CMMC(Cybersecurity Maturity Model Certification)は米国防総省(DoD)が2020年に正式公開したサプライチェーン向けサイバーセキュリティ認証制度で、DoDと契約する防衛産業基盤(DIB)企業約30万社を対象とする。従来のNIST SP 800-171自己評価では実効性が不十分だったため、第三者認証機関による監査を義務化する形に進化した。2025年に発効した改定版「CMMC 2.0」では3段階のレベル構造に整理され、運用が現実的になった。
この記事の目次
- Level 1〜3の構造
- C3PAOによる監査プロセス
- NIST SP 800-171との関係
- 日本企業への影響
- まとめ
Level 1〜3の構造
CMMC 2.0はLevel 1(Foundational)、Level 2(Advanced)、Level 3(Expert)の3段階で構成される。Level 1はFCI(連邦契約情報)を扱う契約者向けで、17のセキュリティ要件を自己評価する。Level 2はCUI(管理されていない機密情報)を扱う契約者向けで、NIST SP 800-171の110要件全てを満たす必要があり、原則として第三者認証機関(C3PAO)の監査が必須となる。
Level 3は最も機微なCUIを扱う契約者向けで、NIST SP 800-172の追加要件を満たし、DCMA DIBCAC(国防契約管理庁防衛産業基盤サイバーセキュリティ評価センター)が直接監査を実施する。レベルは契約ごとにDoDが指定し、契約者は該当レベルの認証取得が契約締結の前提条件となる。
C3PAOによる監査プロセス
C3PAO(CMMC Third Party Assessor Organization)はCyber AB(旧CMMC-AB)の認定を受けた独立監査機関で、現場視察・ドキュメント審査・インタビューを通じて要件適合性を検証する。監査結果はSPRS(Supplier Performance Risk System)に記録され、DoDが契約発注時に参照する。
監査準備はSSP(システムセキュリティ計画書)の整備、POA&M(行動計画書)によるギャップ管理、技術的統制(MFA、暗号化、ログ監査)の実装が中心となる。認証取得まで通常12〜18ヶ月かかり、中小企業には負担が大きいことが課題視されていた。CMMC 2.0ではLevel 1の自己評価化やPlan of Action容認により負担を軽減している。
NIST SP 800-171との関係
CMMCの実体は「NIST SP 800-171の要件をDoD契約者に強制し、第三者監査で担保する仕組み」である。SP 800-171は2015年から存在するCUI保護のための要件集だが、従来は契約者の自己申告に依存しており、コンプライアンス実態は乏しかった。
CMMC 2.0でLevel 2の要件はSP 800-171と完全一致し、Level 3はSP 800-172(高度脅威対策)の追加要件を含む。これによりCMMCは「NISTフレームワーク準拠の運用化」と位置付けることができ、既にFISMAやFedRAMPに対応している企業は移行がスムーズだ。DFARS 252.204-7012・7019・7020・7021の各条項とも整合する設計となっている。
日本企業への影響
CMMCはDoD契約者の下請けにも適用されるため、日本の防衛産業企業(三菱重工・川崎重工・東芝・NEC等)の米国子会社や、これら企業の二次・三次サプライヤーにも影響が及ぶ。F-35やイージスシステムの保守部品を扱う部門は、Level 2認証取得が事実上必須となる。
日本国内にC3PAOは未整備で、現状は米国C3PAOによる遠隔監査もしくは現地視察対応となる。日本の防衛省も同様の制度を検討しており、2023年の「防衛産業サイバーセキュリティ基準」はCMMCを参考にしている。CMMC対応はクラウド利用方針、ログ保管期間、インシデント報告体制など多岐に及び、CIO・CISO主導での全社プロジェクト化が必要となるレベルの取り組みである。
まとめ
CMMCは米国防衛サプライチェーン全体のサイバー成熟度を強制的に底上げする制度で、NIST準拠の自己申告から第三者監査への進化を象徴する。Level 1〜3の段階構造により企業規模に応じた負担調整が可能になったが、認証取得には依然1年超を要する。米国DoD関連事業を持つ日本企業は早期の準備着手が不可欠だ。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント