サイバーセキュリティ成熟度モデル認証 (CMMC)

CMMC 2.0 は、DoD の CMMC サイバーセキュリティモデルの次の段階です。要件をサイバーセキュリティの 3 つのレベル (Foundation、Advanced、Expert) に合理化し、各レベルの要件を、よく知られていて広く受け入れられている NIST サイバーセキュリティ標準と整合的なものとしています。

2021 年 12 月 3 日、DoD は CMMC 2.0 Model Overview を発表しました。CMMC 2.0 モデルは、Federal Acquisition Regulation (FAR) 52.204-21 で規定されている FCI の基本的な保護要件と、Defense Federal Acquisition Regulation Supplement (DFARS) の 252.204-7012 節に基づく NIST SP 800-171r2 の CUI のセキュリティ要件を包含しています。

• CMMC Level 1 (Foundational) は FCI のみを取り扱う企業を対象とし、情報は保護が必要ですが、国家安全保障にとって重要ではなく、17 の基本的な保護対策を必要とします: CMMC Level 1 Scoping Guidance
• CMMC Level 2 (Advanced) は CUI を取り扱う企業を対象とし、NIST SP 800-171r2 の 110 の実施事項を要求し、情報の種類に応じてサードパーティー評価または自己評価を必要とする場合があります: CMMC Level 2 Scoping Guidance
• CMMC Level 3 (Expert) は、CUI を取り扱う最優先プログラムを対象とし、NIST SP 800-172 のサブセットを使用して、政府関係者による評価が行われます

サイバーセキュリティは国防総省にとって最優先事項です。

Defense Industrial Base (DIB) は、ますます頻繁で複雑なサイバー攻撃の標的となっています。米国の創意工夫と国家安全保障情報を保護するために、DoD は CMMC 2.0 を開発し、DIB サイバーセキュリティを動的に強化して、進化する脅威に対応し、情報を保護しています。

CMMC が完全に施行されると、機密性の高い DoD の非格付け情報を処理する特定の DoD 請負業者は、契約を獲得するための条件として特定の CMMC レベルを達成することが求められます。

DoD は、CMMC 2.0 の規則制定プロセスが完了する前に、契約に CMMC の要件を含めることを承認することは予定していないと表明しました。 DoD はそのプロセスが完了するのに 2021 年 11 月から 9〜24 か月かかると見積もっています。

CMMC 2.0 が施行されると、DoD は、募集および情報提供依頼書 (RFI) (使用される場合) で必要な CMMC レベルを指定します。

DoD サプライチェーンにおける幅広い組織、プログラム、および請負業者が AWS を利用してビジネスや運営を革新しています。AWS を活用して安全な処理、維持、および保存できるように、セキュアなクラウド環境を米国で整えます。米国国防総省調達規則 (DFARS)、DoD、クラウドコンピューティングセキュリティ要求事項ガイド (SRG)、米国連邦リスクおよび承認管理プログラム (FedRAMP) およびその他連邦コンプライアンスプログラムに準拠した連邦政府データ。

導入事例を確認して、米国国防兵站局、米国空軍、米国海軍、米国特殊作戦軍を含む DoD、および Lockheed Martin、Raytheon、GDIT などの DoD 請負業者を AWS がどのようにサポートしているのかを知ることができます。AWS がどのように DoD の厳しいセキュリティ要件を満たしているかの詳細については、Cloud Computing for Defense のウェブページをご覧ください。

暫定的な DFARS 規則は、5 年間の段階的導入期間を定めています。この期間中、CMMC コンプライアンスは、Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)) によって承認された一部のパイロット契約でのみ必要となります。DoD は、CMMC 2.0 ルール作成プロセスが完了する前に、契約に CMMC 要求事項を含めることを承認するつもりはないと表明しました。

CMMC 2.0 が規則の制定を通じて正式に発効すると、DoD は改定された CMMC 2.0 フレームワークを遵守するよう企業に要求します。

いいえ。CMMC は、特定の CMMC レベルの要件と比べて、DIB 請負業者のサイバーセキュリティ機能とプロセスを測定します。

クラウドサービスプロバイダー (CSP) として、AWS は FedRAMP High で FedRAMP によって、ならびに SRG Impact Level 2、4、および 5 で Defense Information Systems Agency (DISA) によって承認されています。

いいえ。DoD は、FedRAMP や ISO 27001 情報セキュリティマネジメントなどの他のコンプライアンスプログラムが CMMC 2.0 レベルにどのようにマッピングされるかをまだ定義していません。

AWS CMMC Customer Package は、AWS GovCloud (米国) で AWS Landing Zone Accelerator を利用することにより、お客様が AWS から継承できる CMMC Level 2 / NIST SP 800-171 のセキュリティコントロールの内訳を提供します。

AWS CMMC Customer Package は、AWS の標準リージョンと AWS GovCloud (米国) リージョンの両方における AWS Artifact でダウンロードいただけます。

はい。AWS プロフェッショナルサービスのコンサルタントは、AWS GovCloud (米国) の AWS Landing Zone Accelerator のトレーニングを受けており、CMMC コンプライアンスの課題に対処するお客様の実装をサポートできます。

AWS は、お客様のビジネス要件や DoD プログラムおよび契約に基づいて、標準および制限付きリージョン (米国東部/西部、AWS GovCloud (米国) など) 全体で AWS CMMC 2.0 ソリューションをデプロイおよび認定する柔軟性をお客様に提供する予定です。