CMMCとは
CMMC(Cybersecurity Maturity Model Certification)は、米国国防総省(DoD)がサプライチェーン上の企業に求めるサイバーセキュリティ成熟度の認証制度です。DoDとの契約に関わる企業は、CMMCの認証取得が契約条件となります。
CMMC 2.0は2024年12月に最終規則が公布され、段階的に適用が開始されています。
3つのレベル
| レベル | 対象 | 要件 | 評価方法 |
|---|---|---|---|
| Level 1 | FCI(連邦契約情報)を扱う企業 | 15の基本的なセキュリティプラクティス | 自己評価 |
| Level 2 | CUI(管理対象非機密情報)を扱う企業 | NIST SP 800-171 rev2の110管理策 | 第三者評価(C3PAO) |
| Level 3 | 高度な脅威に対抗する必要がある企業 | NIST SP 800-172の追加管理策 | 政府主導の評価 |
日本企業への影響
- 防衛装備品のサプライチェーン:米国DoDと直接・間接的に取引する日本企業はCMMC認証が必要
- 防衛省のNIST SP 800-171準拠要求:日本の防衛省も2023年度からNIST SP 800-171に基づくセキュリティ基準を適用
- 民間への波及:防衛産業の基準が他の重要産業にも広がる可能性
対応の進め方
- NIST SP 800-171の110管理策と自社の現状をギャップ分析
- CUI(管理対象非機密情報)の特定と取扱いルールの策定
- SSP(システムセキュリティ計画)とPOA&M(改善計画)の作成
- C3PAO(認定第三者評価機関)による評価の準備
まとめ
CMMC 2.0は米国防衛産業のサプライチェーン全体にセキュリティ認証を義務付ける制度です。日本の防衛産業に関わる企業はNIST SP 800-171への準拠を進めましょう。