CMMCは「制度の解説」から「実務対応」のフェーズへ
CMMC 2.0(Cybersecurity Maturity Model Certification)の調達規則は2025年11月に発効し、米国国防総省(DoD)の新規調達でCMMC要件の挿入が始まりました。制度の概要(3つのレベル・NIST SP 800-171との関係)はCMMC 2.0解説で紹介しましたが、本記事はその先——「いつまでに・何を・いくらかけて・どう準備するか」という実務対応に踏み込みます。
特に重要なのが、2026年11月に始まるPhase 2でLevel 2の第三者認証(C3PAO評価)が本格的に要求されることです。評価機関の予約は逼迫しており、これから準備を始める企業にとって残された時間は多くありません。
- 段階導入(Phase 1〜4)のスケジュールと「2026年11月」の意味
- SPRSスコア・SSP・POA&M・条件付き認証など認証プロセスの実務
- C3PAO評価の費用感と日本企業特有の課題
- Microsoft 365でのCUI保護の技術マッピング
- 防衛省「防衛産業サイバーセキュリティ基準」との違い
段階導入スケジュール(Phase 1〜4)
CMMCの運用は、プログラム規則(32 CFR Part 170、2024年12月発効)と調達規則(48 CFR、2025年11月10日発効)の2本立てで、調達規則の発効から約3年かけて4段階で適用範囲が拡大します。
| フェーズ | 開始時期 | 主な内容 |
|---|---|---|
| Phase 1 | 2025年11月〜 | 新規調達にLevel 1/Level 2の自己評価要件を挿入。DoDの裁量でLevel 2第三者認証を前倒し要求可能 |
| Phase 2 | 2026年11月〜 | 該当調達でLevel 2の第三者認証(C3PAO評価)を要求。CUIを扱うサプライヤーの本丸 |
| Phase 3 | 2027年11月〜 | Level 3(政府主導評価)の要求開始、オプション期間への適用拡大 |
| Phase 4 | 2028年11月〜 | 完全実施。該当するすべてのDoD契約にCMMC要件を適用 |
ポイントは、Phase 1の段階でも発注側の裁量で第三者認証を要求できることです。実際、プライム契約者(米大手防衛企業)が自社サプライチェーンに対して規則よりも早いタイミングで認証取得を求めるケースが増えており、「2028年まで猶予がある」という認識は危険です。
認証プロセスの実務:SPRS・SSP・POA&M
① SPRSスコアの登録
CUIを扱う企業はまず、NIST SP 800-171(現行の評価基準はRev.2の110管理策)に基づく自己評価スコアをSPRS(Supplier Performance Risk System)に登録します。
- スコアは110点満点からの減点方式で、最低は−203点。未実装の管理策ごとに1・3・5点が減点される
- DFARS 252.204-7019/7020により、スコア登録がない企業は該当契約の受注資格がない
- 虚偽申告は米国虚偽請求法(False Claims Act)の対象。実態と乖離したスコア登録は法的リスクになる
② SSP(システムセキュリティ計画)の整備
SSPは「どのシステムでCUIを扱い、110管理策をどう実装しているか」を記述する文書で、評価の起点となる最重要ドキュメントです。スコープ(CUIが流れる範囲)の定義が甘いと、評価範囲が際限なく広がり費用も期間も膨らみます。CUIを扱うシステムを物理的・論理的に分離(エンクレーブ化)してスコープを絞るのが定石です。
③ POA&M(改善計画)と条件付き認証
CMMC 2.0では、一部の未達項目についてPOA&M(Plan of Action and Milestones)を提出した上での「条件付き認証(Conditional Status)」が認められています。
- 条件付き認証には最低でもスコア80%の達成が必要
- POA&M項目は180日以内にクローズしなければ認証が失効する
- 重み5点の重要管理策(MFA、暗号化等)の多くはPOA&M対象にできない
④ 認証の有効期間と年次確認
Level 2の第三者認証は3年間有効ですが、毎年、経営層の責任者(Affirming Official)が準拠状態の継続を宣誓(Annual Affirmation)する必要があります。「一度取れば3年放置できる」制度ではなく、継続的な運用体制が前提です。
費用感:いくらかかるのか
費用は「評価そのもの」と「評価に到達するまでの準備」に分かれます。日本企業の場合の目安は以下のとおりです(規模・スコープ・現状の成熟度により大きく変動します)。
| 項目 | Level 1(自己評価) | Level 2(第三者認証) |
|---|---|---|
| ギャップ分析・準備コンサル | 内部工数中心(外部委託時は数十万〜数百万円) | 数百万〜1,500万円程度 |
| 技術的是正(ツール導入・環境分離等) | 小規模 | 数百万〜数千万円(エンクレーブ設計による) |
| 評価費用 | 不要(自己評価) | C3PAO評価:おおむね500万〜1,500万円規模 |
| 継続運用(年間) | 年次自己評価の工数 | 監視・ログ・年次宣誓・体制維持で数百万円〜 |
- 最大の変動要因はスコープ:全社をスコープにすると費用は跳ね上がる。CUIエンクレーブを構築して評価範囲を限定するのが費用圧縮の王道
- 日本語対応のC3PAOはごく少数:評価は英語ベースが基本。SSP等の文書を英語で整備するコストも見込む
- C3PAOの予約は逼迫:Phase 2を前に駆け込み需要が集中。評価枠の確保は半年〜1年前倒しで動く必要がある
Microsoft 365でのCUI保護:技術対応マッピング
NIST SP 800-171の要件ファミリー(詳細はNIST SP 800-171解説)の多くは、M365のセキュリティ機能で実装できます。代表的なマッピングは以下のとおりです。
| 要件ファミリー | M365での主な実装手段 |
|---|---|
| アクセス制御(AC)/識別・認証(IA) | Entra ID:MFA(フィッシング耐性)、条件付きアクセス、特権ID管理(PIM) |
| 構成管理(CM) | Intune:デバイス構成プロファイル、コンプライアンスポリシー、アプリ管理 |
| メディア保護(MP)/システム・通信保護(SC) | Purview Information Protection(秘密度ラベル)、DLP、BitLocker、TLS強制 |
| 監査・説明責任(AU) | Purview監査ログ(長期保持)、Microsoft Sentinelでのログ集約・保全 |
| インシデント対応(IR) | Defender XDR、Sentinelの分析ルール・自動化(SOAR) |
| システム・情報の完全性(SI) | Defender for Endpoint、脆弱性管理、自動修復 |
商用テナントかGCC Highか——日本企業特有の論点
米国ではCUIの取扱いにGCC High(米政府機関向けクラウド)が推奨される場面がありますが、GCC Highは原則として米国の事業体を前提としており、日本法人がそのまま契約するのはハードルが高いのが実情です。
- 扱うCUIがITAR/EAR(輸出管理規制)に該当するかで要求水準が変わる。該当する場合はデータ所在地・アクセス者の国籍管理まで求められ、商用テナントでの充足は困難
- 一般的なCUIであれば、商用M365テナント+適切な構成(暗号化・アクセス制御・ログ)で要件を満たせる範囲があるが、契約条項(DFARS 252.204-7012のクラウド要件)との整合を個別に確認する必要がある
- 判断を誤ると環境を作り直すことになるため、スコープ定義の段階で「どの種類のCUIを扱うのか」をプライム契約者・法務と確定させることが先決
防衛省「防衛産業サイバーセキュリティ基準」との違い
日本の防衛省も、NIST SP 800-171と同水準の「防衛産業サイバーセキュリティ基準」を2023年度から契約に順次適用しています。CMMCと混同されがちですが、制度設計は異なります。
| 観点 | CMMC 2.0(米DoD) | 防衛産業サイバーセキュリティ基準(防衛省) |
|---|---|---|
| 位置づけ | 認証制度(取得が契約条件) | 契約上の特約条項(装備品等契約に適用) |
| 評価方法 | レベルに応じ自己評価/C3PAO第三者評価/政府評価 | 自己評価・確認ベースが中心 |
| ベース基準 | NIST SP 800-171(Level 2) | NIST SP 800-171相当(防衛省版にローカライズ) |
| 段階適用 | Phase 1〜4(2025〜2028年) | 2023年度以降の新規契約から順次 |
| 虚偽申告リスク | 米国虚偽請求法の対象 | 契約違反・指名停止等のリスク |
米国DoD向けと防衛省向けの両方に関わる企業は、NIST SP 800-171ベースの管理策を一度きちんと実装すれば双方に流用できるため、共通基盤として整備するのが効率的です。経済安全保障推進法の基幹インフラ規制(解説記事)とあわせて、サプライチェーン規制対応を一体で設計しましょう。
日本のサプライヤー向け:12〜18か月ロードマップ
- 0〜2か月|要件の確定:プライム契約者に「要求されるCMMCレベル」「扱うCUIの種類(ITAR該当か)」「期限」を書面で確認。これが全工程の前提になる
- 1〜3か月|スコープ定義:CUIが流れるシステム・人・拠点を特定し、エンクレーブ化の方針を決定。M365中心ならCUI専用のチーム・サイト・ラベル設計を検討
- 2〜5か月|ギャップ分析とSPRS初回登録:110管理策への適合状況を評価し、現実のスコアをSPRSに登録。セキュリティアセスメントの枠組みが流用できる
- 4〜12か月|是正の実施:MFA・暗号化・ログ保全など重み5点の管理策を最優先で是正。SSP・ポリシー文書を整備(英語版含む)
- 10〜14か月|模擬評価(Mock Assessment):C3PAOまたはRPO(登録プロバイダー)による事前評価で指摘を潰す
- 12〜18か月|C3PAO本評価:評価枠は早期に予約。条件付き認証となった場合はPOA&Mを180日以内にクローズ
中小サプライヤーからよくある質問
- Q. 二次・三次下請でも認証が必要?
A. CUIが流れてくるなら必要です(フローダウン条項)。逆に、FCIのみでCUIを受け取らない取引形態に整理できればLevel 1(自己評価)で済む可能性があります。まず「自社に何が流れてくるか」を契約書とデータの実態から確認しましょう - Q. CUIを扱わなければ何もしなくてよい?
A. FCI(連邦契約情報)を扱うだけでもLevel 1の年次自己評価と宣誓が必要です - Q. 図面の一部だけCUIが含まれる場合は?
A. CUIを扱う範囲を限定するエンクレーブ設計が有効です。全社対応より費用を一桁圧縮できるケースもあります - Q. ISMS(ISO 27001)を取得済みなら有利?
A. 管理体制の素地としては有利ですが、SP 800-171の技術要件(FIPS検証済み暗号、CUIマーキング等)はISMSではカバーされません。ギャップ分析は必須です
まとめ
CMMC 2.0は2025年11月のPhase 1開始により「将来の制度」から「現在進行形の契約要件」になりました。2026年11月のPhase 2からはLevel 2の第三者認証が本格要求され、C3PAOの評価枠・準備期間を考えると、CUIを扱うサプライヤーが今から動いてもタイトなスケジュールです。スコープ定義(エンクレーブ化)で範囲を絞り、SPRSスコア登録→SSP整備→是正→模擬評価→本評価の順で、12〜18か月の計画を立てて進めましょう。
BTNコンサルティングでは、NIST SP 800-171ベースのギャップ分析、CUIエンクレーブのMicrosoft 365での設計・構築(Entra ID/Intune/Purview/Defender)、SSP等の文書整備支援をITコンサルティングとして提供しています。「プライムからCMMC対応を求められたが何から始めればよいか」という段階でも、60分の無料相談からお気軽にどうぞ。