米国国防省が推進するCMMC2.0に向けて JaSROは米国Kompleyeと提携し、 情報セキュリティ対策の支援サービスを開始

一般社団法人日本セキュリティ格付機構(略称：JaSRO、本社：東京都中央区)は、Kompleye(本社：米国バージニア州レストン)と業務提携し、CMMC2.0に準拠した情報セキュリティ対策の支援サービスを2023年11月から開始します。

1. 趣旨
   米国国防総省(Department of Defense)は、サイバーセキュリティの成熟度モデル認定(Cybersecurity Maturity Model Certification、以下、CMMC)を用いた調達を計画しており、その基準となるCMMCの第2版(以下、CMMC2.0)が2021年12月に発表されました。CMMC2.0は管理策の中核として既存の米国基準(NIST SP800-171)を用いています。日本企業からの防衛品の調達も対象となっており、本格的に基準の適用開始が見込まれている2025年を目途に、日本企業も調達に求められるセキュリティ水準に応じて自己認証や第三者認証を行う必要に迫られています。
   そこで、JaSROはNIST SP800-171を用いた情報セキュリティ格付けの実績及びノウハウを用いてCMMC2.0への対応の支援を開始いたします。さらに、米国の監査機関であるKompleyeと業務提携し、充実した支援体制でサービスを提供することが可能となりました。Kompleyeは、CMMCのC3PAO(公認第三者審査機関)としての公式認定を受けており、CMMC-AB(Cybersecurity Maturity Model Certification Accreditation Body)と積極的に協力しCMMC2.0の普及、推進に尽力しています。

2. サービス内容
   JaSROは、日本企業のCMMC準備を円滑に進めるための支援に努め、CMMCの第三者認証はCMMCの公認C3PAOであるKompleyeが行う予定です。下記の「サービス内容」等よりご希望のサービスを指定いただき、お客様が抱える課題に絞り込み問題の解決を適切に効率よく行うことで、CMMCの第三者認証の取得等を支援いたします。
   また、CMMC2.0では取り扱う情報のレベルによって評価方法が定められており、レベル1(Federal Contract Informationに対応)では自己認証が可能となります。レベル2(Controlled Unclassified Informationに対応)は取り扱う情報の種類によって、自己認証もしくは第三者機関が認証を行うこととなりました。
   さらに、優先度の低い一部の管理策においては行動計画とマイルストン(POA＆M：Plan of Action & Milestones の略称)の利用が認められました。事業者がCMMC2.0の一部の要求に対し、180日以内に対策を講じるPOA＆Mを作成して対応することが可能となる見通しです。

JaSROは以上のCMMCの要求事項を踏まえ、Kompleyeが開発したCMMC2.0に準拠したレベル1およびレベル2の自己評価ツール(無償)を活用し、自己認証及び第三者認証に関する効果的なCMMCへの対応準備の支援を行う予定です。

(1) CMMC自己認証の対策支援(レベル1、レベル2の一部が対象,*1)
(2) CMMC第三者認証の対策支援(レベル2の一部が対象,1)
(3) POA＆M(行動計画とマイルストン)の作成支援
(4) CMMC導入に向けたマニュアル類の改定支援
(5) CMMC導入に向けた内部監査の支援(監査準備、監査実施及び報告)
(6) CMMC導入に向けたマネジメントレビューの実施支援
(7) CMMC第三者認証における審査陪席(陪席のうえ、記録及びアドバイス実施)
(8) CMMC第三者認証のおける指摘事項対応支援(審査完了までのフォローアップ及び指摘事項対応)
(9) お客様の外部委託先等の対応支援(調査、アンケート対応、CMMC対応支援等)
上記1は、Kompleyeが提供する自己評価ツールを活用する予定です。

(1) 上記【サービス内容(代表例)】よりサービス内容をご指定下さい。個別に御見積を作成いたします。

3. その他関連サービス
   JaSROは米国基準(NIST SP800-171)の情報セキュリティ格付けや政府情報システムのためのセキュリティ評価制度(ISMAP)の支援サービスも提供しております。CMMCに対応する際に、それらの要件と整合的な対策を講じることをご要望の場合はその旨をお知らせください。ご要望に応じた対応が可能となる支援チームを編成いたします。

(ご参考サービス事例)
●米国基準(NIST SP800-171/172 等)の情報セキュリティ格付け事例
http://jasro.org/news/pdf/JaSRO_NewsRelease_20221228.pdf
https://www.nikkei.com/article/DGXZRSP646952_Y2A221C2000000/

●政府情報システムのためのセキュリティ評価制度(ISMAP)への登録支援
http://jasro.org/news/pdf/JaSRO_NewsRelease_20221026.pdf

4. 提携先の紹介
   ●Kompleye Attestation LLCのCMMCに関するサービス内容は次のリンクを参照ください。
   https://www.kompleye.com/cmmc/
   Kompleyeは、Cyber-AB(CMMCの公式認定機関)よりC3PAO(公認第三者審査機関)として公式認定を受けています。

5. お問合せ先
   個別のお問合せはWeb会議システム等にて随時行います。
   ご希望の方はE-mailにて、 info@jasro.org 宛にご連絡ください。

一般社団法人日本セキュリティ格付機構　企画部
JaSRO(Japan Security Rating Organization)
E-mail： info@jasro.org
URL　 ： http://www.jasro.org/

〇JaSROは、世界初の情報セキュリティ格付を行う第三者評価機関です。
〇情報管理の対策水準を「格付」で確かめ合う社会システム作りに取り組んでいます。
〇政府情報システムのためのセキュリティ評価制度(ISMAP)対応の構築支援・内部監査支援を行っています。
〇政府ガイドライン、NIST SP800-171/172 等への対応の構築支援・内部監査支援を行っています。
〇ISO/IEC27001(ISMS)の改訂等に伴う、規格移行(適用宣言、マニュアル、教育研修等)の支援を行っています。