米国サイバーセキュリティ成熟度モデル認証(CMMC)

米国国防総省(DoD)は、防衛産業基盤(DIB)のすべての請負業者と下請け業者に対し、DFARS 252.204-7012 の「Safeguarding Covered Defense Information and Cyber Incident Reporting」に記載されている管理対象非機密情報(CUI)を保護するために、NIST SP 800-171 r2 に記載されているセキュリティ管理の実装を義務付けています。連邦契約情報(FCI)を扱う連邦政府の請負業者(防衛請負業者を含む)は、FAR 52.204-21 「Basic Safeguarding of Covered Contractor Information Systems」のセキュリティ要件も遵守する必要があります。

NIST SP 800-171 r2 の遵守を形式化して検証するため、国防総省は 2024 年 10 月 15 日に CMMC プログラムを立ち上げました。これは、2024 年 12 月 16 日に発効した 32 CFR Part 170 CMMC プログラム規則によるものです。提案されている調達規則(48 CFR Part 204)では、DFARS 252.204-7021 が改正され、対象となる請負業者に CMMC 認証を義務付ける予定です。最終決定されると、国防総省の契約にCMMC コンプライアンスが段階的に導入されます。Google Cloud と Google Workspace は、請負業者がこれらの要件を満たすようサポートする準備が整っています。

CMMC の 3 つのレベルとは

CMMC プログラムには 3 つのレベルがあります。

レベル 1: FCI の基本的な保護

  • 焦点: FCI の保護(契約番号や納期スケジュールといった基本情報など)。このレベルは、国家安全保障に不可欠な情報を管理することのない小規模な組織が条件を満たせるように、よりシンプルに設計されています。 
  • 要件: 15 の基本的なサイバーセキュリティ対策(パスワードの定期的な変更、ウイルス対策ソフトウェアの使用など)。
  • 評価: 年次自己評価。
  • 適用対象: FCI を何らかの形で扱うすべての請負業者に必要。最も一般的なレベルです。

レベル 2: CUI の広範な保護

  • 焦点: CUI の保護(安全保護対策や情報発信の制御の対象となるセンシティブ データなど)。このレベルは、国家安全保障にとって重要な情報を保護するように設計されています。
  • 要件: NIST SP 800-171 r2 に準拠した 110 のセキュリティ要件(システム セキュリティ計画(SSP)の維持、CUI 資産の特定、ログ記録、モニタリング、セキュリティの弱点を特定して修復するための脆弱性スキャン プログラムの実装など)。
  • 評価: 契約で定義。契約によっては自己評価が必要な場合もあれば、CMMC 第三者評価機関(C3PAO)による第三者評価が必要な場合もあります。
  • 適用対象: CUI を扱う請負業者に必要。

レベル 3: 高度な持続的脅威に対する CUI のより高レベルの保護

  • 重点: 重要なプログラムに対する機密性の高い CUI の保護。高度な持続的脅威(APT)から保護するための追加の安全保護対策に重点が置かれます。
  • 要件: レベル 2 の要件すべてに加え、セキュリティを強化するための NIST SP 800-172 の追加の実践(包括的なインシデント対応計画の策定、包括的な継続的モニタリング プログラムの実施、サプライ チェーンのセキュリティ リスクの評価と管理など)。
  • 評価: 米国政府主導の評価。Defense Industrial Base Cybersecurity Assessment Center(DIBCAC)が実施。
  • 適用対象: 特に機密性の高い政府プロジェクトに携わる請負業者に必要。これはあまり一般的ではないレベルです。
  • 前提条件: CMMC レベル 3 を取得するには、CMMC レベル 2 を取得済みである必要があります。

基本的に、CMMC レベルが高いほど、取り扱うデータの機密性が高くなり、サイバーセキュリティ要件が厳しくなります。

CMMC に準拠した Google Cloud と Google Workspace のサポート

Google Cloud と Google Workspace で提供される、FedRAMP High 認証を受けた Google のサービスを利用することで、組織はあらゆるレベルの CMMC コンプライアンス要件をすべて満たすことができます。Google Cloud と Google Workspace はどちらも、対象となるサービスに対して FedRAMP High Authority to Operate(ATO)を維持しています。

Google は、CMMC コンプライアンス要件の遵守に役立つ以下のガイダンス ドキュメントを提供しています。

  • Google Workspace CMMC 実装ガイド
  • Google Cloud CMMC 実装ガイド

さらに、Google は独立した第三者評価機関が作成した次の証明書を提供しています。

  • Google Workspace C3PAO CMMC 証明書(Google Cloud は 2025 年 8 月までに取得予定)
  • Google Cloud および Google Workspace の NIST SP 800-171 コンプライアンス証明書

Google Cloud の場合、FedRAMP High に準拠した Assured Workloads データ境界を使用し、CMMC コンプライアンスをサポートするためのシステムを構成する際には、CMMC の顧客責任マトリクス(CRM)を利用する必要があります。CRM など、上記のドキュメントを入手するには、Google のセールスチームまたは Google Cloud の担当者にお問い合わせください。

Google Workspace の場合、CMMC コンプライアンスには FedRAMP High 認証を受けたサービスを使用する必要があります。また、米国国内のみでデータを保存するために、Assured Controls Plus を使用する必要があります。必要に応じて、FedRAMP 認証を受けていないサービスを無効にできます。

次のステップ

$300 分の無料クレジットと 20 以上の Always Free プロダクトを活用して、Google Cloud で構築を開始しましょう。

  • Google Cloud プロダクト
  • 100 種類を超えるプロダクトをご用意しています。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。また、すべてのお客様に 25 以上のプロダクトを無料でご利用いただけます(毎月の使用量上限があります)。
Google Cloud