米国国防総省のサプライチェーンに求められるセキュリティ認定CMMC2.0について知っておくべきこと

1．はじめに

サイバーセキュリティの成熟度モデル認定（The Cybersecurity Maturity Model Certification：CMMC）は、米国国防総省（DoD）が防衛産業基盤企業への認定として2020年から適用を開始しました。DoDは翌2021年12月、その改訂版となる「CMMC2.0」を発表しました。2024年12月にはCMMCプログラムの最終規則が発効され、1.0と比べて成熟度レベルや設問が簡素化されましたが、引き続き第三者認証機関による評価を3年ごとに受ける必要があります。DoDの連邦契約情報（FCI）と管理対象非機密情報（CUI）を取り扱う防衛産業基盤企業およびDoDのサプライチェーンに関係する企業が2028年を目途に準拠を求められるため、影響の裾野が広いことが想定されます。また、今後2028年に向けて12カ月ごとに要件がレベルアップすることが予定されています。日本も例外ではなく、防衛省傘下の官庁では発注先にCMMCでも引用されているセキュリティ強化要件（NIST SP800-171）への対応）を求めており、このような動向からもCMMCの今後の展開には注視が必要です。本稿では、CMMC2.0へのバージョンアップに伴う主な変更点と今後の変更マイルストーンについてまとめます。

3．CMMCプログラムの最終規則「32 CFR（連邦規則集32）Part 170」の更新

2024年10月15日、米国国防総省（DoD）は、管理対象非機密情報（CUI）を保護するためのCMMCプログラムの最終規則とされる「32 CFR（連邦規則集32）Part 170」の更新を発表しました。CMMCを有効にするには、48 CFR（Part 204、212、217、252）と32 CFR（Part 170）の両方を更新する必要があります。
規則更新案の公表時点では、CMMCレベルに応じて満たすべき一連の要求事項として、米国国立標準技術研究所（NIST）特別刊行物（SP）800-171改訂版2およびNIST SP 800-172の一部が参照されています。これは、新しいNIST SP 800-171改訂版3のCMMCへの適用を今のところ除外するという方針が公表されたことに従ったものです。この改訂版3が適用されるのは、CMMCプログラムが広く一般に採用された後と予想されます。また、この規則には、前回の規則案に対する多くの重要な更新が含まれています。

主なアップデート：

• 段階的アプローチのタイムライン
  CMMC適用開始時の元の4つのフェーズは残っていますが、フェーズ1は6カ月延長されて12カ月になりました。フェーズ1は、32 CFR Part 170または48 CFR Part 204のいずれか遅い方の発効日に開始されます。32 CFR Part 170は、2024年12月16日をもって発効しましたが、48 CFRは、2025年のある時点までにレビューを完了すると予想されていて、その時期がフェーズ1の正式な開始時期になると考えられます。ただし、請負業者は、国防総省が2024年12月16日から契約募集要件にCMMCを含めることができることに注意する必要があります。そのため、48 CFR Part 204が確定した後、請負業者と国防総省との間で双務契約が必要になります。
• セキュリティ保護データ（SPD）の定義
  SPDとは、「セキュリティ保護資産（SPA）^※1 によって保存または処理され、評価対象組織（OSA）^※2 の評価対象環境を保護するために使用されるデータ」と定義されます。ルールに示された例には、
  • SPAを操作するために必要な設定データ
  • SPAによって生成または取り込まれたログファイル
  • 評価対象資産の設定または脆弱性の状態に関連するデータ
  • 評価対象環境へのアクセスを許可するパスワード
    

が含まれます。

• 外部サービスプロバイダー（ESP）とクラウドサービスプロバイダー（CSP）の明確化
  更新されたCMMC2.0では、CMMCスコープ内のESPとCSPの要件が拡張されています。CUIを処理するESPは別途CMMC認定を必要としませんが、そのサービスは顧客の評価範囲に含める必要があります。SPDを処理するがCUIは処理しないCSPは、FedRAMP（クラウドサービスに対する米国政府機関の調達要件に関するセキュリティ認証制度）の要件を満たす必要はありませんが、それでも顧客の評価範囲に含める必要があります。CUIを管理するCSPは、FedRAMP Moderateの承認を取得するか、DoDのFedRAMP同等性メモ^※3 で指定されている内容と同等のセキュリティ要件に対応し、FedRAMP Moderateの要件を満たす必要があります。これには、OSAとESP／CSPとの間の追加の協力が必要になる可能性が高いと推定されており、これらの第三者を評価する責任に対する期待は主にOSAに移っています。
• 仮想デスクトップ環境（VDI）のスコーピング
  大きな変更点の1つとして、最終規則ではVDIアセットのスコープを明確に定義しています。VDIクライアントをホストするエンドポイントは、「クライアントが（VDIクライアントに送信されるキーボード、ビデオ、マウス入力を超えて）CUIの処理、保存、送信を許可しないように構成されている場合、スコープ対象外とみなすことができる」と明確化されました。
• 評価レコードの保持要件
  この規則で強化されたのは、CMMC評価の成果物の保管と管理に関する要件です。この規則には、OSAと評価者はCMMC評価の成果物を6年間保管しなければならないという要件が含まれています。成果物は、主に評価中に使用された証拠から構成されます。さらにこの規則では、評価の証拠のハッシュを保管することを要求しており、成果物の完全性を維持するのに役立っています。すべての保管要件は、米国司法省（DOJ）の意見に従っています。

図表1：レベル2およびレベル3の段階的展開予定

5．ネクストステップ：CMMC2.0に備える

CMMCプログラムの最終規則の更新が2024年10月に連邦官報に掲載され、CMMCの段階的展開が間近に迫っています。一部の請負業者やサブコントラクターに対しては、2025年中にDoDの契約募集要件にCMMC要件が含まれるようになると想定されますが、前述のようにDoDの裁量のもと、早ければ2024年12月16日以降の防衛契約の募集要件にCMMCが含まれる可能性があります。
複雑なCMMCコンプライアンスには、迅速かつ規律ある対応、DoDの物品やサービス取得ルールに関する深い知識が必要になる可能性があります。第三者評価の前に全ての要件を満たすには、過去の自己評価よりもはるかに多くの労力がかかります。
CMMCコンプライアンスに向けたプロセスを開始するには、請負業者はまず自社のコンプライアンス環境（文書化、制御の有効性、リソース）を評価し、文書化と準備を継続的に拡大する必要があります。