アメリカの防衛産業サプライチェーンにおいて、CMMC制度は、サイバーセキュリティ対策の徹底を義務付けるための重要な枠組みです。日本企業もこの制度を理解し、遵守する必要があります。
CMMC制度とは?
CMMC(Cybersecurity Maturity Model Certification)は、米国国防総省(DoD)が防衛産業基盤(DIB)のサプライチェーン全体のサイバーセキュリティを強化するために策定した認証制度です。軍事機密に関わる重要な情報(CUI: Controlled Unclassified Information)を扱う企業や、その下請け企業に対して、サイバー攻撃から情報を保護するための基準を満たすことを求めています。
CMMC 2.0は、3つのレベルから構成されており、扱う情報の機密性に応じて求められるセキュリティ要件が異なります。
- レベル1(Foundational):
連邦契約情報(FCI: Federal Contract Information)を扱う企業が対象。基本的なサイバーセキュリティ対策(アクセス制御など)を求め、年次の自己評価で対応が可能です。 - レベル2(Advanced):
CUIを扱う企業が対象。NIST SP 800-171に準拠した110のセキュリティ要件が求められます。一部の企業は自己評価で済みますが、特に重要な国家安全保障に関わる情報を扱う場合は、第三者機関による評価が義務付けられています。 - レベル3(Expert):
CUIを保護するための高度なセキュリティ対策が求められ、政府主導の評価が必要になります。
日本企業がCMMC制度で要求されること
日本企業がアメリカの防衛産業に関わるサプライチェーンに参加し続けるためには、CMMCの要件をクリアする必要があります。
- CMMCレベルの特定:
まず、アメリカの防衛産業の企業とどのような契約を結び、どのような情報を扱うかによって、自社に求められるCMMCレベルを特定します。CUIを扱う場合は、最低でもレベル2への対応が必須となります。 - セキュリティ対策の実施:
特定したレベルに応じて、必要なセキュリティ対策を実施します。- NIST SP 800-171への準拠:
レベル2以上が求められる場合、NIST SP 800-171に定められた110のセキュリティ要件を全て満たす必要があります。これには、アクセス制御、従業員のトレーニング、インシデント対応計画などが含まれます。 - 文書化:
実施したセキュリティ対策を文書化し、システムセキュリティ計画(SSP)としてまとめます。これは、評価時に提出が求められる重要な書類です。
- NIST SP 800-171への準拠:
- 評価と認証:
契約内容に応じて、自己評価または第三者機関による評価を受けます。- 自己評価:
レベル1や、一部のレベル2の企業は、自己評価を実施し、その結果を米国防総省のシステム(SPRS)に提出する必要があります。 - 第三者認証:
重要な国家安全保障情報に関わる場合は、CMMC認定第三者評価機関(C3PAO)による評価を受け、認証を取得する必要があります。日本国内にも、CMMCのコンサルティングや評価支援を行う企業が登場しており、協力を得ることも可能です。
- 自己評価:
これらの要件を満たさない場合、既存の契約を失ったり、新たな契約への入札ができなくなったりするリスクがあります。したがって、日本の防衛産業に関わる企業は、CMMC制度への対応を喫緊の課題として捉え、積極的に取り組む必要があります。
