政府機関がサイバーセキュリティ成熟度モデル認証 (CMMC) について知っておくべきこと

今年の初め、国防総省 (DoD) はサイバーセキュリティ成熟度モデル認証 (CMMC)バージョン 1.0 をリリースしました。これは、同省の広大なサプライ チェーンのセキュリティを確保することを目的とした、待望の統一規格です。 例えば、他国との緊張が高まると、報復がサイバー空間だけでなく「潜在的に脆弱な防衛請負業者」を通じて行われるのではないかと多くの人が懸念する。

5 年間にわたって展開される CMMC は、そのような脆弱性を排除しなくても軽減し、重大な国家安全保障上の課題に対処することを目的としています。 防衛産業基盤（DIB）には30万社以上の企業が含まれており、これまでそれらに対する監督は明らかに不十分であった。 これらの企業は、自社のシステムで機密性の高い防衛情報にアクセスし、保存しています。 CMMC は、この情報を保護するための重要なステップです。

長期的なメリットがあるにもかかわらず、CMMC は多くの請負業者に短期的な混乱をもたらす可能性があります。 請負業者は、業務内容に応じて、5 つの新しいセキュリティ レベルのいずれかを満たす必要があります。 ただし、セキュリティ体制を改善するためのスタートラインは、ほぼ同じです。

CMMCの準備

CMMC に続いてセキュリティのベストプラクティスについて理解を深めたいと考えている人にとって、継続的なセキュリティを強調する米国国立標準技術研究所 ( NIST ) のサイバーセキュリティ フレームワークは良い出発点となります。 NIST フレームワークは、識別、保護、検出、対応、回復という 5 つのバケット、つまり機能に分割されています。

最初のバケツは、もちろん基礎です。 脅威を特定するには、企業はまず自社のシステムの範囲を特定できなければなりませんが、これは BYOD やシャドー IT の時代には困難な場合があります。 従業員、資産、データについて十分に理解していなければ、システムを保護することはできません。 ただし、アプリ中心の可視化からSSL の可視性まで、この可視性を実現するために役立つツールは数多く存在します。 後者はトラフィックを復号化して再暗号化し、マルウェアが含まれていないことを確認します。

継続的な監視

システムとデータを完全に可視化することによってのみ、企業は一般的な Web エクスプロイト、悪意のある IP、および協調的な攻撃タイプからの保護など、必要な安全対策を講じることができます。 アクセス管理シングル サインオン、セキュア VDI、特権ユーザー アクセスなどのセキュリティ保護は、悪意のある行為者から保護する 1 つの方法を提供します。 簡単に言えば、連邦政府は請負業者が本人であることを確認し、それに応じて適切なレベルのアクセスを許可できる必要があります。

それでも、セキュリティはドアで止まるわけにはいきません。 ユーザーが認証された後も、企業は NIST フレームワークの 3 番目の要素である迅速な検出を実現するために、ユーザーのアクティビティを継続的に監視および記録する必要があります。 この目的のために、行動分析、人工知能、機械学習を使用して、トラフィックを分析し、危険な行動や異常な行動にフラグを立てることができます。

最初の 3 つのステップがなければ、最後の 2 つのステップ (対応計画の策定と、影響を受けたシステムと資産の復旧計画) はほぼ不可能になります。 もちろん、CMMC の目標は、この最後の 2 つのステップをまれに実行できるようにすることです。 継続的な監視により、国防総省の請負業者と下請け業者が侵害されることを一切防ぐことが目標です。

結論

短期的には、国防総省のサプライチェーンに属する企業は、可視性、保護、迅速な検出をサポートするテクノロジーに投資する必要があります。 これにより、認証とセキュリティに必要な基盤が構築されます。 多くの請負業者は CMMC の見通しに不安を感じるかもしれませんが、現実にはこれは長年の無視に対する必要な対応を表しています。

それでも、この新たなレベルのセキュリティによって、サプライチェーンで重要な役割を果たしている小規模な下請け業者が締め出されないようにすることが重要です。 良いニュースとしては、国防総省は、ほとんどの請負業者には基本的なサイバー衛生を中心としたレベル 1 の認定のみが必要であると見積もっていることです。 これらは、たとえ政府の機密データにアクセスしていなくても、企業が導入すべきベストプラクティスです。 防衛産業の関係者にとって、保護と検出の時代はもう終わりました。