サイバーセキュリティにおいて、要件とプロセスを理解することはあらゆる組織にとって不可欠です。国防総省(DoD)が立ち上げたサイバーセキュリティ成熟度モデル認証(CMMC)は、様々なサイバーセキュリティ標準のベストプラクティスを取り入れています。これは、連邦契約情報(FCI)と管理対象非機密情報(CUI)の保護を強化するために作成された、包括的かつ拡張性の高い認証です。現在、CMMCはバージョン2.0に移行しており、CMMC 2.0レベル1と自己評価戦略の理解が不可欠です。このブログ記事では、「CMMC 2.0レベル1自己評価」というキーワードを活用し、この分野における自己評価を理解し、実施するための包括的かつ技術的なガイドを提供します。
CMMC 2.0 レベル 1 の理解
CMMC 2.0 レベル1は、新しいCMMC標準における基本レベルです。このレベルの主な目的は、公開を意図していない情報を含む連邦契約情報(FCI)を保護することです。このレベルで行われる作業は、連邦情報の基本的な保護を確実にすることを伴うため、非常に重要です。
請負業者は、アクセス制御、メディア保護、物理的保護、システムおよび情報の完全性という4つの領域にわたる17のプラクティスを遵守することが不可欠です。これらの領域は、優れたサイバーセキュリティのベースラインを確立し、「CMMC 2.0 レベル1 自己評価」プロセスを開始するための一連の重要なアクションを表しています。
CMMC 2.0 レベル1自己評価の主要要素
CMMC 2.0 レベル1自己評価プロセスでは、主に上記の4つの領域におけるサイバーセキュリティ実践の詳細な分析と検証が行われます。各領域の詳細な要素は以下のとおりです。
アクセス制御
この領域は、ユーザーのIDと役割に基づいてネットワークとデータへのアクセスを管理および制限することを目的としています。実践には、最小権限の原則の実装、情報フローの制御、失敗したログオン試行の制限、組織の機能と情報へのアクセス制御などが含まれます。
メディア保護
この領域は、物理媒体と電子媒体(保管および処理の両方)の保護を確実にします。この領域における実践には、廃棄または再利用前の媒体のサニタイズ、媒体のマーキングと管理、FCIの取り扱い時のポータブルストレージデバイスの使用禁止などが含まれます。
物理的な保護
この分野の実践は、情報整合性を保護するために、システムおよび機器への物理的なアクセスを確実に制御することです。これには、物理的なアクセスの監視、訪問者の誘導、情報処理施設内の機器へのアクセス制御などが含まれます。
システムと情報の整合性
この領域の主な目的は、システムと情報の整合性を保護することです。重要な機能には、情報システムの欠陥を特定、報告、修正すること、悪意のあるコードからの保護を提供すること、システムのセキュリティに関する警告や勧告を監視することなどがあります。
CMMC 2.0 レベル 1 自己評価の手順
「CMMC 2.0 レベル1」の基礎と関連するドメインを理解したら、次は自己評価を実施しましょう。自己評価プロセスは、組織が公式のCMMC評価の準備に役立つ一連の手順です。「CMMC 2.0 レベル1 自己評価」の手順は以下のとおりです。
1. 初期評価を実施する
まず、必要な領域における組織のサイバーセキュリティの状況を把握することから始めましょう。これには、既存のポリシーと手順を確認し、既存のコントロールをCMMC 2.0の要件にマッピングすることが含まれます。
2. ギャップを特定する
初期評価が完了したら、次のステップでは、現在のプラクティスとCMMC 2.0 レベル1の要件との間のギャップを特定します。これらのギャップを明確化し、注意が必要な領域として検討します。
3. 行動計画を立てる
ギャップを特定した後、それらに対処するための戦略計画を策定します。これには、ギャップの深刻度に基づいた優先順位、実施に必要なスケジュール、およびリソースを含める必要があります。
4. 変更を実施する
行動計画の実施を開始します。これには、ポリシーの変更、新しい手順やテクノロジーの追加、人材のトレーニングなどが含まれる場合があります。進捗状況を追跡し、各ステップの記録を保管してください。
5. 最終的な自己評価を実施する
すべてのギャップが解消され、変更が加えられたら、最終的な自己評価を実施します。組織の準備として、外部評価と同様に厳格な自己評価を実施する必要があります。
結論として、新しいCMMC 2.0 レベル1は、必要なサイバーセキュリティのベストプラクティスに関して、請負業者に明確なガイドラインを提供します。連邦政府の契約情報のセキュリティを扱う上で、これらのガイドラインは連邦政府との契約に関わるあらゆる組織にとって有用な枠組みとなります。「CMMC 2.0 レベル1自己評価」を活用した自己評価は、これらの組織がサイバーセキュリティ成熟度の期待に応えるための十分な準備を確実に整えるための重要なステップです。サイバーセキュリティは単なる要件ではなく、現代のあらゆる組織にとって情報保護のための重要な戦略であることを忘れないでください。