2. CMMCモデルフレームワーク
CMMC モデルフレームワークは「領域(Domain)」毎に、最高レベルのサイバーセキュリティのベストプラクティスを分類している。
各「領域」は、一連の「能力(Capability)」によってさらにセグメント化されている。「能力」は各「領域」の中で、サイバーセキュリティの目標達成を保証するための実施すべき事項である。
企業は、CMMC の5つの成熟度レベルにマッピングされた「プラクティス(Practices)」と「プロセス(Processes)」の遵守を実証することで、必要な「能力」への準拠を実証することになる。
「プラクティス」は、特定の「能力」要件に準拠するために必要な技術的活動を測定し、「プロセス」は、企業のプロセスの成熟度を測定する。
各「領域」について、防衛産業基盤企業は、必要な「プラクティス」への準拠を実証し、特定の CMMC レベルに必要な成熟した「プロセス」を実証できる場合に、CMMC 認証を得ることができる。
| 領域 (Domains) | キーとなる一連のサイバーセキュリティ「能力」 |
| 能力 (Capabilities) | 各「領域」の中で、サイバーセキュリティの目標達成を保証するための実施すべき事項 |
| プラクティス プロセス (Practices & Processes) | 各成熟度レベルで、「能力」達成のために必要な活動 |
(1) CMMCレベル
CMMCモデルでは5つの成熟度レベルが定義されている。特定のCMMCレベルを満たすには、該当レベル以下の全てのレベルの「プラクティス」と「プロセス」を満たす必要がある。
| 成熟度 | プラクティス | プロセス |
| レベル5 | 上級/プログレッシブ (Advanced/ Progressive) | 最適化されている (Optimized) |
| レベル4 | 積極的 (Proactive) | 見直されている (Reviewed) |
| レベル3 | 優れたサイバー予防策 (Good Cyber Hygiene) | 管理されている (Managed) |
| レベル2 | 中級サイバー予防策 (Intermediate Cyber Hygiene) | 文書化されている (Documented) |
| レベル1 | 基本的なサイバー予防策 (Basic Cyber Hygiene) | 実施されている (Performed) |
- レベル1:
- CMMC レベル1は基本的なサイバー予防策に焦点を当て、規則 48 CFR 52.204-21で定める保護要求事項から構成されている。レベル1「プラクティス」は、上位レベルの基盤を確立するもので、対象となるすべての組織が達成しなければならない。
- CMMC 内のすべての「領域」にレベル1「プラクティス」があるわけではない。レベル1とレベル2の両方を満たすことで、組織は、FCIの提供を受けることができる。FCIは、一般公開を目的とした情報ではない。FCIは、政府向けの製品/サービスの開発/提供契約の下で、提供、生成されるもので、政府から一般に提供された情報は含まれていない。
- CMMC レベル1では、「プラクティス」の実施は求められているが、「プロセス」成熟度は求められていないため、CMMC レベル1組織のサイバーセキュリティの成熟度は、限定的であるか、一貫性がない。
- レベル2:
- CMMC レベル2は、中級サイバー予防策に焦点を当てている。より高度な「プラクティス」により、組織はレベル1に比べて、より多くのサイバー脅威から資産を保護し、維持する力が高くなる。
- CMMC レベル2では、「プロセス」成熟度が導入されている。CMMC レベル2では、サイバーセキュリティ・プログラムを実装するために、標準的な運用手順、ポリシー、戦略計画を策定し、文書化することが求められている。
- レベル3:
- CMMC レベル3として評価された組織は、NIST SP 800-171 Rev1のセキュリティ要件を満たす優れたサイバー予防策と管理策の効果的な実装を実証したことになりる。CUIへのアクセスや CUIの生成を必要とする組織は、CMMC レベル3を達成する必要がある。CMMC レベル3は、組織の資産とCUIを保護し、維持する基本的な力を有することを示す。しかし、CMMC レベル3では、APT(Advanced Persistent Threat、持続的標的型攻撃)の防御に関しては課題がある。
- 「プロセス」成熟度については、CMMCレベル3の組織は、ポリシーと手順に従った活動を十分にリソース化し、レビューし、「プラクティス」実装の管理を実証することが求められている。
- レベル4:
- CMMC レベル4では、組織は実質的かつ積極的なサイバーセキュリティ・プログラムを備えている。組織には、APTで使用されている変化する戦術、技術、および手順(TTP)に対処するために、保護および維持活動を適応させる「能力」がある。
- 「プロセス」成熟度については、組織は活動の有効性をレビューし、文書化し、問題を上位管理層に通知するすることが期待される。
- レベル5:
- CMMC レベル5では、組織は、サイバーセキュリティ機能を最適化する実証済みの能力を備えた先進的または進歩的なサイバーセキュリティ・プログラムを備えている。組織には、APTを撃退するためにサイバーセキュリティ「能力」を最適化する「能力」がある。
- プロセスの成熟度については、CMMC レベル5の組織は、「プロセス」の実装が組織全体で標準化されていることを確認することが期待される。
[CMMCレベル要約]
| レベル1 | レベル2 | レベル3 | レベル4 | レベル5 | |
| 技術的 「プラクティス」 | 連邦調達規則(FAR)で要求される基本的なサイバー予防策を実証する | 中級サイバー予防策を実証する | 優れたサイバー予防策とNIST SP 800-171 Rev 1のセキュリティ要求事項を実証する | 実質的かつ積極的なサイバーセキュリティ・プログラムを実証する | APT(持続的標的型攻撃)を撃退するために、「能力」を最適化する裏付けのある力量を実証する |
| 「プロセス」 成熟度 | 「プロセス」 成熟度 なし | 標準的な操作手順、ポリシー、および計画がすべての「プラクティス」に対して確立されている | 活動は、ポリシーと手順の順守についてレビューされ、十分なリソースが提供されている | 活動の有効性がレビューされ、経営層に問題が通知されている | 活動は、該当する全ての組織単位で標準化され、特定された改善点は共有されている |
CMMC「プロセス」と「プラクティス」への準拠は累積的である。一度あるレベルで導入された「プラクティス」は、全ての上位レベルで必要な「プラクティス」となる。組織がレベル3を達成するには、レベル1、2、および 3で定義されている全ての「プラクティス」と「プロセス」を達成する必要がある。特定のレベルの CMMC を実現するには、組織は、全ての「領域」で、そのレベル以下の「プラクティス」と「プロセス」の両方を満たす必要がある。例えば、「プラクティス」の実装でレベル 3 をスコア付けし、「プロセス」の制度化でレベル 2 をスコア付けする組織は、CMMC レベル 2 が割り当てられる。
CMMC では、「プラクティス」と「プロセス」制度化の実証が、どちらも重要であり、組織は両方の要求事項を満たす必要がある。
(2) CMMC 「領域(Domain)」
CMMC モデルは、17分野の「領域」で構成されている。 これらのCMMC「領域」の大部分(14分野)は、FIPS 200の最低限のセキュリティ要求事項の領域と NIST SP 800-171 管理策ファミリに由来している。これらに、CMMC モデルとして、資産管理(AM)、回復(RE)、状況認識(SA)の「領域」が追加されている。
17分野の「領域」とその略語は、以下のようになっている。
| 略語 | Domains | 領域 |
| AC | ACCESS CONTROL | アクセス制御 |
| AM | ASSET MANAGEMENT | 資産運用管理 |
| AA | AUDIT AND ACCOUNTABILITY | 監査と説明責任 |
| AT | AWARENESS AND TRAINING | 意識向上と訓練 |
| CM | CONFIGURATION MANAGEMENT | 構成管理 |
| IDA | IDENTIFICATION AND AUTHORIZATION | 識別と認証 |
| IR | INCIDENT RESPONSE | インシデント対応 |
| MA | MAINTENANCE | メンテナンス |
| MP | MEDIA PROTECTION | 記憶媒体の保護 |
| PS | PERSONNEL SECURITY | 要員のセキュリティ |
| PP | PHYSICAL PROTECTION | 物理的保護 |
| RE | RECOVERY | 回復 |
| RM | RISK MANAGEMENT | リスクマネジメント |
| SAS | SECURITY ASSESSMENT | セキュリティ評価 |
| SA | SITUATIONAL AWARENESS | 状況認識 |
| SCP | SYSTEM AND COMMUNICATIONS PROTECTION | システムと通信の保護 |
| SII | SYSTEM AND INFORMATIONAL INTEGRITY | システムと情報の完全性 |
以下に各「領域」の「能力」を示す。各「能力」の各レベルには、少なくとも1つの「プラクティス」が含まれている。
| 領域 | 能力 | |
| AC | アクセス制御 | システムアクセス要件を確立する内部システムアクセスを制御するリモートシステムアクセスを制御する許可されたユーザーとプロセスへのデータアクセスを制限する |
| AM | 資産運用管理 | 資産を特定し文書化する資産目録を管理する |
| AA | 監査と説明責任 | 監査要件を定義する監査機能を実行する監査情報を特定し保護する監査ログを確認し管理する |
| AT | 意識向上と訓練 | セキュリティ教育を実施する訓練を実施する |
| CM | 構成管理 | 構成基準を確立する構成管理と変更管理を実施する |
| IDA | 識別と認証 | 認証されたエンティティへのアクセスを許可する |
| IR | インシデント対応 | インシデント対応を計画するイベントを検出し報告する発生したインシデントへの対応方法を開発し実装するインシデント発生後のレビューを実施するインシデント対応をテストする |
| MA | メンテナンス | メンテナンス管理する |
| MP | 記憶媒体の保護 | 記憶媒体を特定しマーク付けする記憶媒体を保護し制御する記憶媒体をサニタイズする輸送中の記憶媒体を保護する |
| PS | 要員のセキュリティ | 要員をスクリーニングする人事処理中にFCI(連邦契約情報)を保護する |
| PP | 物理的保護 | 物理的アクセスを制限する |
| RE | 回復 | バックアップを管理する情報セキュリティの継続性を管理する |
| RM | リスクマネジメント | リスクを特定し評価するリスクを管理するサプライチェーンのリスクを管理する |
| SAS | セキュリティ評価 | システム・セキュリティ計画を作成し管理する管理策を定義し管理するコードレビューを実施する |
| SA | 状況認識 | 脅威監視を実装する |
| SCP | システムと通信の保護 | システムと通信のセキュリティ要件を定義するシステムの境界で通信を制御する |
| SII | システムと情報の完全性 | 情報システムの欠陥を特定して管理する悪意のあるコンテンツを特定するネットワークとシステムの監視を実施する高度なメール保護を実装する |
(3) CMMC「プロセス」成熟度
「プロセス」成熟度は、組織における「プラクティス」の制度化の程度を示している。例えば、CMMC レベル3の組織は、レベル3の「プラクティス」と、成熟度レベル3の「プロセス」の両方を満たす必要がある。
以下に、5つのCMMC レベルについて、組織に求められる「プロセス」成熟度を示す。(以下の「プロセス」が、各「領域」に、それぞれ適用される。)CMMC 正式版(v1.0)で、各「領域」に合わせた「プロセス」成熟度が公開される予定。
[CMMC「プロセス」成熟度レベル(ML:Maturity Level)]
| 「プロセス」成熟度 | 「プロセス」 | |
| ML1 | 実施されている | ML1で評価される「プロセス」成熟度はありません。レベル1の組織は、レベル1の「プラクティス」を実施しているだけで、「プロセス」の制度化は行っていない。 |
| ML2 | 文書化されている | 各「領域」のポリシーを確立する各「領域」のポリシーを実装するための「プラクティス」を確立する各「領域」の計画を確立する |
| ML3 | 管理されている | ポリシーと「プラクティス」を遵守するための 各「領域」の活動をレビューする各「領域」の活動に適切なリソースを提供する |
| ML4 | 見直されている | 各「領域」の活動の有効性のレビューし測定する各「領域」の活動に関する問題を上級管理層に通知する |
| ML5 | 最適化されている | 該当する全ての組織単位で、各「領域」に関する文書化されたアプローチを標準化する組織全体で、各「領域」の活動の特定された改善を共有する |