CMMCの理解、CUIの保護、そして連邦サイバーセキュリティ基準の先取り
サイバーセキュリティの脅威が高度化するにつれ、政府機関や請負業者は機密データの保護に対するプレッシャーが高まっています。この取り組みの要となるのが、サイバーセキュリティ成熟度モデル認証(CMMC)です。これは、連邦政府のデータを扱うすべての企業が理解すべきコンプライアンス基準です。国防総省(DoD)のサプライチェーンに携わっている、あるいは携わろうとしている企業にとって、アプリケーション・ホワイトリストは役立つだけでなく、不可欠です。
これは、Adam Austin氏(Totem Technologies)、Willie Crenshaw氏(連邦サイバーセキュリティ・コンサルタント)、Corey Munson氏(PC Matic)が登壇した最近のウェビナー「アプリケーション・ホワイトリスト:CMMC成功のための重要なステップ」の中心テーマでした。
CMMCとは?
CMMCは、国防総省のサプライチェーン全体において、管理対象非機密情報(CUI)が適切に保護されるように設計されたフレームワークです。CUIは機密情報ではない場合もありますが、漏洩した場合、国家安全保障や公共の信頼に深刻な損害を与える可能性があります。
CMMCモデルには、サイバーセキュリティ成熟度を示す3つのレベルがあります。
- レベル1:連邦契約情報(FCI)の基本的な保護
- レベル2:NIST SP 800-171に準拠したCUIの保護
- レベル3:高度な保護(通常は機密性の高いデータを扱う請負業者向け)
組織がCUIを扱う場合、元請け業者であれ下請け業者であれ、レベル2またはレベル3の対象となり、アプリケーションの許可リスト登録を含む厳格な要件を満たす必要があります。
CMMCがこれまで以上に緊急に求められている理由
CMMCは長年開発が進められてきましたが、現在施行段階に入っています。最終的な規則策定が進行中で、今年末までに国防総省は請負業者に対し、コンプライアンスの証明を義務付ける予定です。これには、第三者による評価と、コンプライアンス違反に対する重大な契約上および法的措置が含まれます。
アプリケーションのホワイトリスト化
ホワイトリスト化とは、事前に承認されたソフトウェアアプリケーションのみをシステム上で実行できるようにするセキュリティ制御です。従来のウイルス対策モデルを覆し、既知の脅威をすべて特定するのではなく、未知または未承認のプログラムをデフォルトでブロックします。
ウェビナーで説明されているように、このアプローチはTSAゲートのセキュリティに似ています。
「リストに載っていないとセキュリティを通過できません。それがホワイトリスト化です」とアダム・オースティン氏は述べています。
CMMCにとってなぜ重要なのか
CMMCレベル2および3では、CUIの保護に関わる請負業者にアプリケーションのホワイトリスト登録が義務付けられています。これはNIST SP 800-171の構成管理ドメインに該当し、非常に重要でありながら見落とされがちな領域です。
「構成管理はサイバーセキュリティにおいて最も重要な側面です」とアダム・オースティン氏は述べています。「ホワイトリスト登録はその一部ですが、長い間無視されてきました。」
ビジネスオーナーが知っておくべきこと
たとえ国防総省と直接契約していなくても、CMMCモデルは連邦標準になりつつあります。民間機関もこれに追随することが期待されています。組織が連邦サプライチェーンに関与している、あるいは関与したいと考えている場合、これは今や重要な課題です。
導入は難しくありません
歴史的に、ホワイトリスト登録は導入が非常に難しいと考えられていました。しかし、ウェビナーで実証されたように、PC Maticのようなソリューションは、中小企業にとって実用的で拡張性が高く、効果的なホワイトリスト登録を実現します。
専門家が管理するグローバル許可リストを利用する場合でも、独自のローカル リストを作成する場合でも、PC Matic は CMMC に準拠した保護への迅速な道を提供します。
ウェビナーの完全版を視聴:
原文:Why Application Allowlisting is Critical for CMMC Compliance (July 14, 2025 / Jessica Molden)
