アレシア総研株式会社

Alesia Research & Consulting, Inc.

米CMMC(サイバーセキュリティ成熟度モデル認証)制度

in

1. はじめに

米国の防衛産業分野では、2025年11月から、「サイバーセキュリティ成熟度モデル認証(Cybersecurity Maturity Model Certification:CMMC)」と呼ばれるサイバーセキュリティ認証制度の本格的な運用が始まりました。

この制度は、米国国防総省(Department of Defense: DoD1)の調達契約の履行に関連して、DoDが保護すべき情報として指定する「連邦契約情報(Federal Contract Information:FCI)」や「管理対象非機密情報(Controlled Unclassified Information:CUI)」を適切に保護することを目的としています。

CMMCの特徴は、DoDと直接契約を結ぶプライム事業者だけでなく、防衛調達のサプライチェーンに関与する事業者にも、一定水準のサイバーセキュリティ対策を求めている点にあります。そのため、米国防衛産業に参入している、あるいは参入を検討している日本企業にとっても、決して無関係な制度ではありません。 本稿では、CMMC制度の基本的な枠組みと、その概要について解説します。

2.CMMCには「3つのレベル」がある

CMMCでは、取り扱う情報の性質に応じて、3つのレベルが設けられており、どのレベルが求められるかは契約によって決まります(DoDが指定します。)。

ポイントは、「どんな情報を扱うのか」です。

レベル1:連邦契約情報(FCI)を扱う場合

レベル1は、FCIのみを扱う場合を想定した、最も基本的なレベルです。

  • 要件数は15個
  • 企業自身によるセルフアセスメント(自己評価)
  • 毎年の更新が必要
レベル2:管理対象非機密情報(CUI)を扱う場合

レベル2は、CUIを扱う企業が対象です。

CUIは「機密ではないが、漏えいすれば問題となる情報」で、防衛省における「保護すべき情報」に相当するものです。

  • 要件は、NIST SP 800-171 rev.22の110の要件(171はR3が最新ですが、CMMCでは依然としてR2を基準とするので要注意)
  • セルフアセスメント(自己評価)またはC3PAOと呼ばれる第三者機関による認証アセスメント(いずれによるべきかは契約によります)。
  • 3年ごとの更新
レベル3:特に重要なCUIを扱う場合

レベル3は、特に価値が高く、リスクの大きいCUIを扱う場合に求められます。

レベル2の対策に加えて、より高度なセキュリティ管理が必要となります。

  • レベル2の要件+24要件(NIST SP 800-1723から)
  • 24要件についてはDoDの機関(DIBCAC)による認証アセスメント
  • 3年ごとの更新

3.CMMCでは、セキュリティ要件の実施についてアセスメントが必要

CMMCでは、セキュリティ対策を実施しているかどうかを、「アセスメント(評価)」によって確認することが求められます。単に社内で対策を講じているだけでは足りず、所定の方法で評価を実施し(セルフアセスメント)、または、第三者に評価を受け(認証アセスメント)、その結果を示すことが制度上の前提となっています。

アセスメントの方法は、CMMCのレベルによって異なります。
レベル1や一部のレベル2では、事業者自身が要件への適合状況を確認するセルフアセスメントが認められていますが、その他のレベル2やレベル3では、第三者機関による認証アセスメントを受ける必要があります。

このアセスメントには有効期間があり、一度対応すれば終わりというものではありません。契約の継続や更新のためには、定期的にアセスメントを実施し、セキュリティ対策を維持していることを示し続ける必要があります。 そのため、CMMC対応は、単発のプロジェクトではなく、継続的な管理体制の構築が求められる制度と理解しておくことが重要です。

4. CMMCは段階的に導入される(3つのフェーズ)

CMMCは、一気に全面適用されるわけではありません。数年をかけて、段階的に契約へ組み込まれていきます。

  • 第1段階(2025年11月~):レベル1とレベル2(セルフアセスメント)の導入が開始
  • 第2段階(2026年11月~):レベル2(認証アセスメント)の導入が開始
  • 第3段階(2027年11月~):レベル3の導入が開始

5.「フローダウン」に注意

CMMCにおいて特に注意が必要なのが、いわゆる「フローダウン」と呼ばれる仕組みです。

これは、DoDと直接契約するプライム企業だけでなく、その下位のTier 2以下の受託事業者にもCMMC要件が及ぶという点に特徴があります。

具体的には、プライム企業から業務を受託し、その業務の中でFCIやCUIを取り扱う場合、受託事業者であってもCMMCへの対応が求められます。「下請だから対象外」という考え方は通用しません。

さらに注意すべきなのは、Tier 2以下の受託事業者が、その業務の一部をさらに別の事業者に再委託する場合です。この場合、どのような情報を下位の事業者に移転するのかによって、CMMC対応の要否や、求められるレベル、必要なアセスメントの方法が変わってきます。そして、その判断は、委託する側の事業者が行うことになると思われます。

CMMCの要件を守らなかった場合や、アセスメントにおいて虚偽の申告があった場合、プライム企業に対しては、米国政府から直接制裁が課される可能性があります。また、Tier 2以下の受託事業者のCMMC違反によってプライム企業に損害が生じた場合には、当該受託事業者がプライム企業から損害賠償を請求されるおそれもあります。 このように、CMMCはプライム企業だけの問題ではなく、サプライチェーン全体に影響する制度です。

米国防衛産業に既に参入している日本企業はもちろん、今後参入を検討している企業にとっても、CMMCの基本的な仕組みとリスクを正しく理解しておくことが不可欠といえるでしょう。

以上

  1. 本稿では、「戦争省(Department of War: DoW)」ではなく、従前の呼称である「DoD」を使用しています。 ↩︎
  2. NIST SP 800-171 rev.2「非連邦システムおよび組織における管理対象非機密情報の保護(Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations)」。 ↩︎
  3. NIST SP 800-172「管理対象非機密情報の保護に関する強化されたセキュリティ要件:NIST SP 800-171補遺(Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST SP 800-171)」 ↩︎