登壇者
Chad Gray(チャド グレイ)
PwC米国
パートナー
Jessica Martin(ジェシカ マーティン)
PwC米国
パートナー
CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認定)は、米国国防総省(DoD)が防衛調達に関わる企業に求めるサイバーセキュリティ認定制度です。2025年11月にはCMMC 2.0の段階的導入が開始されました。本稿では米国における最新動向を紹介するとともに、同制度が日本企業に与える影響と取るべき対応を、PwC米国のChad Grayと Jessica Martinが解説します。
CMMCの概要と防衛サプライチェーンへの影響
最初にCMMCの概要を整理します。
CMMCは、DoDが設計したサイバーセキュリティ成熟度モデル認定制度です。防衛サプライチェーンに関わる企業が、自社のIT環境で扱う連邦契約情報(FCI)や管理対象非機密情報(CUI)を適切に保護することを求める制度です。
基盤となるフレームワークは「NIST SP(※) 800-171」および「NIST SP 800-172」です。800-171ではCUIの保護を目的とした110のベースラインコントロール、800-172ではより高度な環境向けに24の追加コントロールが規定されています。
※ SP(Special Publication):米国国立標準技術研究所(NIST)が発行するサイバーセキュリティガイドライン
防衛産業基盤(DIB:Defense Industrial Base)は世界で30万社以上の企業で構成されており、その多くは米国外、特に日本に本社を置いています。国防総省がサイバーセキュリティ要件を強化する中、日本を含むアジアの企業にとって、具体的な準備指針がこれまで以上に重要になっています。CMMCは単なるコンプライアンス対応ではなく、国防総省と取引するための前提条件であり、サプライチェーン全体に最低限のセキュリティ基準を確立するものです。
CMMCは、グローバルな防衛サプライチェーンに関わる企業にとって極めて重要なサイバーセキュリティ要件となっています。国防総省は「認定がなければ契約はない」と明言しており、虚偽の申告を行った場合には虚偽請求防止法(False Claims Act)の下で法的責任を問われる可能性があります。実際に法的措置が取られた事例も出ています。
次からは以下の4点に焦点を当てて解説します。
- CMMC 2.0での変更点
- 導入スケジュールと準備への影響
- 対応を進める上で直面する典型的な課題
- 多国籍企業における運営・ガバナンスモデル
PwC米国 パートナー Chad Gray(チャド グレイ)
CMMC 2.0での変更点
CMMC 2.0では、認証体系が以下の3つのレベルに整理されています。
- レベル1: FCIの基本的な保護を目的とするレベルで、15項目の要件について年次の自己評価が求められます。
- レベル2:NIST SP800-171に準拠した110のコントロールが対象となり、リスクに応じて自己証明または認定第三者評価機関(C3PAO)による評価が必要となります。
- レベル3:NIST SP800-172に基づく高度な要件が適用され、政府による直接評価が実施されます。
CMMCの認定・評価に関わる主要機関は、国防総省、Cyber AB(CMMC認定制度の公式認定機関)、国防契約管理局(DCMA)傘下のDIBCAC(防衛産業基盤サイバーセキュリティ評価センター)、そして認定第三者評価機関(C3PAO)で構成されています。どの機関が関与するかによって評価の進め方や要求事項が変わるため、各機関の役割を理解しておくことが重要です。なお、PwCはRPO(登録実務者組織)として、認定取得を目指す組織の準備・評価対応を実務面から支援します。
導入スケジュールと準備への影響
次に、導入スケジュールが企業の準備態勢に与える影響を整理します。
2025年9月、防衛調達を規定する連邦規則「48 CFR Part 204」が公布されました。これは、国防総省が防衛契約においてCMMC要件の適用を開始することを正式に認めるものであり、同時にCMMC 2.0の段階的な導入スケジュールが定められました。具体的なスケジュールは次のとおりです。
最終調達規則の発効から60日後に当たる2025年11月10日からフェーズ1が開始され、ここからCMMCの適用が段階的に進められます。各フェーズは12カ月ごとに移行し、制度運用と評価体制を段階的に成熟させる設計になっています。
- フェーズ1:レベル1および多くのレベル2契約では自己評価が義務化されます。案件によっては、レベル2についてC3PAOによる認定評価が直ちに求められる場合もあります。
- フェーズ2(開始から1年後):レベル2認定の取得が一般化します。一部の入札案件では、レベル3の要件が初めて適用される可能性があります。
- フェーズ3(さらに1年後):該当する全ての入札案件および契約(オプション年を含む)で、レベル2認定の取得が全面的に求められます。
- フェーズ4:CMMC要件が全ての関連する入札および契約に完全に組み込まれます。
ここで強調したいのは、CMMCは「将来の要件」ではないということです。すでに2025年から契約判断に影響を与えており、国防総省には予定されたフェーズに先立って特定の契約に要件を適用する権限もあります。
証拠の整備、文書更新、システム境界のスコーピングには多くの時間を要します。入札が出てから準備を始めるのでは間に合いません。実際に認定取得に成功している企業の多くは、9カ月から18カ月前に準備を開始しています。
次に、認定取得に当たっての重要なポイントを確認します。
認定は単にコントロールを実装するだけでは完了しません。各コントロールが適切に運用されていることを、文書および証拠によって一貫して示す必要があります。
認定パッケージの中核となるのがシステム・セキュリティ・プラン(SSP)です。SSPでは主に次の内容を定義します。
- システム境界
- 資産インベントリ
- 外部サービスプロバイダー
- 各コントロールおよび評価目的に対する具体的な実装内容
さらに、認定パッケージには次の資料を含める必要があります。
- ポリシー、基準、手順書
- アクセスレビュー、変更チケット、プロビジョニングフォームなどの運用証跡
- クラウドおよびマネージドサービスに関する責任分担マトリクス
- 組織による自己評価の結果
是正措置計画(POA&M)
見落とされがちなのが、評価時の説明体制の準備です。C3PAOの評価では、コントロールを実際に運用している担当者へのヒアリングが重視されます。評価者は画面共有を求め、手順の実演や運用状況の説明を通じて、提示された文書と実際の運用が一致しているかを確認します。この準備が不十分な場合、認定取得に大きな支障が生じます。
PwCではこうした評価に備え、エビデンスプレイブックを作成しています。コントロールのオーナーが評価者から想定される質問を理解し、適切に説明できるよう事前に整理しておくためです。
対応を進める上で直面する典型的な課題
次にこれまでの支援経験とCMMCエコシステム内の事例を基に、企業が準備不足に陥りやすい7つの共通課題をご紹介します。
- 課題1:リソースの過小評価
多くの組織は、CMMCを比較的軽量なコンプライアンス対応と考えがちです。しかし実際には専任スタッフ、部門横断の連携、継続的なプログラム管理が必要になります。実際、専任のPMO(プロジェクト管理オフィス)を設置し、準備活動を専属チームで進めている企業も少なくありません。 - 課題2:文書の不備
文書の不備は、評価失敗の最も多い原因の一つです。ドラフト段階のポリシー、不明確な手順、証拠の欠如はいずれも評価を通過できない要因となります。評価時点では全ての文書が最終版である必要があり、さらに評価者は直前に整備された資料ではなく、一定期間にわたって継続的に運用されてきた証拠を求めます。 - 課題3:第三者リスク
CUIを扱うクラウド環境は、FedRAMP Moderate(※)以上の認可、または同等レベルの証拠を備えていることが求められます。同等性を示すには、C3PAOが評価可能なFedRAMP相当のエビデンスパッケージを用意する必要があります。
※ FedRAMP:米国政府が採用するクラウドサービス向けセキュリティ認可制度。ModerateはCUIなどの機微情報を扱う環境で一般的に求められるレベル。
またクラウド以外の外部サービスプロバイダーについても、CMMC要件への準拠が求められます。CUIを扱う場合、そのプロバイダー自身がCMMC要件に準拠していることを確認できなければなりません。さらに、サブコントラクターやサプライヤーとの契約においても、国防総省の契約条項を組み込むフローダウン要件(※)への対応が義務付けられています。
※ フローダウン要件:国防総省との契約で求められるセキュリティおよびコンプライアンス条項を、サブコントラクターやサプライヤーにも契約上適用させる義務 - 課題4:継続的監視の不足
CMMCは一度認定を取得すれば終わりという制度ではありません。ログ管理、アラート対応、脆弱性管理などが継続的に機能している状態を維持していることが求められます。C3PAOは、認定に先立ち、継続的な監視体制が確立されているかを確認します。 - 課題5:スコーピングの誤り
評価対象となるシステムの範囲(スコープ)の設定を誤り、CUIを扱わないシステムまで対象に含めてしまうことで、不要な複雑さを招いているケースが多く見られます。適切なスコーピングを行えば、対応コストとリスクを最大40%削減できる場合もあります。どこまでを評価対象とするかという境界を正確に定義することが、効率的な認定取得の鍵となります。 - 課題6:自己評価の未実施
C3PAO評価の前に内部自己評価を行っていない企業も多く見られます。現在は是正措置計画(POA&M)の許容範囲が厳しく制限されており、十分な準備を行わないまま評価を受けることは認定取得の大きなリスクとなります。 - 課題7:認定パッケージの未整備
SSPや各種証跡を含む認定評価用の資料一式(認定パッケージ)が整理されていない場合、認定取得は極めて困難になります。必要な資料を事前に収集・整理し、評価時の説明手順をリハーサルしておくことが重要です。
PwC米国 パートナー Jessica Martin(ジェシカ マーティン)
多国籍企業における運営・ガバナンスモデル
最後に、日本に本社を置く多国籍企業にとって、特に重要となる典型的なシナリオを2つ紹介します。
- シナリオA:日本本社+米国子会社
日本本社が米国子会社を通じて国防総省関連の契約業務を行い、CMMCレベル2の認定取得を目指すケースです。この場合の重要な原則は、CUIを米国内のホスティング環境(エンクレーブ)内に限定して保持することです。
国境を越えて管理・保管を行うと評価対象のスコープが拡大し、日本側のシステム、ID管理、サービスプロバイダーまで評価対象に含まれる可能性があります。その結果、準備負担と評価コストが大きく増加し、規制対応も複雑になります。
さらに、共有サービスにも注意が必要です。日本本社のIT部門が、米国エンクレーブで使用されるID管理、ネットワーク、セキュリティツールなどを運用・管理している場合、本社側のシステム環境が意図せず評価対象に含まれることがあります。 - シナリオB:日本サプライヤー+米国元請企業
日本企業が米国のプライムコントラクター(元請企業)に部品やサービスを提供するケースです。FCIのみを扱う場合はレベル1で対応可能ですが、CADファイル、技術データ、設計変更指示書などのCUIを扱う場合はレベル2への対応が必要になります。
この場合、ホスティングモデルの設計が重要です。日本側のIT環境を評価スコープに含めないため、管理アクセスを制限した米国内エンクレーブをパートナー側のホスティング環境として利用する企業が多くあります。
両シナリオに共通して重要となるのは、まず扱うデータがFCIかCUIかを早期に明確にすることです。その上でエンクレーブの境界を定義し、使用するクラウドプロバイダーがFedRAMPマーケットプレイスにおいてModerate以上の認可を取得しているかを確認する必要があります。さらに、共有責任モデルを採用する場合には、どのコントロールを誰が担当するのかを文書で明確にしておかなければなりません。
適切なスコーピングと明確な運用モデルを設計することで、CMMC対応を戦略的に管理できます。CMMC 2.0はグローバルな防衛サプライチェーンに関わる企業、とりわけ日本に本社を置く多国籍企業に直接的な影響を及ぼします。フェーズ1はすでに開始されており、対応を先送りにする余裕はありません。
最後にまとめると、「早期着手」「適切なスコーピング」「徹底した文書整備」「継続的なコンプライアンス維持」の4点が、認定取得の成否を分ける重要な要素です。
