※ 本記事は、Jerry Niemeyerによる”Oracle Government Cloud offers a faster path to CMMC 2.0 Level 1“を翻訳したものです。
2023年9月19日
Oracle US Government Cloudでは、FedRAMP Highの認定を維持し、サイバー・セキュリティ成熟度モデル認定(CMMC)で必要とされるコントロールの多くを検証します。評価および認可されたOCIコントロールを使用して、独自のセキュリティ体制を実証し、ソリューション全体を認定する手間を軽減できます。Oracle Cloud Infrastructure(OCI)は、CMMC 2.0 Level 1の自己評価要件を満たすための新しいツール・スイートを発表します。
CMMC 2.0とは?
CMMC 2.0は、米国国防総省(DoD)に商品またはサービスを提供する商業団体に適用される新しい認定基準です。現在のCMMCモデルは、DoD請負業者および下請業者と共有される連邦契約情報(FCI)および管理対象非機密情報(CUI)を保護するように設計されています。複数のセキュリティ標準が統合され、次のレベルで処理される情報の機密性に基づいて階層化されます。:
-
Foundational
-
Advanced
-
Expert
OracleのCMMC 2.0ガイダンスは、DoD Information (https://dodcio.defense.gov/CMMC/ にあります)に基づいており、DEC 2021で最新です。CMMC 2.0の変更はタイトル32 CFRとタイトル48 CFRの両方の規則作成プロセスを通じて有効になるまで、米国国防総省はCMMCのパイロット作業を中断し、CMMCの要件を DoD要請に含めることを承認しません。CMMC 2.0プログラム要件は、タイトル32 CFRルールメーキングが完了するまで必須ではなく、タイトル48ルールメーキングを通じて取得規制に必要に応じてCMMCプログラム要件が実装されています。
CMMC 2.0 Level 1は自己評価により達成され、Level 2とLevel 3は承認済のサード・パーティ・アセスメント組織(3PAO)のレビューを必要とします。Level 1は、FCIが処理、保存または送信される情報システムおよびCUIを保護するために必要な企業のサブセットを保護するためにのみ必要な企業に適用されます。
CMMCは誰に適用されますか?
DoDに商品またはサービスを提供している米国国防産業基盤(DIB)の一部である場合、組織でCMMCへの準拠が必要になることがあります。これまで、DoD要件を満たすことは、統合されたDoDポリシー、複数の機関標準、および適用性の混乱が原因で、DIBにとって困難でした。CMMCは、DIBがDoDでビジネスを簡単に実行できるように、これらの課題を克服できるように設計されています。CMMC 2.0は2021年11月にリリースされ、CMMC 2.0の最終ルール作成プロセスは2023年に開始されました。次のステップは、Federal Registerで提案されたルール作成の公開通知を待っています。
CMMC 2.0が完全に実装されている場合、DIBには独自の評価を完了する時間があります。最終的なルールでは、2024年秋までにCMMC 2.0への準拠が必要と予想されます。CMMC 2.0の詳細なレビューと履歴については、このブログ記事を参照してください。
DIB組織がCUI以外のFCIデータを処理する場合は、次の主な目的を持つLevel 1の認定を取得することが必要な場合があります。:
-
最初の目標は、経済的および国家的な安全保障を含むサイバー犯罪がもたらすリスクを軽減するために、NIST SP 800-171のコントロールの基礎に構築されています。FedRAMPに直接整列され、コード、個人およびプロセスに焦点を当てたセキュリティ制御を実装します。
-
2番目の目標は、CMMC 2.0への準拠を示すことで、これらの複雑な規格の採用を簡素化することで、DIBの負担を軽減することです。
役立つOracleツール
CMMC 2.0の要件を満たすコストを削減するために、OCIはDIBに役立つツール・スイートを開発しました。これらのツールは、お客様が所有するコントロールやOCIと共有するコントロールを支援するように設計されています。オラクルのInfrastructure-as-a-Service (IaaS)およびPlatform-as-a-Service (PaaS)製品(FedRAMP High JAB認定)について、OCIが所有するサード・パーティのアセスメント組織(3PAO)の監査コントロールの上に構築されます。
次のツールを使用すると、CMMC Level 1へのパスを簡略化できます。:
-
OCIは、政府の多くの要件に代わり、FedRAMPのガイドラインを満たす、階層化されたセキュリティ・ツールを提供しています。これらのツールは、DIBが独自のCMMC認定を取得する際に役立つ高度な認定ソリューションを提供します。
-
OCIは、SCCAのDoD要件を満たすようにテナンシを事前構成する、Coud Native Secure Cloud Computing Architecture (SCCA)ランディング・ゾーンをリリースしました。このSCCAツールは米国のDoD用に構築されましたが、OCIのすべてのお客様が使用できるようになりました。SCCAでは、OCIネイティブ・サービスを使用し、サードパーティのアプリケーションを調達またはインストールして政府の認定プロセスを開始する必要性を軽減します。クラウドネイティブSCCAランディング・ゾーンは、Secure Cloud Computing Architecture (SCCA)からNIST 800 Controls Mapping Guideに概説されているCMMC 2.0の要件の多くを満たすのに役立ちます。
-
『CMMC Level 1 Guide』は、OCI FedRAMP認定とSCCAのレイヤーから始まり、OCIが達成したコントロールと、テナンシ内のOCI共有コントロール上に構築する方法を特定するために使用できるステップバイステップ・ガイドを作成します。このガイドでは、各コントロールについて説明し、その内容を説明し、各コントロールがお客様固有のテナンシおよびその中に構築されたサービスに適用されるとおりに準拠する方法を提供します。このツールでは、各要件を満たすのに役立つその他のOracleテクノロジも推奨されます。
-
CMMCチェックリストを使用して、CMMC Level 1へのアプローチを文書化できます。17個のCMMCのチェックリストは、どのOCIが実現したかを示します。すべての共有コントロールについて、各コントロールをどのように満たすかを判断するのに役立つ一連の質問があります。ソリューションを特定して実装した後、そのドキュメントを証拠として使用して、CMMC Level 1の自己評価を完了できます。
次は?
CMMC 2.0は、PaaSまたはIaaSクラウド・サービス・プロバイダ(CSP)が単独で達成できる認定ではありません。これは、CSPがCMMC 2.0で評価されるすべてのコントロールを担当しないためです。ただし、Oracleは、実証済みおよび実証済みの特定のコントロールをクラウド・サービスに提供することで、CMMC 2.0認定の達成を支援できます。
Oracle Cloud for Governmentは、CMMC 2.0のコンプライアンスを求めるサービスまたは組織をホストするための優れたプラットフォームです。Oracleには、移行をサポートし、認定目標の達成に役立つ専用のチームと確立されたリソースがあります。
詳細は、次の資料を参照してください。: