CMMC導入の現状と課題

米国防総省（DoD）の新しいサイバーセキュリティ評価プログラムであるサイバーセキュリティ成熟度モデル認証（CMMC）の導入が迫っていますが、米国の国防請負業者の大半は、その要件を完全に満たす準備ができていないことが明らかになりました。

マネージドセキュリティプロバイダーであるCyberSheathが水曜日に発表した報告書によると、わずか1%の企業しか、11月10日に施行されるCMMCプログラムによる評価を受ける準備が完全にできていると回答していません。過去2年間で、準備状況に自信を持つ回答者の割合は減少しています。

国防総省のサイバーセキュリティ強化策

CMMCは、国防総省が請負業者のサイバー防御を監督する上で、大きな前進を意味します。軍当局は、国防企業がサイバーセキュリティを十分に重視せず、外国の敵対者が悪用する可能性のあるギャップを残しているという懸念に対応し、2019年にこのプログラムの策定を開始しました。

調査結果が示す準備不足の実態

しかし、約10万社に及ぶ国防産業基盤（DIB）企業のうち、多くがCMMC評価への準備に苦慮しています。CyberSheathの調査では、以下の深刻な準備不足が浮き彫りになりました。

• 必要なセキュリティ管理策を導入し、システムセキュリティ計画（SSP）や行動計画およびマイルストーン（POAM）を含む必須文書を完了している回答者は50%未満です。
• セキュアなバックアップ技術を導入している回答者は29%に過ぎません。
• パッチ管理システムを導入しているのは22%のみです。
• 多要素認証（MFA）を使用しているのは27%です。
• エンドポイント検出および対応（EDR）ソフトウェアを使用しているのは25%のみです。

また、完全なCMMCコンプライアンスに必要とされるSPRSスコア110点を報告した回答者は皆無であり、17%は依然としてマイナススコアを報告しています。請負業者の1%のみが100%の準備度を報告しましたが、準備度の中央値は70%でした。80%または90%の準備度を推定する企業も相当数存在します。

コンプライアンス遅延の深刻な影響

CyberSheathは報告書の中で、「CMMCが政策から調達へと移行するにつれて、遅延のコストはもはや契約の喪失だけでなく、機密性の高い国家安全保障情報の漏洩によっても測られる」と述べています。

この調査は、DIB全体の300社の請負業者を対象に実施され、そのうち89%がプライムコントラクター、18%がサブコントラクター、残りが両方の契約形態を持つ企業でした。回答者の多くはテクノロジーおよび製造業に属し、その他に建設、ヘルスケア、金融、建築業の企業が含まれています。

---

元記事: Cybersecurity Dive

---

元記事: https://www.cybersecuritydive.com/news/cmmc-defense-contractors-preparedness-survey/761538/