CMMC レベル2コンプライアンスを達成するために必要なこと

もしあなたのビジネスが国防総省（DoD）と契約していたり、制御される未分類情報（CUI）を取り扱っているなら、CMMC（サイバーセキュリティ成熟度モデル認証）レベル2のコンプライアンスが不可欠です。CMMCレベル1が基本的なセキュリティ対策に焦点を当てているのに対し、レベル2では14のドメインにまたがる110のセキュリティ対策が必要です。難しそうに思えますが、これを分かりやすく解説します。

CMMC レベル2とは？

CMMCレベル2は、サイバーセキュリティの「進展的」な段階を示しており、CUIのような機密情報をサイバー攻撃から保護することが目標です。このレベルは、NIST SP 800-171 フレームワークと密接に連携しており、14の主要なドメインでサイバーセキュリティを強化する必要があります。

では、この14のドメインで具体的に何をすればいいのでしょうか？以下で詳しく説明します！

1. アクセス制御 (AC)

このドメインでは、誰がどの情報にアクセスできるかを管理することが求められます。次のことが必要です：

• 機密データにアクセスできる人を制限する。
• 多要素認証を使用する（パスワードに加えて電話に送られるコードを要求するなど）。
• リモートアクセスを安全にする、特に在宅勤務の場合。

2. 意識向上とトレーニング (AT)

従業員は最前線の防御力です。このドメインでは：

• 全従業員にサイバーセキュリティに関するトレーニングを提供する。
• フィッシング詐欺や疑わしい活動の見分け方を教える。
• CUIの保護の重要性を従業員全員に理解させる。

3. 監査と責任 (AU)

システム内で誰が何をしているのかを追跡します。具体的には：

• ユーザーの活動を記録し、異常な行動を追跡する。
• これらの記録を定期的に確認し、セキュリティリスクや侵害を検出する。
• 監査ログが変更されないよう保護する。

4. 構成管理 (CM)

システムの設定を管理し、脆弱性を減らします。次のことが必要です：

• システムにインストールされているソフトウェアを管理する。
• すべてのソフトウェアをセキュリティパッチで最新の状態に保つ。
• 無許可の変更がないか、システムを定期的に確認する。

5. 識別と認証 (IA)

システムにアクセスするユーザーが本物であることを確認します。以下を実施してください：

• すべてのユーザーに固有のユーザーIDを割り当てる。
• 強力なパスワードと多要素認証を使用する。
• システムが一定期間使用されていない場合、自動的にログアウトする設定にする。

6. インシデント対応 (IR)

問題が発生したときにどう対応するかが重要です。このドメインでは：

• 侵害が発生した場合にどう対応するかを定めたインシデント対応計画を作成する。
• 「模擬」インシデントでこの計画を定期的にテストする。
• インシデントの記録とその解決方法を保持する。

7. メンテナンス (MA)

修理やアップデート中にシステムを安全に保つことが大切です。具体的には：

• システムのメンテナンスが安全に行われることを確認する。
• メンテナンス活動を監視し、特に第三者が関与する場合に注意する。
• メンテナンスを行える人を制限し、すべての変更を記録する。

8. メディア保護 (MP)

データの保存や取り扱いに関して、特に物理的な媒体（USBドライブや紙の記録など）を管理します。以下を実施します：

• USBドライブや外付けハードディスク、CDに保存された機密データを暗号化する。
• 機密情報を適切に廃棄する（紙の書類はシュレッダーで処理、古いハードディスクは完全に消去するなど）。
• CUIを含む物理的な媒体へのアクセスを制限する。

9. 人的セキュリティ (PS)

システムのセキュリティには人も関わっています。このドメインでは：

• 従業員や契約者に対して、機密情報にアクセスする前に身元確認を行う。
• 従業員が退職したり、CUIにアクセスする必要がなくなった場合、直ちにアクセス権を取り消す。

10. 物理的保護 (PE)

物理的なオフィスやサーバースペースのセキュリティを確保します。以下を実施してください：

• CUIが保管されているエリアへのアクセスを制限する（例：ドアを施錠する、入室にはバッジを必要とする）。
• 必要に応じてセキュリティカメラや警備員を配置する。
• 許可されていない訪問者が機密エリアにアクセスできないようにする。

11. リスク評価 (RA)

ビジネスには常にリスクが存在しますが、それを管理する計画が必要です。このドメインでは：

• サイバーセキュリティのリスクを定期的に評価する。
• システムの脆弱性を特定し、優先的に対策を講じる。
• リスクを軽減するために行ったステップを記録する。

12. セキュリティ評価 (CA)

セキュリティ評価により、防御が十分かどうかを確認します。以下を実施します：

• サイバーセキュリティの実践を定期的に内部でレビューする。
• 第三者の評価者を雇って、システムのセキュリティを評価してもらう。
• 結果を記録し、改善すべき点に対処する。

13. システムおよび通信の保護 (SC)

このドメインは、システム内の情報の流れを保護することに焦点を当てています。以下を実施してください：

• ネットワーク越しのデータを保護するために暗号化を使用する。
• 不正な通信をブロックし、ネットワーク活動を監視する。
• ファイアウォールやその他のセキュリティ対策を導入して、攻撃を防ぐ。

14. システムと情報の整合性 (SI)

最後に、このドメインはシステムの安全性を保ち、最新の状態に維持することに関するものです。次のことを実施してください：

• ウイルス対策ソフトを使用し、定期的にマルウェアをスキャンする。
• 脆弱性が発見されたらすぐにパッチを適用する。
• システムの異常な活動を監視し、問題を即座に対処する。

コンプライアンスへの道筋

それでは、これらを実施するためのステップを見てみましょう：

1. 現在のセキュリティ状況を評価する
   ビジネスのサイバーセキュリティ状況を確認しましょう。すでにカバーしている分野はありますか？ギャップがどこにあるのかを特定し、改善が必要な部分を見つけます。
2. 計画を作成する
   必要な改善点がわかったら、段階的にセキュリティ対策を導入する計画を立てます。最も重要な分野から優先的に対応するのが良いでしょう。
3. チームをトレーニングする
   サイバーセキュリティに関して全員が理解し、実施できるようにします。従業員にCUI保護の重要性やその方法を教えることが大切です。
4. すべてを文書化する
   CMMCは、適切な対策が講じられていることを証明することが求められます。トレーニングセッション、セキュリティ更新、インシデント対応などを記録に残しましょう。この文書は認証時に非常に重要です。

なぜ重要なのか

CMMCレベル2は単なるチェックリストではありません。機密情報が漏洩すると重大な影響があるため、レベル2のコンプライアンスを達成することで、CUIの保護に対する真剣な姿勢を示すことができます。

さらに、レベル2の認証を受けることで、より複雑で重要な契約に対応できるようになり、国防総省との契約のチャンスが広がります。サイバー脅威がますます高度化する中、レベル2の基準を満たすことは、信頼できるパートナーとしての証となり、政府クライアントとの長期的な関係構築につながります。

まとめ CMMCレベル2の達成には努力が必要ですが、適切な計画とステップを踏むことで実現可能です。これら14のドメインを一つ一つクリアすることで、コンプライアンスだけでなく、全体的なセキュリティ体制も強化できます。ビジネスとクライアントにとって、セキュリティを強化することは大きなメリットです。

セキュリティを保ち、コンプライアンスへの道を進んでください！