米国国防総省によるサイバーセキュリティ成熟度モデル認証(CMMC)
CMMCとは?
CMMCとは、米国国防総省(DoD:United States Department of Defense)が開発した「サイバーセキュリティ成熟度モデル認証」(CMMC:Cybersecurity Maturity Model Certification)です。
「基本サイバーセキュリティ衛生」から「高度/プログレッシブサイバーセキュリティ衛生」までの複数の成熟レベルを包含し、基礎的なものから高度なものまで複数のサイバーセキュリティ規格(NIST SP 800-171、ISO 27001など)を1つに統合することを目的としています。
要件には、基本的に5つのレベルが設定されており、DoDと直接/間接に契約したい組織は最低限レベル1以上の認定が必須となります。「米国の防衛産業基盤」企業のサプライチェーンに関与する30万社以上が対象となると言われています。扱うデータや脅威に応じてどのレベルの認定を取るかが決められ、必要によりダイナミックにレベルが想定されています。
各成熟レベル(CMMCレベル)は、レベル 1 – 連邦契約情報 (FCI) の保護、レベル 2 – 管理された未分類情報の保護(CUI)を保護するためのサイバーセキュリティの成熟度の移行における移行ステップとして機能、レベル 3 -管理された未分類情報の保護(CUI)、レベル 4 および レベル 5 – CUIを保護し、APT攻撃のリスクの軽減です。レベル1は要求項目も17と最小限ですが、レベル5では171の要求に対応しなければなりません。
ドメインごとのプラクティスの数
2020年1月31日に公開されたCMMCのバージョン1.0(2020年3月18日に誤字などの修正を行ったバージョン1.02が公開済み)では、各ドメインについて、レベルごとにプラクティスを定義しています。全部で171項目あるプラクティスのドメインごとの数は次の通りです。
