米国国防総省のサプライチェーンに求められるセキュリティ認定CMMC2.0について知っておくべきこと

  • 2025-05-07

1.はじめに

サイバーセキュリティの成熟度モデル認定(The Cybersecurity Maturity Model Certification:CMMC)は、米国国防総省(DoD)が防衛産業基盤企業への認定として2020年から適用を開始しました。DoDは翌2021年12月、その改訂版となる「CMMC2.0」を発表しました。2024年12月にはCMMCプログラムの最終規則が発効され、1.0と比べて成熟度レベルや設問が簡素化されましたが、引き続き第三者認証機関による評価を3年ごとに受ける必要があります。DoDの連邦契約情報(FCI)と管理対象非機密情報(CUI)を取り扱う防衛産業基盤企業およびDoDのサプライチェーンに関係する企業が2028年を目途に準拠を求められるため、影響の裾野が広いことが想定されます。また、今後2028年に向けて12カ月ごとに要件がレベルアップすることが予定されています。日本も例外ではなく、防衛省傘下の官庁では発注先にCMMCでも引用されているセキュリティ強化要件(NIST SP800-171)への対応)を求めており、このような動向からもCMMCの今後の展開には注視が必要です。本稿では、CMMC2.0へのバージョンアップに伴う主な変更点と今後の変更マイルストーンについてまとめます。

3.CMMCプログラムの最終規則「32 CFR(連邦規則集32)Part 170」の更新

2024年10月15日、米国国防総省(DoD)は、管理対象非機密情報(CUI)を保護するためのCMMCプログラムの最終規則とされる「32 CFR(連邦規則集32)Part 170」の更新を発表しました。CMMCを有効にするには、48 CFR(Part 204、212、217、252)と32 CFR(Part 170)の両方を更新する必要があります。
規則更新案の公表時点では、CMMCレベルに応じて満たすべき一連の要求事項として、米国国立標準技術研究所(NIST)特別刊行物(SP)800-171改訂版2およびNIST SP 800-172の一部が参照されています。これは、新しいNIST SP 800-171改訂版3のCMMCへの適用を今のところ除外するという方針が公表されたことに従ったものです。この改訂版3が適用されるのは、CMMCプログラムが広く一般に採用された後と予想されます。また、この規則には、前回の規則案に対する多くの重要な更新が含まれています。

主なアップデート:

  • 段階的アプローチのタイムライン
    CMMC適用開始時の元の4つのフェーズは残っていますが、フェーズ1は6カ月延長されて12カ月になりました。フェーズ1は、32 CFR Part 170または48 CFR Part 204のいずれか遅い方の発効日に開始されます。32 CFR Part 170は、2024年12月16日をもって発効しましたが、48 CFRは、2025年のある時点までにレビューを完了すると予想されていて、その時期がフェーズ1の正式な開始時期になると考えられます。ただし、請負業者は、国防総省が2024年12月16日から契約募集要件にCMMCを含めることができることに注意する必要があります。そのため、48 CFR Part 204が確定した後、請負業者と国防総省との間で双務契約が必要になります。
  • セキュリティ保護データ(SPD)の定義
    SPDとは、「セキュリティ保護資産(SPA)※1 によって保存または処理され、評価対象組織(OSA)※2 の評価対象環境を保護するために使用されるデータ」と定義されます。ルールに示された例には、
    • SPAを操作するために必要な設定データ
    • SPAによって生成または取り込まれたログファイル
    • 評価対象資産の設定または脆弱性の状態に関連するデータ
    • 評価対象環境へのアクセスを許可するパスワード

が含まれます。

  • 外部サービスプロバイダー(ESP)とクラウドサービスプロバイダー(CSP)の明確化
    更新されたCMMC2.0では、CMMCスコープ内のESPとCSPの要件が拡張されています。CUIを処理するESPは別途CMMC認定を必要としませんが、そのサービスは顧客の評価範囲に含める必要があります。SPDを処理するがCUIは処理しないCSPは、FedRAMP(クラウドサービスに対する米国政府機関の調達要件に関するセキュリティ認証制度)の要件を満たす必要はありませんが、それでも顧客の評価範囲に含める必要があります。CUIを管理するCSPは、FedRAMP Moderateの承認を取得するか、DoDのFedRAMP同等性メモ※3 で指定されている内容と同等のセキュリティ要件に対応し、FedRAMP Moderateの要件を満たす必要があります。これには、OSAとESP/CSPとの間の追加の協力が必要になる可能性が高いと推定されており、これらの第三者を評価する責任に対する期待は主にOSAに移っています。
  • 仮想デスクトップ環境(VDI)のスコーピング
    大きな変更点の1つとして、最終規則ではVDIアセットのスコープを明確に定義しています。VDIクライアントをホストするエンドポイントは、「クライアントが(VDIクライアントに送信されるキーボード、ビデオ、マウス入力を超えて)CUIの処理、保存、送信を許可しないように構成されている場合、スコープ対象外とみなすことができる」と明確化されました。
  • 評価レコードの保持要件
    この規則で強化されたのは、CMMC評価の成果物の保管と管理に関する要件です。この規則には、OSAと評価者はCMMC評価の成果物を6年間保管しなければならないという要件が含まれています。成果物は、主に評価中に使用された証拠から構成されます。さらにこの規則では、評価の証拠のハッシュを保管することを要求しており、成果物の完全性を維持するのに役立っています。すべての保管要件は、米国司法省(DOJ)の意見に従っています。

図表1:レベル2およびレベル3の段階的展開予定

4.国防総省は、2025年度に3,130億米ドルの防衛に関連する予算要求を実施

2020年、米国国防総省はセキュリティを強化し、機微な非機密情報を保護し、防衛サプライチェーンの可視性を強化するために設計されたCMMCプロセスを導入しました。
CMMCは、防衛産業基盤企業(DIB)だけでなく、DoDのサプライチェーン内の全ての企業が防衛契約に入札するために実装すべき標準、慣行、およびプロセスを義務付けています。DoDの運営とサポートに関する防衛予算要求は、2025年度には合計3,130億米ドル※4 に達しました。
防衛関連の請負業者は、標的型攻撃のターゲットになることがよくあります。連邦捜査局(FBI)がパートナー機関と共同で作成した報告書によると、少なくとも2020年以降、高度な脅威アクターが国防総省やその他の重要インフラを標的に、スパイ活動や破壊工作、評判の低下に関与していることが示されています※5 。対象には、米国政府のサービス、金融サービス、交通システム、エネルギー、ヘルスケアの各セクターに関連する事業体が含まれていました。
CMMCに準拠することは、大小合わせて22万もの請負業者とサブコントラクターに影響を与える重要な取り組みになる可能性があります※6 。CMMCは、The Defence Industrial Base(DIB)企業に加えて、高等教育(研究開発)、医療サービス、小売、重要インフラストラクチャプロバイダー(通信を含む)、テクノロジー(クラウドサービスプロバイダーを含む)など、伝統的業界と非伝統的業界の双方に影響を与えます。
CMMCプログラムのルールは、2024年10月15日付で連邦官報に掲載されました。CMMCプログラムの段階的な展開は、最終的なTitle 48 CFR CMMC取得ルールの発行から60日後に開始されます。
連邦政府のサイバーセキュリティ規制および要件の認証は、機密データの保護、サイバーセキュリティリスクの軽減、および契約の適格性の維持に不可欠です。

図表2:CMMCの各レベルと参照すべきその他の文書

出所:Office of the Under Secretary of Defense, Acquisition & Sustainment

5.ネクストステップ:CMMC2.0に備える

CMMCプログラムの最終規則の更新が2024年10月に連邦官報に掲載され、CMMCの段階的展開が間近に迫っています。一部の請負業者やサブコントラクターに対しては、2025年中にDoDの契約募集要件にCMMC要件が含まれるようになると想定されますが、前述のようにDoDの裁量のもと、早ければ2024年12月16日以降の防衛契約の募集要件にCMMCが含まれる可能性があります。
複雑なCMMCコンプライアンスには、迅速かつ規律ある対応、DoDの物品やサービス取得ルールに関する深い知識が必要になる可能性があります。第三者評価の前に全ての要件を満たすには、過去の自己評価よりもはるかに多くの労力がかかります。
CMMCコンプライアンスに向けたプロセスを開始するには、請負業者はまず自社のコンプライアンス環境(文書化、制御の有効性、リソース)を評価し、文書化と準備を継続的に拡大する必要があります。

6.2028年に向けて―日本企業への示唆

2025年時点ではレベル3取得は必須ではありませんが、2028年に向けて12カ月ごとに要件がレベルアップすることが予定されています。DoDの直接の請負業者だけでなく、サブコントラクターもCMMC遵守を想定した体制構築を考える必要があります。米国に限らず日本でも、防衛省傘下の官庁には発注先にセキュリティ強化要件(NIST SP800-171)への対応を求める動きがあり、防衛省のサプライヤーになっている日本企業もCMMCの今後の動向に注意が必要です。例えば、防衛装備庁から発表された「防衛産業サイバーセキュリティ基準について※7 」では、NIST800-171と同水準のサイバーセキュリティ対策の整備を、サプライチェーンに関わる企業に義務付けています。

※1 請負業者のCMMC評価範囲にセキュリティ機能または能力を提供する資産のこと。Security Protection Assets

※2 Organization Seeking Assessment

※3 Department of Defense, “Federal Risk and Authorization Management Program Moderate Equivalency for Cloud Service Provider’s Cloud Service Offerings”, https://dodcio.defense.gov/Portals/0/Documents/Library/FEDRAMP-EquivalencyCloudServiceProviders.pdf

※4 Congressional Budget Office, “Long-Term Implications of the 2024 Future Years Defense Program”, https://www.cbo.gov/publication/59511#data

※5 CISA, “FBI, CISA, NSA, and US and International Partners Release Advisory on Russian Military Cyber Actors Targeting US and Global Critical Infrastructure”, https://www.cisa.gov/news-events/alerts/2024/09/05/fbi-cisa-nsa-and-us-and-international-partners-release-advisory-russian-military-cyber-actors

※6 Department of Defence, “CMMC Program Final Rule”, https://www.govinfo.gov/content/pkg/FR-2024-10-15/pdf/2024-22905.pdf

※7 防衛装備庁『防衛産業サイバーセキュリティ基準について』 https://www.mod.go.jp/j/press/news/2024/05/17a_02.pdf

※8 CMMC(サイバーセキュリティ成熟度モデル認証)の認証を推進する、米国国防総省(DoD)と契約を結んだ非営利法人

執筆者

Chad Gray

パートナー, PwC United States

Email

Jessica Martin

パートナー, PwC United States

Email

小林 公樹

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

山崎 潤一

マネージャー, PwCコンサルティング合同会社

Email

デジタル化する工場のサイバーセキュリティ

20 results
Loading...

医薬品の安定供給を支える、OTセキュリティ実装の道筋とは

近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。

Loading...

PSIRTが認知すべき海外法規制解説

27 results
Loading...

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート

2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。

ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか

SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。

Loading...

インサイト/ニュース

20 results
Loading...

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。

Loading...

本ページに関するお問い合わせ

We unite expertise and tech so you can outthink, outpace and outperform
See how