サイバーセキュリティ成熟度モデル認証(CMMC)が施行されました
最新情報:
2025年11月10日:本日、米国防総省(DoD)によるサイバーセキュリティ成熟度モデル認証(CMMC)の最終規則が施行されました。防衛関連企業は、機密指定されていない機微な情報を扱うにあたり、CMMCに定められた特定のサイバーセキュリティ基準を遵守しなければなりません。
監査人は、国防総省(DOD)の契約業者に対するガイダンスにおいて、電子メールのセキュリティ基準を満たし、ドメインのなりすましやフィッシングを防止するため、DMARCの導入を推奨しています。これは、管理対象非機密情報(CUI)やその他の機密データを保護するという、CMMCレベル2および3の要件です。DMARCおよびその認証手段であるSPFとDKIMは、正当な電子メール送信者を検証し、CMMCの要件に準拠するための基盤となります。
ノースカロライナ州立大学セキュア・コンピューティング研究所のサイバーセキュリティ・プラクティス・ディレクターであり、NC-PaCEのディレクターも務める私たちの友人、ローラ・ロジャース氏は、ノースカロライナ州に拠点を置く組織がCMMCに準拠できるよう支援する講座を担当しています。
彼女は、国防総省(DoD)の現行および将来の契約業者に対し、以下の点を改めて注意喚起している:
- 国防総省は、本日より契約にCMMCの要件を盛り込むことができる。要件を満たしていなくても契約に入札することは可能だが、 規定を遵守していない場合、賞は授与されません. (契約の授与における)コンプライアンスの意味:
- CMMCレベル1:NIST SP 800-181 r2に記載された評価目標(FAR 52.204-21の統制項目に対応する)に対する自己評価を実施済みであること。 CMMCレベル1ではスコアは付与されず、POAM(行動計画およびマイルストーン)の提出は認められません。15のコントロールすべてが適切に実施されていない場合、契約は締結されません。貴社がコンプライアンスを満たしており、契約期間中もその状態を維持するという確約を含め、すべての情報はSPRSに記載する必要があります(年次確約が必要です)。
- CMMCレベル2:NIST SP 800-171 r2に規定される320の評価項目について、DoD評価手法を用いて自己評価を完了し、その結果をSPRSに登録済みであり、未解決のPOAMがない(つまり、110点満点のスコアを獲得している)。継続的なコンプライアンスの確認が必要である。
- CMMCレベル1:NIST SP 800-181 r2に記載された評価目標(FAR 52.204-21の統制項目に対応する)に対する自己評価を実施済みであること。 CMMCレベル1ではスコアは付与されず、POAM(行動計画およびマイルストーン)の提出は認められません。15のコントロールすべてが適切に実施されていない場合、契約は締結されません。貴社がコンプライアンスを満たしており、契約期間中もその状態を維持するという確約を含め、すべての情報はSPRSに記載する必要があります(年次確約が必要です)。
- SPRSにスコアを提出された場合、未完了のPOAM(CMMCレベル2)を完了させるための期間は180日間です(契約が180日以内に締結される場合は、その期間内となります)。また、SPRSでのスコアの更新もお忘れなく。
- フェーズIでは、自己評価の実施が義務付けられているが、国防総省は第三者による評価も実施する権利を留保する。
- 元請業者はフェーズIの要件に拘束されず、いつでも第三者による評価の要件を追加することができます。
その他のリソースはこちらをご覧ください:https://dodcio.defense.gov/cmmc/Resources-Documentation/
2024年10月30日:サイバーセキュリティ成熟度モデル認証(CMMC)
プログラム規則は、2024年12月16日より施行されます。
この最終規則により、国防総省(DoD)は、連邦契約情報(FCI)および管理対象非機密情報(CUI)を保護するために必要なセキュリティ対策が請負業者によって確実に実施されていることを確認するため、サイバーセキュリティ成熟度モデル認証(CMMC)プログラムを設立する。連邦官報
本規則で規定される仕組みにより、国防総省(
)は、防衛関連請負業者または下請業者(
)が、特定のCMMCレベル(
)のセキュリティ要件を確実に実施しており、契約の履行期間(
)を通じてそのステータス(
、すなわちレベルおよび評価の種類)を維持していることを確認できるようになります。本規則は、サイバーセキュリティ基準、要件、脅威(
)およびその他の関連する変化に対応するため、必要に応じて適切な規則制定手続き(
)を経て更新されます。
以下は、ノースカロライナ州立大学セキュア・コンピューティング研究所のサイバーセキュリティ・プラクティス・ディレクターであり、NC-PaCEのディレクターも務めるローラ・ロジャース氏からの追加情報です:
- 国防総省は、48 CFR 第204編「CMMC調達規則」の発効前に締結された契約にCMMC要件を盛り込むことができるが、その場合には、交渉を経て双方による契約変更が必要となる。
- 米国防総省(DoD)は、契約授与の条件として、8,350の中規模および大規模組織がCMMCレベル2の第三者評価機関(C3PAO)による評価要件を満たす必要があると推定している。
- 国防総省(DoD)の推計によると、初年度にはC3PAO主導によるCMMC認証評価が135件、2年目に673件、3年目に2,252件、4年目に4,452件完了する見込みである。
- 非連邦システム上でのFCIまたはCUIの処理、保存、または伝送を伴う入札およびそれに基づく防衛契約については、免除されない限り、契約者が契約の落札資格を得るために満たさなければならないCMMCレベルおよび評価タイプの要件が課される。
- 国防総省の調達担当幹部または各構成組織の調達担当幹部は、入札公告または契約書へのCMMCプログラム要件の記載を免除することを選択することができる。
- 国防総省は、主要請負業者に対し、CUIの伝達に伴う負担を軽減するため、下請業者と協力するよう奨励している。
- 各部門のプログラムマネージャーまたは業務を要請する担当者が、契約または調達に適用するCMMCレベルおよび評価の種類を決定する。
- 米国防総省(DoD)は、CMMC要件を選定する際に考慮すべきプログラム指標について、プログラム管理者向けに指針を発表した。
- 米国防総省は規則を改定し、フェーズ1の期間をさらに6か月延長した。フェーズ2は、フェーズ1の開始から1暦年後に開始される。
- CMMCレベル1では毎年、CMMCレベル2および3では3年ごとに評価を行う必要があります。また、CMMC評価範囲内の変更により評価が無効となる場合(範囲の変更など)も同様です。
2024年10月11日:CMMCプログラムに関する規則は、2024年10月15日に連邦官報に掲載される予定です。同規則は、掲載から60日後に発効します。
2023年12月26日:米国防総省は、「サイバーセキュリティ成熟度モデル認証(CMMC)2.0」プログラムに関する規則案を公表し、パブリックコメントを募集した。
2022年12月7日:DMARCおよびその他のベストプラクティスはCMMC 1.0から削除され、CMMCの基盤となっているNIST SP 800-171の将来の改訂版に盛り込まれるようNISTに送付されました。DMARC、SPF、DKIMは、CMMCにおける電子メール保護のために依然として不可欠なソリューションを提供しています。
その他の最新情報については、国防総省最高情報責任者(CIO)のウェブページをご覧ください。
以下は2021年9月20日に公開されたものです。
CMMCは、国防総省(DoD)が防衛関連企業をサイバー脅威から保護するために策定しているサイバーセキュリティフレームワークです。CMMCは、経済および国家安全保障を脅かす知的財産、機密情報、認証情報の盗難を防ぐため、セキュリティ対策、運用慣行、継続的改善からなる5つのレベルを用いて、サイバーセキュリティの成熟度を評価します。
CMMCは、さまざまなサイバーセキュリティ基準やベストプラクティスを見直し、統合し、これらの統制措置やプロセスを、基本的なサイバー衛生管理から高度なレベルに至るまでの複数の成熟度レベルに割り当てます。 特定のCMMCレベルにおいて、関連する制御措置およびプロセスが実施されれば、特定のサイバー脅威に対するリスクを低減することができます。CMMCは、連邦政府の請負業者に対し、NIST SP 800-171で定義された基本セキュリティ慣行の遵守を義務付けるDFARS 252.204-7012に大きく基づいています。
多くの中小企業にとって、CMMC認証の取得には現在、リソース面での障壁が存在するものの、国防総省(DoD)の目標は、「中小企業がCMMCの低レベルにおいて、費用対効果が高く、手頃な価格で導入できる」ようにすることである。信頼に基づく自己申告を前提とする現行のDFARS規定とは異なり、CMMCでは、認定を受けた第三者評価機関が現地評価を実施し、企業にCMMC認証書を交付することが義務付けられている。
CMMCレベル3では、DMARC、SPF、およびDKIMが適用されます。以下はCMMC文書からの抜粋です:
SI.3.219: 電子メールのなりすまし防止対策を実装する
出典:CMMC からの議論
有害な電子メールから環境を保護することは、ウイルスやマルウェアがネットワークに侵入するリスクを低減するための最善策の一つです。電子メール攻撃は、その簡便さと、組織の境界防御を容易に回避できる効果の高さから、今日の脅威アクターが利用する主要な攻撃経路の一つとなっています。高度な電子メール保護対策を導入することで、こうした電子メールを介した脅威が組織の防御を突破し、エンドユーザーの受信箱に届くのを防ぐことができます。
CMMCに関する説明
基本的なスパム対策に加え、メール保護対策を講じましょう。高度なメール保護対策としては、Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、Domain-based Message Authentication, Reporting & Conformance(DMARC)などが挙げられます。SPFはDNSを利用して、特定のドメインからメールを送信することが許可されているサーバーを明示します。 DKIMは非対称暗号技術を用いてメールメッセージの真正性を検証し、受信者に対してメールの正当性を保証します。DMARCは、DKIMとSPFを組み合わせて導入することで、送信者(「From:」)ドメイン名との紐付け、認証失敗時の受信者対応に関する公開ポリシー、および受信者から送信者への報告機能を追加し、電子メールインフラをさらに強化します。これにより、不正なメールからのドメイン保護を改善・監視することが可能になります。
例
組織のメール管理者として、不要なメールや有害なメールを可能な限りブロックするために、さらなる保護策を追加したいと考えています。そこで、ドメインでSPFとDKIMの両方を有効にするDMARCポリシーを設定します。また、DNS設定にSPFレコードを追加し、メール送信を許可するサーバーを明示的に認証するとともに、送信されるメールがDKIMで署名されるようにします。
多くの組織にとって最大のサイバーセキュリティリスクは、従業員自身にあります。従業員が安全でないメールのリンクをクリックしたり、危険な添付ファイルをダウンロードしたりすることで、知らず知らずのうちに悪意ある攻撃者に機密情報を提供してしまうのです。残念ながら、CMMCレベル1の要件では、こうしたリスクを十分にカバーできていません。政府と取引を行う組織が、国家の安全保障と自組織を守るための最も効果的な方法は、サイバーリスクを低減する業界標準に時間と資金を集中させることです。
CMMCフレームワークのいくつかのセクションには、「人的」リスクを低減するための管理措置が含まれています。たとえCMMCレベル1の要件のみを満たせばよい場合でも、組織はCMMCレベル1、2、3のすべての「人的」リスク対策の実施を検討することをお勧めします。
ノースカロライナ州軍事ビジネスセンターのサイバーセキュリティ・コンプライアンス専門家、ローラ・ロジャース
CMMCへの準拠は、サイバー脅威からの100%の保護を意味するものではありません。そのため、レベル3から始まるこのモデルは、企業のサイバーセキュリティプログラムにレジリエンスを組み込むことを目的として設計されました。これにより、組織は攻撃から可能な限り迅速かつ効果的に復旧することができ、事業継続が促進されます。
DMARCが推奨および必須の対策として普及し続ける中、ドメインの不正利用を防ぐためにサポートが必要な場合は、お気軽にお問い合わせください。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
