世界中のますます多くの産業や政府がサイバーセキュリティ基準を規制している。最新のものはCMMCコンプライアンス、つまり米国国防総省(DoD)が開発したサイバーセキュリティ成熟度モデル認証(CMMC)である。これは、それを供給する30万を超える民間企業のセキュリティと回復力を向上させることを目的としている。
あなたの組織が国防総省の契約に入札する場合、あるいはCMMCに拘束される組織のサブサプライヤーとして活動する場合、正式な監査と認証プロセスを経なければならなくなりました。これがなければ、入札に参加することができなくなります。
Nozomi Networks OT IoT セキュリティおよび可視化ソリューションを使用することで、CMMCコンプライアンス・プログラムを可能な限りコスト効率よく、時間効率よく、サイバーレジリエントにすることができます。CMMCのフレームワークを見て、当社の製品ラインがコンプライアンス達成にどのように役立つかを見てみましょう。
知的財産の窃盗を防ぐCMMCの枠組み
過去には、サプライヤーがセキュリティ要件の詳細を受け取る前に、国防総省の契約が締結されていた。このため、かなりの数のセキュリティ監査が不合格となり、罰金が科された。これはサプライチェーンにリスクを加えるだけでなく、コストを押し上げることになった。CMMC 認証を契約プロセスの最初に配置することで、セキュリティ基準への準拠が低いことによる影響とコストの両方を軽減することができます。
CMMCの主な目標は、知的財産や機密情報の盗難を防ぐことである。このような情報は機密情報ではないが、悪意ある行為者にとっては依然として貴重であり、その損失は国家経済安全保障に対するリスクを増大させる。このような情報は、未分類情報(CUI)として管理されている。
CMMCは、サイバーセキュリティの成熟度を5つのレベルで測定する。各レベルでは、投資、ポリシー、能力、セキュリティ管理のレベルが異なる。
認証プロセスを開始していない場合は、レベル0です。CUIを維持していない場合、コンプライアンスをレベル1または2に制限できる可能性があります。
しかし、CUIやその他の機密データを保有している場合、またはCUI環境に移行する予定がある場合は、レベル3以上を選択するよう計画すべきである。レベル3の成熟度は、NIST SP-800-171のコンプライアンスと同様の性質を持っており、最善のセキュリティ投資となる可能性がある。
5段階のサイバーセキュリティ成熟度に加え、CMMCには他に2つの重要な要素がある:
- ドメインとは、サイバーセキュリティのプロセス、プラクティス、および能力のことである。全部で 17 のドメインがあり、成熟度レベルを超えてマッピングされている。
- プラクティスは 「ベストプラクティス」と考えることができる。171のプラクティスがあり、それらはドメインと成熟度レベルにまたがってマッピングされている。
各レベルには、17 のドメインと 171 のプラクティスにわたる要件が含まれている1。
CMMC関連環境の決定
CMMC規制の対象となるシステム環境を適切に判断することは、コンプライアンスを取得し、コストを抑えるために非常に重要である。
CUIは感染性があると考えられる。つまり、CUIと対象システムの間に明確な境界がない場合、どのCUIコンポーネント内の感染もすべてのシステムに感染すると想定される。水と同じように、感染はあらゆる場所に広がる。したがって、CUIがあり、境界がなければ、すべてがCMMCの適用範囲となる。
Nozomi Networks ソリューションは、CMMC規制におけるシステムとネットワークの範囲を評価する際に、貴重な洞察を提供します。このソリューションは、境界と境界内の資産を特定するのに役立ちます。これによって、どこで取り組みが始まり、どこで終わるべきかを理解するのではなく、特定のCMMC要件に準拠することに努力を集中することができます。
当社の製品を使用して Guardianを使用して、施設内のネットワークと資産をモデル化し、ベースライン化することは非常に有用です。実際のネットワーク・アクティビティと通信を理解し、ネットワーク・セグメンテーションが期待通りに動作していることを検証するのに役立ちます。これにより、CUI感染が他のシステムに広がることがなくなり、CMMCコンプライアンスを必要とする環境が拡大することがなくなります。
Nozomi Networks ソリューションが CMMC コンプライアンスをサポートする方法
Nozomi Networks ソリューションは、インフラ運用がサイバーリスクを効果的に特定、管理、低減できるようにするという CMMC モデルの主要な指令に沿ったものです。1つのソリューションでCMMCの中核となる複数のセキュリティ領域をカバーすることにより、全体的かつ効率的な方法でセキュリティを管理することができます。
要求されるCMMCプラクティスの中には、当社の製品に含まれる機能に直接マッチするものもあります。また、当社の技術が他のツールやプロセスに重要なサポートを提供することで、コンプライアンスに関する課題全体が大幅に軽減される場合もあります。
そして私たちのソリューションは、フレームワークの17のドメインのうち14のドメインにおいて、次のような方法で要件を満たすことを支援します:
- 最新の資産目録とネットワーク・トポロジーの維持
- 脆弱性、脅威、異常行動、サイバー衛生のリアルタイム評価の提供
- 継続的な脅威とasset intelligence
- インシデントレスポンスと修復の迅速化
コンプライアンスの旅に乗り出すと、IT、OT 、IoT インフラストラクチャのすべてのレイヤーにわたって、より少ないツールを使用してより多くのことを達成することが重要であることが明らかになります。
Nozomi Networkのソリューションは、強力な技術提携により、この分野で際立っています。これらの提携により、当社の製品はIT/OT セキュリティ・インフラやワークフローと迅速に統合され、お客様の効率を最大化します。
CMMCコンプライアンスを簡単に
Nozomi Networks ソリューションは、CMMC関連環境の決定を支援し、17のCMMCドメインのうち14をサポートする。
以下からダウンロード可能な資料には、当社のソリューションがコンプライアンス達成にどのように役立つかを正確に知るために必要な詳細が記載されています。14のドメインごとに、当社の製品スイートがどのような機能とプラクティスに対応し、どのように対応しているかを説明しています。
CMMCへの準拠とサイバー耐障害性の向上を迅速に実現する必要がある場合は、お気軽にお問い合わせください。
参考文献
- 「サイバーセキュリティ成熟度モデル認証(CMMC)」カーネギーメロン大学、ジョン・ホプキンス大学、2020年3月18日。
