米国国防総省(DoD)は、防衛産業基盤(DIB)のすべての請負業者と下請け業者に対し、DFARS 252.204-7012 の「Safeguarding Covered Defense Information and Cyber Incident Reporting」に記載されている管理対象非機密情報(CUI)を保護するために、NIST SP 800-171 r2 に記載されているセキュリティ管理の実装を義務付けています。連邦契約情報(FCI)を扱う連邦政府の請負業者(防衛請負業者を含む)は、FAR 52.204-21「 「Basic Safeguarding of Covered Contractor Information Systems」のセキュリティ要件も遵守する必要があります。
NIST SP 800-171 r2 の遵守を形式化して検証するため、国防総省は 2024 年 10 月 15 日に CMMC プログラムを立ち上げました。これは、2024 年 12 月 16 日に発効した 32 CFR Part 170 CMMC プログラム規則によるものです。提案されている調達規則(48 CFR Part 204)では、DFARS 252.204-7021 が改正され、対象となる請負業者に CMMC 認証を義務付ける予定です。最終決定されると、国防総省の契約にCMMC コンプライアンスが段階的に導入されます。Google Cloud と Google Workspace は、請負業者がこれらの要件を満たすようサポートする準備が整っています。
CMMC プログラムには 3 つのレベルがあります。
レベル 1: FCI の基本的な保護
レベル 2: CUI の広範な保護
レベル 3: 高度な持続的脅威に対する CUI のより高レベルの保護
基本的に、CMMC レベルが高いほど、取り扱うデータの機密性が高くなり、サイバーセキュリティ要件が厳しくなります。
Google Cloud と Google Workspace で提供される、FedRAMP High 認証を受けた Google のサービスを利用することで、組織はあらゆるレベルの CMMC コンプライアンス要件をすべて満たすことができます。Google Cloud と Google Workspace はどちらも、対象となるサービスに対して FedRAMP High Authority to Operate(ATO)を維持しています。
Google は、CMMC コンプライアンス要件の遵守に役立つ以下のガイダンス ドキュメントを提供しています。
さらに、Google は独立した第三者評価機関が作成した次の証明書を提供しています。
Google Cloud の場合、FedRAMP High に準拠した Assured Workloads データ境界を使用し、CMMC コンプライアンスをサポートするためのシステムを構成する際には、CMMC の顧客責任マトリクス(CRM)を利用する必要があります。CRM など、上記のドキュメントを入手するには、Google のセールスチームまたは Google Cloud の担当者にお問い合わせください。
Google Workspace の場合、CMMC コンプライアンスには FedRAMP High 認証を受けたサービスを使用する必要があります。また、米国国内のみでデータを保存するために、Assured Controls Plus を使用する必要があります。必要に応じて、FedRAMP 認証を受けていないサービスを無効にできます。