Cybersecurity Maturity Model Certification(CMMC)は、Federal Contract Information(FCI)またはControlled Unclassified Information(CUI)を扱うすべての請負業者に対するDoD要件です。CMMC 2.0は元の5レベルを3つに統合しました:レベル1(基礎、FAR 52.204-21の15プラクティス)、レベル2(上級、NIST SP 800-171 Rev 2の110プラクティス)、レベル3(エキスパート、NIST SP 800-172の統制)。レベル2およびレベル3はサードパーティまたは政府主導の評価が必要です。
Top Floorは、防衛請負業者およびその下請業者が現状を把握し、ギャップを埋め、評価に備えるのを支援します。System Security Plan(SSP)の詳細なレビュー、NIST SP 800-171に対する現行統制のマッピング、POA&M項目の特定、実行可能な是正ロードマップの構築を行います。CUI境界の確立または改善が必要な組織には、コンプライアンスを犠牲にすることなく評価対象面を最小化するスコーピングガイダンスを提供します。
これはチェックボックス演習ではありません。CMM評価者はポリシー文書だけでなく、運用上の有効性の証跡を探ります。統制が実際に実装されていることを検証し、実際の実践を示す成果物を作成することで、そのレベルの精査に備えます。
Frameworks: CMMC 2.0, NIST SP 800-171 Rev 2, NIST SP 800-172, FAR 52.204-21
対象となる方
- DoD契約を追求または維持している防衛請負業者
- CUIを扱う防衛産業基盤の下請業者
- 元請業者に部品やサービスを供給する製造業者
- 防衛組織を支援するITサービスプロバイダー
- DFARS 252.204-7012のためにNIST SP 800-171準拠が必要な組織
提供内容
- CMMCレベル判定とスコーピング分析
- スコア付き発見事項を含むNIST SP 800-171ギャップ評価
- System Security Plan(SSP)の策定またはレビュー
- Plan of Action and Milestones(POA&M)の作成
- CUI境界定義とデータフロー文書化
- 評価準備と模擬評価サポート
よくあるご質問
ペネトレーションテストでCMMCコンプライアンスを強化する
実際の攻撃シミュレーションでセキュリティ統制を検証します。OSCP認定プラクティショナーが、外部・内部・Webアプリ・モバイル・API・IoT・ワイヤレス・Red Teamの8分野にわたる手動・方法論ベースのテストを実施します。
ペネトレーションテストを詳しく見る