サイバーセキュリティの成熟度モデル認定(CMMC)を読み解く (前編) ~CMMC1.0とは~
サイバーセキュリティの成熟度モデル認定(Cybersecurity Maturity Model Certification 、以下CMMC)とは、米国国防省(Department of Defense、以下DoD)が定めたサイバーセキュリティ調達基準です。CMMCには認証制度(CMMC認証)があります。
初版となるCMMC1.0は2020年1月に公開され、現在は2021年12月に公開されたCMMC2.0が最新版となります。本稿は前編として、CMMC1.0にフォーカスを当てて解説し、後編ではCMMC2.0をCMMC1.0と対比して解説します。対比することで今求められているサイバーセキュリティ対策が見えてきます。
CMMC策定の背景と入札への影響
DoDがCMMCを定めた背景には、年間450億ドルを超えるセキュリティ対策コストを圧縮する目的があるといわれています。セキュリティ対策はサプライチェーン全体が対象となるため、外部委託先の情報保全に関する体制の強化が急務でした。そこでDoDは、防衛産業基盤やそこに商品やサービスを提供する企業に対し、新たなセキュリティ要件としてCMMCを策定し、2025年までに認証を取得するよう促しました。
DoDは2025年までに、業務委託を依頼する際に開示する要件書、具体的には情報提供依頼書(RFI)や提案依頼書(RFP)に応札に必要なCMMCレベルを明記する予定です。つまり、DoDが発注をするすべての案件において、RFIやRFPに記載があるCMMCのレベルを満たしていないと入札ができない仕組みになります。
CMMC1.0の構成を読み解く
CMMC1.0はサイバーセキュリティに関するベストプラクティスを基に、17のドメイン(領域)と43の機能から構成されています。
【表1. CMMCの17のドメインと機能 その1】
| ドメイン(領域) | 機能 | 備考 | ||
|---|---|---|---|---|
| ドメイン名 | 略称 | 機能名 | 番号 | |
| アクセス制御 | AC | システムアクセス要求の確立 | C001 | |
| 内部システムアクセスの制御 | C002 | |||
| リモートシステムアクセスの制御 | C003 | |||
| 承認されたユーザーまたはプロセスへのデータアクセス制御 | C004 | |||
| 資産管理 | AM | 資産の特定と文書化 | C005 | ※ |
| 資産のインベントリ(資産管理や棚卸)管理 | C006 | |||
| 監査と説明責任 | AU | 監査要件の定義 | C007 | |
| 監査の実施 | C008 | |||
| 監査情報の特定と保護 | C009 | |||
| 監査ログのレビューと管理 | C010 | |||
| 意識向上とトレーニング | AT | セキュリティ意識向上に向けた活動の実施 | C011 | |
| トレーニングの実施 | C012 | |||
| 構成管理 | CM | 構成基準の確立 | C013 | |
| 構成管理と変更管理の実施 | C014 | |||
| 識別と認証 | IA | 承認されたエンティティへのアクセス許可 | C015 | |
| インシデントレスポンス | IR | インシデント対応計画 | C016 | |
| イベントの検知と報告 | C017 | |||
| 特定したインシデントに対する応答の開発や実装 | C018 | |||
| インシデントに対する事後レビューの実装 | C019 | |||
| インシデント対応のテスト | C020 | |||
| 保守 | MA | メンテナンスの管理 | C021 | |
| メディア保護 | MP | メディアの識別とマーク付け | C022 | |
| メディアの識別とマーク付けの保護と制御 | C023 | |||
| メディアの無害化 | C024 | |||
| 輸送中のメディアの保護 | C025 | |||
※このドメインはCMMCの独自の施策
【表2. CMMCの17のドメインと機能 その2】
| ドメイン(領域) | 機能 | 備考 | ||
|---|---|---|---|---|
| ドメイン名 | 略称 | 機能名 | 番号 | |
| パーソナルセキュリティ | PS | 担当者の選別 | C026 | |
| 人事異動に伴うCUIの保護 | C027 | |||
| 物理的保護 | PE | 物理的アクセスの制御 | C028 | |
| 復元 | RE | バックアップの管理 | C029 | ※ |
| 情報セキュリティ継続の管理 | C030 | |||
| リスク管理 | RM | リスクの特定と評価 | C031 | |
| リスクの管理 | C032 | |||
| サプライチェーンリスクの管理 | C033 | |||
| セキュリティ評価 | CA | システムセキュリティ計画策定と管理 | C034 | |
| コントロールの定義と管理 | C035 | |||
| コードレビューの実装 | C036 | |||
| 状況認識 | SA | 驚異監視の実装 | C037 | ※ |
| システムと通信の保護 | SC | システムと通信セキュリティ要件の定義 | C038 | |
| システム境界での通信の制御 | C039 | |||
| システムと情報の完全性 | SI | 情報システムの結果特定と管理 | C040 | |
| 悪意のあるコンテンツの特定 | C041 | |||
| ネットワークとシステムの管理の実施 | C042 | |||
| 高度な電子メール保護の実装 | C043 | |||
※このドメインはCMMCの独自の施策
この構成の軸となっているのは、米国国立標準技術研究所(NIST)が発行したガイドラインであるNIST SP800-171です。基本的にCMMCはCUI(※)の保護を目的とし、同じくCUIの適切な取り扱いを規定したNIST SP800-171をベースに策定されました。さらにCMMCはNIST SP800-171を強化する目的で、CMMC独自策である資産管理(AM)、復元(RE)、状況認識(SA)の3つの領域を追加しています。つまりNIST SP800-171に対応している組織は、この3つの領域を中心に強化することで、CUI保護の強化を図れるとともに、CMMCの認証も可能となります。
※CUI(Controlled Unclassified Information、管理された非格付け情報):機密扱い以外の重要情報、例えば、有害物質の取り扱い情報や、予算、買収関連情報、路線の安全情報等が含まれる
CMMCの評価は個別管理策である「プラクティス」とその管理策の運用・維持を評価する「プロセス」それぞれを評価することが大きな特徴になっています。プラクティスの考え方は、企業のサイバーセキュリティ評価の指標として有用なものといえます。
CMMC1.0は5段階評価
CMMC1.0は17のドメインをプラクティスとプロセスの双方、並列で評価する形となっており、成熟度レベルを最高位の「5」から「1」までの5段階に分けています。
プラクティスはサイバーセキュリティの目標を達成するために実施すべき事項を「能力」として定義しており、その実施すべき事項(管理策)の達成状況を評価します。レベルごとに指定された管理策があり、その管理策について対応できているかどうかを評価します。プロセスは、各レベルに関連付けられたプラクティスが効果的に実装・運用されていることを検証するものです。例えば管理策の対応についてのルール化、文書化、ポリシーの策定、定期的な見直しなどが挙げられます。
つまり、CMMCは各レベルに合った要件が管理策として策定されていることをプラクティスとして評価し、その管理策の運用をプロセスとして評価します。例えばレベル5を目指すのであれば、レベル5のプラクティスの要件を満たす管理策が策定されていること(プラクティスの評価)、その管理策が組織として標準化・最適化されていること、この2つを満たす必要があります。
プラクティスはレベルが高くなるにつれて、達成すべき管理策(設問)が増えていきます。レベル1では16ですが、レベル5では171となっています。詳細は下表の通りです。
【表3.CMMCのドメイン別プラクティス設問数】
| ドメイン | レベル1 | レベル2 | レベル3 | レベル4 | レベル5 | 合計 |
|---|---|---|---|---|---|---|
| アクセス制御(AC) | 4 | 10 | 8 | 3 | 1 | 26 |
| 資産管理(AM) | 0 | 0 | 1 | 1 | 0 | 2 |
| 監査と説明責任(AU) | 0 | 4 | 7 | 2 | 1 | 14 |
| 意識向上とトレーニング(AT) | 0 | 2 | 1 | 2 | 0 | 5 |
| 構成管理(CM) | 0 | 6 | 3 | 1 | 1 | 11 |
| 識別と認証(IA) | 2 | 5 | 4 | 0 | 0 | 11 |
| インシデント・レスポンス(IR) | 0 | 5 | 2 | 2 | 4 | 13 |
| 保守(MA) | 0 | 4 | 2 | 0 | 0 | 6 |
| メディア保護(MP) | 1 | 3 | 4 | 0 | 0 | 8 |
| パーソナルセキュリティ(PS) | 0 | 2 | 0 | 0 | 0 | 2 |
| 物理保護(PE) | 3 | 1 | 1 | 0 | 0 | 5 |
| 復元(RE) | 0 | 2 | 1 | 0 | 1 | 4 |
| リスク管理(RM) | 0 | 3 | 3 | 4 | 2 | 12 |
| セキュリティ評価(CA) | 0 | 3 | 2 | 3 | 0 | 8 |
| 状況認識(SA) | 0 | 0 | 1 | 2 | 0 | 3 |
| システムと通信の保護(SC) | 2 | 2 | 15 | 6 | 3 | 28 |
| システムと情報の完全性(SI) | 4 | 3 | 3 | 1 | 2 | 13 |
| 合計 | 16 | 55 | 58 | 27 | 15 | 171 |
各ドメインの最終評価はプロセス、プラクティスを双方、並列に評価し、レベルが低い方を採用します。例えば、アクセス制御(AC)について、プロセスがレベル2、プラクティスがレベル3だった場合、ACの最終評価はレベル2となります。また、全体評価は各項目の一番小さいレベルを採用します。例えばACがレベル2、それ以外がすべてレベル4だった場合、全体の評価はレベル2となります。
CMMC認証制度
CMMC認証は第三者による認証制度となっており、自己認証はできません。認証ができるのはDoDと契約を結んでいる非営利法人CCMC-AB(Cybersecurity Maturity Model Certification Accreditation Body)が認定したC3PAO(第三者認証機関)のみです。認証を受けるには、CMMC-ABのWebサイトに登録されたC3PAOを選択し、認証を依頼します。C3PAOに認証されれば、認証レポートとCMMC証明書が発行されます。
おわりに
ここまで、CMMCの1.0をご紹介してきましたが、CMMC2.0について2021年12月に詳細が公開されました。後編では、CMMC2.0を読み解き、CMMC1.0からの変更点を明らかにし、今求められるセキュリティ対策を解説していきます。
