サイバーセキュリティ成熟度モデル認証 (CMMC)

概要

140940_AWS_Multi-Logo Graphic_600x400_DoD

米国国防総省 (DoD) の取得および維持担当国防次官室 (OUSD) は、DoD の知的財産および機密情報を、元請けおよび下請け業者に対するサイバーセキュリティイベントから守るための支援をする機構として CMMC を実施しています。CMMC は、防衛産業基盤 (DIB) のメンバーを含む、DoD 外部サプライチェーンのセキュリティおよび耐障害性に焦点を置いて、組織がほとんどの DoD 契約を勝ち取るために、第三者の認定を受けるのに必要なドメイン、プラクティス、および手順の平準化した要求事項を導入します。AWS により、防衛関連企業は CMMC に準拠した環境を整備し、DoD データを処理、維持、および保存することができます。

  • CMMC とは?

    CMMC とはサイバーセキュリティ成熟度モデル認証を意味します。CMMC は、「基本サイバーセキュリティ衛生」から「高度/プログレッシブサイバーセキュリティ衛生」までの複数の成熟レベルを包含します。 各成熟レベルには、認証を得るために段階的に要求度が高くなるプロセスや実行要求事項が含まれます。DoD 契約書には、要求される 以下の CMMC レベルを定義します。レベル 1 - 連邦契約情報 (FCI) の保護、レベル 2 - 管理された非格付け情報 (CUI) を保護するための移行、レベル 3 - CUI の保護、レベル 4 および レベル 5 - CUI の保護および APT 攻撃リスクの低減。

    DoD には CMMC 要求事項を国防総省調達規則 (DFARS) に取り込む意図があり、これによりほとんどの DoD 契約において認証が必須になります。詳しくは、https://www.acq.osd.mil/cmmc/index.htmlにアクセスしてください。

  • CMMC が実施される理由

    DoD の機密情報および知的財産の盗難を防ぐため、DoD は新しい CMMC フレームワークへと移行中です。CMMC は防衛産業基盤 (DIB) サプライチェーンのサイバーセキュリティを評価および強化し、適切にサイバーセキュリティを実行します。また、そのプロセスが適切であることを保証します。

  • CMMC 認定を受ける必要がある組織とは?

    DoD は、30 万を超える組織が CMMC の 5 つのレベルのいずれかで評価および認証が必要だと見積もっています。これには、元請け業者、下請け業者、そして DoD に販売するあるいはサービスを提供する全ての組織が含まれます。

  • DoD が CMMC 要求を実行する時期

    DoD は CMMC 要求事項を 2020 年に始まる新しい契約書に段階的に取り込む予定です。2020年においては、DoD は 10 項目の情報要求 (RFI) および 10 項目の提案要求 (RFP) を計画し、CMMC 要求事項を取り入れる予定です。今後 5 年に渡り、CMMC 要求事項は段階的に新しい DoD 契約書に取り入れられ、2026 年度までにはほぼ全ての DoD 契約書に CMMC 要求事項が含まれるようになります。

  • 現在 AWS を使用している DoD サプライチェーンメンバーはいますか?

    DoD サプライチェーンにおける幅広い組織、プログラム、および請負業者が AWS を使用して事業や運営を刷新しています。AWS を活用して安全な処理、維持、および保存できるように、セキュアな環境を米国で整えます。DFARS、DoD、クラウドコンピューティングセキュリティ要求事項ガイド (SRG)、米国連邦リスクおよび承認管理プログラム (FedRAMP) およびその他連邦コンプライアンスプログラムに準拠した連邦政府データ。

    ケーススタディをレビューして、AWS がどのように米国を含む DoD を支援しているか学べます。アメリカ国防兵站局アメリカ空軍アメリカ海軍特殊作戦軍、および Lockheed MartinRaytheonGDITのようなDoD 請負業者。AWS がどのようにして DoD の高いセキュリティ要求事項を満たしているかについて詳しく知りたい方は、Cloud Computing for Defenseのウェブサイトをご覧ください。

  • 当組織が認証を受けるにはどのようにしたらよいのでしょうか?

    CMMC により設立された、独立非営利認証機関 (AB) は認定第三者評価機関 (C3PAOs) の各評価者を指導し、認証しています。認可 C3PAOs を調査、選択し、提携して評価および認証するために、CMMC-AB は DoD 請負業者のための CMMC マーケットプレイスの立ち上げを計画しています。

    DoD 請負業者は C3PAO による独立したセキュリティ評価を 3 年毎に受け、特定の CMMC 成熟レベルに達していることが認証されます。CMMC-AB は必須の情報とアップデートをウェブサイト https://www.cmmcab.org で提供します。

  • AWS は CMMC 認証を受けていますか?

    CMMC-AB はこれから評価者と C3PAOs を特定および認定しなければならず、評価を行う認可を受けた C3PAOs のリストを提供するCMMC-AB マーケットプレイスはまだ作られていません。AWS は要求事項および認証のプロセスに関して DoD および CMMC-AB と連携しています。

  • AWS は CMMC 認証を支援するための方策を提供していますか?

    AWS は DoD および CMMC-AB と CMMC 要求事項に関して連携して、国防サプライチェーン (DSC) 内での採用と認証のスピードを上げています。CMMC-AB は認定 CMMC 評価者および C3PAOs の特定および訓練、認証プロセスの定義、FedRAMP 相互性、および CMMC マーケットプレイスの設立を現在進めています。AWS は CMMC ソリューションを顧客に提供し、顧客の CMMC 認証のスピードアップや、労力やリスクの低減に努めています。AWS は、自動化デプロイメント能力、参照アーキテクチャ、CMMC 実践責任マトリクス、FedRAMP 認証の継承可能性 (DoD による定義後) を含む CMMC ソリューションの提供を計画しています。また、 顧客が CMMC 認証を進める際に活用できるように、認証ドキュメントの作成支援も計画しています。AWS は、顧客事業と DoD プログラムの要求事項に基づいて、顧客が AWS CMMC ソリューションを当地域 (北バージニア州、AWS GovCloud (米国) 等) において柔軟にデプロイおよび認証出来るように努めています。

CMMC や DoD のコンプライアンスに関して質問がある場合は、AWS アカウントマネージャーに問い合わせるか、AWS コンプライアンスお問い合わせフォームを提出して担当のアカウントチームと連絡をとってください。

compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »