連邦サイバー規制CMMCレベル2を達成したグラナイト

建設請負業者であるグラナイトは、連邦政府のサイバーセキュリティ基準である「CMMC（Cybersecurity Maturity Model Certification）レベル2」認証を取得し、政府契約における重要なマイルストーンを打ち立てました。国防総省（Department of War）との契約には、2026年10月31日までにCMMC認証が必須となり、機密性の高い非分類情報（CUI）を扱う上での必須要件となっています。グラナイトは、110のセキュリティ要件すべてを満たし、320の評価目標をクリアするという「ほぼ不可能な完璧なスコア」を達成しました。

CMMCレベル2とは

CMMCフレームワークは、政府請負業者が連邦政府の基準を満たすためのサイバーセキュリティ慣行を認証するものです。CMMCレベル2では、110の必須事項と、300以上の管理策を実施する必要があります。グラナイトのCTOであるマルコム・ジャック氏は、サイバーセキュリティにおいて「人」が技術と同じくらい重要であると強調しています。

グラナイトの認証への道のり

ジャック氏によると、グラナイトのCMMC認証取得への道のりは、表向きは2年間とされていますが、実際には2019年に政府が新たな国防連邦調達規則補足（DFARS）の規制を発表した時点から始まり、約5～6年の歳月を要しました。政府からの度重なる要求変更にも対応し、段階的なアプローチで実装を進めたとのことです。特に、内部監査チームや外部専門家と連携し、実装後すぐにテストを繰り返す「反復的なテスト」が成功の鍵であったと語っています。

サイバーセキュリティにおける「人」の重要性

ジャック氏は、CMMCの成功は技術的な問題だけでなく、IT部門と連邦部門の緊密なパートナーシップにあると指摘しています。日々の業務でCUIを扱う従業員が、ルール、規制、安全な取り扱いプロトコルを理解していることが不可欠であり、グラナイトは、トレーニングプログラムを通じて従業員の意識を高めたと説明しています。ジャック氏は、他の企業が技術導入に注力する一方で、「人」の側面を見落としていると警鐘を鳴らしています。

業界への教訓と今後の課題

ジャック氏は、CMMC認証を迅速に取得するには「2年前に始めるべきだった」と助言しています。急ぎの導入では、チームの適切な訓練がおろそかになりがちであり、本質的なセキュリティ強化には繋がらないと警告しています。コンサルティング会社が高額な費用で短期的な導入を提案するかもしれないが、それでは「人」の側面が欠け、効果的なサイバーセキュリティ体制を構築することは難しいと強調しました。

元記事: https://www.cybersecuritydive.com/news/granite-federal-cyber-regulations/810966/