CMMCとは?

CMMC(Cybersecurity Maturity Model Certification：サイバーセキュリティ成熟度モデル認証)は、米国国防総省(DoD)によって策定されたフレームワークであり、同省のサプライチェーン全体におけるサイバーセキュリティの強化を目的としています。これにより、CUI(Controlled Unclassified Information：管理された非機密情報)などの機微な情報を取り扱う組織が、サイバー脅威から保護するために堅牢なセキュリティ対策を講じることを確保するものです。

CUIとは?

Controlled Unclassified Information（CUI：管理された非機密情報）：機密指定はされていないものの、不正アクセスや漏えいを防ぐために保護が必要とされる機微な情報を指します。例としては、技術図面、財務データ、法的文書などがあります。

NIST SP 800-171とは?

NIST標準：CMMCフレームワークは、National Institute of Standards and Technology（NIST：米国国立標準技術研究所） のガイドライン (特に NIST SP 800-171) に基づくセキュリティ要件を取り入れています。これらの標準は、データの保護やシステムのセキュリティ確保に関するベストプラクティスを定めています。

CMMCコンプライアンスについて

CMMCコンプライアンスには３つのレベルがあります。
　●レベル1（Foundational：基礎）
　●レベル2（Advanced：上級）
　●レベル3（Expert：エキスパート）

レベル1の達成を目指す企業や組織は、自社によるサイバーセキュリティ対策が基準を満たしていることを自己適合宣言することが認められます。
レベル2の達成を目指す企業や組織のうち、一部の認定された契約企業に限り、自己適合宣言をすることが認められます。その他すべてのレベル2の達成を目指す企業や組織は、独立した第三者機関による適合審査を受ける必要があります。
レベル3の達成を目指す企業や組織の場合、政府による監査が義務付けられています。

CMMCレベル2コンプライアンスの要件

CMMCレベル2は、「上級（Advanced）」成熟度レベルとも呼ばれ、管理された非機密情報 (CUI) を扱う組織向けに設計されています。これは、レベル1の基礎に加え、より厳格な管理策の導入とセキュリティプロセスの実施に重点が置かれています。レベル2のコンプライアンスを満たすには、NIST SP 800-171に規定されている110項目の要件を順守するとともに、CMMCフレームワークで義務付けられている追加のプロセスにも対応する必要があります。
CUIを取り扱う組織は、少なくともレベル2を達成する必要があります。レベル2のセキュリティ管理策は、NIST SP 800-171の110項目のセキュリティ要件と完全に一致しており、レベル2の認証は、組織がCUIを安全に保存、処理、送信できる能力を有していることを示します。

トランスビジョンでは、CMMC準拠に向けたソフトウェア、ハードウェア、およびドキュメントパッケージを提供し、認証取得に必要な時間やリソースの削減を支援しています。CMMC準拠に向けた取り組みを始め、米国国防総省（DoD）のサプライチェーンへの参入をご検討の際は、ぜひ当社にご相談ください。

防衛産業向け情報セキュリティシステムの構築に関する、お問い合わせ／ご相談等は、下記メールにて承ります。
CMMCに関するお問合せ先：　cmmc@transvision.co.jp

以下のドキュメントをクリックすると、さらに詳しい情報をご覧いただけます。

• NIST SP 800-171 Level 1 and Level 2 Difference (日本語版 PDF)
• Who Does Not Need to Comply with NIST SP 800 (日本語版 PDF)