更新
2023年12月26日国防総省は、サイバーセキュリティ成熟度モデル認証(CMMC)2.0プログラムに関する規則案を公表し、コメントを求めた。
2022年12月7日:CMMC 1.0から削除されたDMARCおよびその他の仕様がNISTに送られ、CMMCのベースとなっているNIST SP 800-171の将来の改訂に含まれることになった。
最新のアップデートについては、国防総省の最高情報責任者のウェブページをご覧ください。
以下は、2021年9月20日に発表されたものである。
サイバーセキュリティ成熟度モデル認証(CMMC)は、サイバー脅威から防衛請負業者を保護するために国防総省(DoD)によって開発されているサイバーセキュリティフレームワークです。CMMCは、知的財産、独自情報、および経済および国家の安全を脅かす資格情報の盗難を阻止するために、セキュリティコントロール、実践、および継続的な改善で構成される5つのレベルでサイバーセキュリティの成熟度を測定します。
組織が特定のCMMCレベルを達成しようとする場合、それはまた、それに先行する低いレベルも満たさなければなりません。そして、ほとんどのデータ侵害およびネットワークの悪用はフィッシングメールで始まるため、CMMCモデルはレベル3から電子メールの偽造保護が含まれています。
米国防総省(DoD)によると、「CMMCは、様々なサイバーセキュリティ基準とベストプラクティスを見直し統合し、基本的なサイバーハイジーンから高度なレベルまで幅広くマッピングします。特定のCMMCレベルに関連するコントロールとプロセスが実施されると、特定のサイバー脅威に対するリスクが軽減されます。」CMMCは、DFARS 252.204-7012に大きく基づいており、これは連邦契約業者に対し、NIST SP 800-171で定義された基本的なセキュリティ実践に準拠することを要求しています。
小規模から中規模のビジネスにとって現在のリソース障壁が多く存在するものの、DoDの目標は「小規模企業が低いCMMCレベルで実施するのにコスト効果的かつ手頃な価格であること」です。現在のDFARS規定は名誉に基づく自己報告に根ざしていますが、CMMCでは認定された第三者評価機関が現場での評価を行い、企業にCMMCの証明書を交付することが求められます。
FCWの記事によると、Cybersecurity Maturity Model Certification Accreditation Body(CMMC AB)のCEOであるマット・トラビス氏は、「CMMCデータを収容する国防総省のEnterprise Mission Assurance Support Service(eMASS)へのトレーニングとITアクセスが、サイバー評価を行う第三者機関に対して最終決定される必要がある」と報告しています。現在、CMMC評価のために4つの認定されたC3PAOが存在しますが、まだeMASSへのアクセスはありません。さらに、CMMCプログラムは公式リリース前に国防総省によってレビューされています。いくつかの動きがありますが、CMMC ABはモデルが最終レビュー段階にあると確信しています。現在、DMARC、SPF、およびDKIMはCMMCレベル3で適用されます。以下はCMMC付録ドキュメントからの抜粋です。
SI.3.219:電子メール偽造防止機能の実装
ソースからの議論CMMC
環境を有害なメールから保護することは、ウイルスやマルウェアがネットワークに侵入するリスクを減らす最良の方法の一つです。メール攻撃は、その単純さと組織の周辺防御を迂回する効果のため、現在の脅威アクターが使用する主要な攻撃ベクトルの一つです。高度なメール保護を実装することで、これらのメールベースの脅威が組織の防御を突破し、組織のエンドユーザーの受信箱に届くのを軽減するのに役立ちます。
CMCの明確化
基本的なスパム保護に加えて、メール保護を実装することが重要です。潜在的な高度なメール保護には、Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、Domain-based Message Authentication, Reporting & Conformance(DMARC)などがあります。SPFはDNSを使用して、特定のドメインに対してメールを送信できるサーバーを示します。DKIMは非対称暗号化を使用してメールメッセージの真正性を検証し、受信者にメールの合法性の保証を提供します。DMARCでは、組織がDKIMとSPFの組み合わせを導入することで、電子メールインフラをさらに強化できます。これには、著者(「From:」ドメイン名)へのリンクの追加、認証失敗の受信者処理に対する公開ポリシー、および送信者から受信者へのレポートが含まれ、ドメインを不正なメールからの保護の改善と監視に役立ちます。
例
組織のメール管理者として、望ましくないメールや有害なメールを可能な限りブロックするために追加の保護を追加したいと考えています。ドメインにSPFとDKIMの両方を有効にするDMARCポリシーを設定します。DNS設定にSPFテキストエントリを設定して、メールを送信できるサーバーを明示的に認証し、関連する送信メールがDKIMを使用して署名されるようにします。
多くの組織にとって最大のサイバーセキュリティリスクは、従業員が安全でないメールリンクをクリックしたり、危険な添付ファイルをダウンロードしたり、うっかり悪意のある行為者に機密情報を提供してしまうことです。残念ながら、CMMCレベル1の実践ではこれらのリスクに十分に対処していません。政府と取引のある組織が国家安全保障、そして自身を保護するための最も効果的な方法は、サイバーリスクを軽減する業界標準に時間とお金を費やすことに集中することです。
CMMCフレームワークのいくつかのセクションには、「人」のリスクを軽減するコントロールが含まれています。私は、組織がCMMCレベル1の実践にのみ準拠することが要求されている場合でも、CMMCレベル1、2、および3の「人」のリスク実践をすべて実装することを検討することをお勧めします。
ノースカロライナ・ミリタリー・ビジネス・センターのサイバーセキュリティ・コンプライアンス専門家、ローラ・ロジャース氏
CMMCへの準拠がサイバー脅威からの100%保護を意味するわけではないため、レベル3から始まるこのモデルは、企業のサイバーセキュリティプログラムにレジリエンス(回復力)を組み込むように設計されています。これは、組織が攻撃からできるだけ迅速かつ効果的に回復し、ビジネスの継続性を促進するのに役立ちます。
DMARCが推奨され、場合によっては必須のコントロールとして成長し続ける中、ドメインを乱用から守るための支援が必要な場合は、お知らせください。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください