セキュリティチェックリスト|CMMC
📌 CMMCとは?(概要)
正式名称:Cybersecurity Maturity Model Certification(サイバーセキュリティ成熟度モデル認証)
- 発行機関:米国防総省 (DoD)
- 初版発表年:2020年1月(正式導入)
- 最新バージョン:CMMC 2.0(2021年11月発表、2024年以降義務化予定)
- 目的:米国防総省(DoD)との契約企業(防衛サプライチェーン)におけるサイバーセキュリティ成熟度評価と機密情報(CUI)の保護を強化するため。
📌 設立背景
CMMCは米国防総省(DoD)が、サプライチェーンを通じたサイバー攻撃や情報漏洩の増加に対処するために制定しました。
- 従来の自己申告型(NIST SP 800-171への自己適合)の限界を克服するため。
- 第三者認証によって実際のセキュリティ成熟度を保証する必要があったため。
- 中国、ロシア、北朝鮮などの国家レベルの脅威による防衛機密情報漏洩の深刻化が背景にあります。
🔄 CMMCの更新頻度
- CMMCは正式策定以降、大きく2回改訂されています。
- CMMC v1.0: 2020年1月策定
- CMMC v2.0: 2021年11月改訂(2024年完全義務化予定)
- 約3〜4年周期で更新が予想されています(CMMC 3.0は2026〜2027年頃予定)。
📋【CMMC(v2.0)のセキュリティチェックリスト(主要項目)】
CMMC 2.0は、以下のように大きく3つのレベルに分かれており、特に「レベル2」以上ではNIST SP 800-171の110項目を準拠することが求められます。
🔸【CMMC v2.0 レベルの整理】
| レベル | 適用範囲 | 対象となる規格 |
|---|---|---|
| レベル1(基本) | 基本的な保護(17項目) | 自己評価 |
| レベル2(標準) | NIST SP 800-171の110項目準拠 | 第三者認証 |
| レベル3(高度) | レベル2 + 追加要件(NIST SP 800-172) | 政府による認証 |
実務上の標準レベル(大半の企業が要求されるのは「レベル2」です。
📌 CMMCレベル2で必要な主要カテゴリ・チェック項目(NIST SP 800-171準拠)
レベル2では以下の14カテゴリ・110要件が適用されます。
| セキュリティカテゴリ(14項目) | チェックリストの具体例 |
|---|---|
| アクセス制御 | 最小権限の設定・制限 |
| 認証と識別 | 多要素認証、強力なパスワードポリシー |
| 監査・責任追跡 | ログ取得・監査の仕組み整備 |
| インシデント対応 | インシデントレスポンスチーム・手順書作成 |
| システムと情報の完全性 | マルウェア対策、脆弱性管理 |
| セキュリティ評価 | 定期的なセキュリティ監査の実施 |
| アクセス制御 | 最小権限原則、アクセス制御 |
| 識別と認証 | 個人認証、MFAの実施 |
| 意識向上とトレーニング | 従業員へのセキュリティ教育実施 |
| メンテナンス | 保守作業時のセキュリティ確保 |
| メディア保護 | 機密データの暗号化と廃棄 |
| 人的セキュリティ | 従業員への身元確認とアクセス管理 |
| リスク評価 | 脅威評価・リスクアセスメントの定期実施 |
| 監査と責任追跡 | システムへの全アクセスの記録とログ保管 |
📋【CMMC認証準備・実務の進め方】
以下がCMMC導入の標準的な流れです。
- 範囲策定
- CUIを取り扱うシステムや業務範囲を明確に定義。
- ギャップ分析
- NIST SP 800-171の110項目に対する現状を評価。
- セキュリティ対策実施
- 足りないセキュリティ要件を満たすための改善計画実施。
- 第三者認証(レベル2以上)
- 認証評価機関(C3PAO)による評価と認証。
- 継続的改善・更新
- 定期的な再認証(3年ごと)と改善計画を継続的に実施。
📋 CMMCレベル2:14カテゴリ・110要件 チェックリスト
✅ 1. アクセス制御(22項目)
- 権限設定は最小特権原則に従う
- 情報システムへのアクセスを制限する
- リモートアクセス時のセキュリティ確保(VPN等)
- モバイルデバイス利用の管理
- 不正アクセスの即時検知と対応措置を整備
✅ 2. 意識向上とトレーニング(3項目)
- 定期的なセキュリティ教育を実施
- 教育実施状況を記録・保管
- セキュリティポリシーの周知徹底
✅ 3. 監査および責任追跡(9項目)
- 操作ログ(アクセスログ等)の取得
- 監査ログの定期的レビュー
- ログデータを不正に変更できないように保護
- インシデント時のログ分析手順の明確化
✅ 4. 設定管理(9項目)
- システムの設定変更を管理・文書化
- セキュリティベースラインの作成・遵守
- 承認済みのソフトウェアのみ利用を許可
- 未許可ソフトウェアの定期的な検知・削除
✅ 5. 識別および認証(11項目)
- 多要素認証(MFA)を義務化
- 強固なパスワード管理ポリシーを適用
- ユーザーアカウントを定期的に監査・管理
- 一定回数失敗でアカウントをロック
✅ 6. インシデント対応(3項目)
- インシデントレスポンス計画を策定
- インシデントレスポンスチーム(IRT)を設置
- インシデント対応訓練を年1回以上実施
✅ 7. メンテナンス(6項目)
- 定期メンテナンス時のセキュリティを確保
- メンテナンス時のアクセスを記録
- 保守作業後のシステムチェックを実施
✅ 8. メディア保護(9項目)
- 記録媒体(USB、外付けHDD)を暗号化管理
- 記録媒体の保管場所を施錠管理
- 記録媒体の廃棄手順を明確化し実施・記録
- 機密データの取り外しを記録
✅ 9. 物理的保護(6項目)
- サーバールームの入退室記録を取得
- 防犯カメラなどの物理的監視を整備
- 機器の物理的損傷や盗難を防止する手段を導入
✅ 10. 人的セキュリティ(2項目)
- 従業員の入社時のセキュリティチェックを実施
- 異動・退職時にアクセス権限を即時削除
✅ 11. リスク評価(3項目)
- 定期的な脆弱性スキャンを実施・記録
- リスクアセスメントを実施し改善計画を策定
- 脆弱性の迅速な修正対応を義務化
✅ 12. セキュリティ評価(4項目)
- セキュリティ管理プロセスの定期評価
- 外部専門家による第三者評価を実施
- セキュリティ改善の記録を保管
✅ 13. システムおよび通信の保護(16項目)
- 全通信経路の暗号化(TLSなど)を実施
- ファイアウォールを導入して不要な通信を遮断
- ネットワークの侵入検知システム(IDS/IPS)導入
- システムの分離(セグメント化)を行いリスク分散
✅ 14. システムおよび情報の完全性(7項目)
- ウイルス・マルウェア対策を必須化
- OS・ソフトウェアのパッチ管理を徹底
- システム異常をリアルタイム検知・通知可能な仕組みを整備
- ファイルの完全性チェックを実施(改ざん検知)
📋【CMMCレベル2 カテゴリ別要件数一覧(再掲)】
| カテゴリ | 要件数 |
|---|---|
| 1. アクセス制御 | 22 |
| 2. 意識向上とトレーニング | 3 |
| 3. 監査および責任追跡 | 9 |
| 4. 設定管理 | 9 |
| 5. 識別および認証 | 11 |
| 6. インシデント対応 | 3 |
| 7. メンテナンス | 6 |
| 8. メディア保護 | 9 |
| 9. 物理的保護 | 6 |
| 10. 人的セキュリティ | 2 |
| 11. リスク評価 | 3 |
| 12. セキュリティ評価 | 4 |
| 13. システムおよび通信の保護 | 16 |
| 14. システムおよび情報の完全性 | 7 |
| 合計 | 110項目 |
🚩【運用時の注意点】
- レベル2認証を取得するためには、第三者認証機関(C3PAO)による監査が必要です。
- 認証は3年間有効で、定期的に再認証が必要です。
- 各項目の適合証跡(ログ・文書化された手順・監査記録等)を確実に保管することが求められます。