピューティングセキュリティ要求事項ガイド (SRG)、米国連邦リスクおよび承認管理プログラム (FedRAMP) およびその他連邦コンプライアンスプログラムに準拠した連邦政府データ。

  導入事例をレビューして、AWS がどのように米国を含む DoD を支援しているか学べます。アメリカ国防兵站局アメリカ空軍アメリカ海軍特殊作戦軍、および Lockheed Martin、Raytheon、GDIT のような DoD 請負業者。AWS がどのようにして DoD の高いセキュリティ要求事項を満たしているかについて詳しく知りたい方は、Cloud Computing for Defense のウェブページをご覧ください。
  

• 新しい DoD の「暫定規則」は組織にどのように影響しますか?

  暫定 DFARS 規則は、5 年間の段階的導入期間を確立しました。この期間中、CMMC コンプライアンスは、調達および維持担当国防次官室 (OUSD (A＆S)) によって承認された、一部のパイロット契約でのみ求められます。DoD は、CMMC 2.0 ルール作成プロセスが完了する前に、契約に CMMC 要求事項を含めることを承認するつもりはないと表明しました。
  
  CMMC 2.0 がルール作成によって成文化されると、DoD は企業に改訂された CMMC 2.0 フレームワークを順守することを要求します。

• クラウドサービスは CMMC 認定を受ける必要がありますか?

  いいえ。CMMC は、特定の CMMC レベルの要件と比べて、DIB 請負業者のサイバーセキュリティ機能とプロセスを測定します。 
  
  クラウドサービスプロバイダー (CSP) として、AWS は FedRAMP High で FedRAMP によって、SRG Impact Level 2、4、および 5 で国防情報システム局 (DISA) によって承認されています。

• AWS は他のコンプライアンスプログラムと CMMC 2.0 の相互関係を提供していますか?

  いいえ。DoD は、FedRAMP や ISO 27001 情報セキュリティマネジメントなどの他のコンプライアンスプログラムが CMMC 2.0 レベルにどのようにマッピングされるかをまだ定義していません。

• AWS は、CMMC 2.0 コンプライアンスに役立つソリューションとコンプライアンスドキュメントを提供していますか?

  AWS CMMC Customer Package では、AWS GovCloud (米国) で AWS ランディングゾーンアクセラレーターを利用することにより、お客様が AWS から継承できる CMMC Level 2 / NIST SP 800-171 のセキュリティコントロールの内訳が記載されています。

  AWS CMMC カスタマーパッケージは、AWS Standard と AWS GovCloud (米国) の両リージョンの AWS Artifact でお客様がダウンロードできるようになっています。 

• AWS Professional Services は、顧客の CMMC コンプライアンス要件を満たすようサポートしていますか?

  はい。AWS プロフェッショナルサービスコンサルタントは、AWS GovCloud (米国) のAWS ランディングゾーンアクセラレーターのトレーニングを受けており、CMMC コンプライアンスの課題に対処するよう顧客の実装をサポートできます。 

• CMMC 2.0 クラウド環境をデプロイするためには、どの AWS リージョンを使用する必要がありますか?

  AWS は、顧客事業と DoD プログラムと契約の要求事項に基づいて、顧客が AWS CMMC 2.0 ソリューションを標準リージョンおよび制限されたリージョン (米国東部/西部、AWS GovCloud (米国) 等) において柔軟にデプロイおよび認証出来るように努める予定です。