[{"data":1,"prerenderedAt":26},["ShallowReactive",2],{"journal-detail-68":3},{"main":4,"content":12,"author":21},{"id":5,"level":6,"level_name":7,"title":8,"summary":7,"body":9,"author":10,"created_time":11,"edited_time":11},2040,0,"","米国の防衛産業の企業のサプライチェーンにつながる日本の工場におけるCMMC制度対応について","アメリカの防衛産業サプライチェーンにおいて、CMMC制度は、サイバーセキュリティ対策の徹底を義務付けるための重要な枠組みです。日本企業もこの制度を理解し、遵守する必要があります。","murakami","2025-09-10 12:00:00",[13,17],{"id":14,"heading":15,"summary":7,"body":16,"gallery":7},2041,"CMMC制度とは？","\u003Cp>\u003Cstrong>CMMC\u003C/strong>（Cybersecurity Maturity Model Certification）は、米国国防総省（DoD）が防衛産業基盤（DIB）のサプライチェーン全体のサイバーセキュリティを強化するために策定した認証制度です。軍事機密に関わる重要な情報（\u003Cstrong>CUI: Controlled Unclassified Information\u003C/strong>）を扱う企業や、その下請け企業に対して、サイバー攻撃から情報を保護するための基準を満たすことを求めています。\u003C/p>\u003Cp>CMMC 2.0は、3つのレベルから構成されており、扱う情報の機密性に応じて求められるセキュリティ要件が異なります。\u003C/p>\u003Cul>\u003Cli>\u003Cstrong>レベル1（Foundational）\u003C/strong>:\u003Cbr>連邦契約情報（FCI: Federal Contract Information）を扱う企業が対象。基本的なサイバーセキュリティ対策（アクセス制御など）を求め、\u003Cstrong>年次の自己評価\u003C/strong>で対応が可能です。\u003C/li>\u003Cli>\u003Cstrong>レベル2（Advanced）\u003C/strong>:\u003Cbr>CUIを扱う企業が対象。\u003Cstrong>NIST SP 800-171\u003C/strong>に準拠した110のセキュリティ要件が求められます。一部の企業は自己評価で済みますが、特に重要な国家安全保障に関わる情報を扱う場合は、\u003Cstrong>第三者機関による評価\u003C/strong>が義務付けられています。\u003C/li>\u003Cli>\u003Cstrong>レベル3（Expert）\u003C/strong>:\u003Cbr>CUIを保護するための高度なセキュリティ対策が求められ、政府主導の評価が必要になります。\u003C/li>\u003C/ul>",{"id":18,"heading":19,"summary":7,"body":20,"gallery":7},2042,"日本企業がCMMC制度で要求されること","\u003Cp>日本企業がアメリカの防衛産業に関わるサプライチェーンに参加し続けるためには、CMMCの要件をクリアする必要があります。\u003C/p>\u003Col>\u003Cli>\u003Cstrong>CMMCレベルの特定:\u003C/strong>\u003Cbr>まず、アメリカの防衛産業の企業とどのような契約を結び、どのような情報を扱うかによって、自社に求められるCMMCレベルを特定します。CUIを扱う場合は、最低でもレベル2への対応が必須となります。\u003C/li>\u003Cli>\u003Cstrong>セキュリティ対策の実施:\u003C/strong>\u003Cbr>特定したレベルに応じて、必要なセキュリティ対策を実施します。\u003Cul>\u003Cli>\u003Cstrong>NIST SP 800-171への準拠:\u003C/strong>\u003Cbr>レベル2以上が求められる場合、NIST SP 800-171に定められた110のセキュリティ要件を全て満たす必要があります。これには、アクセス制御、従業員のトレーニング、インシデント対応計画などが含まれます。\u003C/li>\u003Cli>\u003Cstrong>文書化:\u003C/strong>\u003Cbr>実施したセキュリティ対策を文書化し、システムセキュリティ計画（SSP）としてまとめます。これは、評価時に提出が求められる重要な書類です。\u003C/li>\u003C/ul>\u003C/li>\u003Cli>\u003Cstrong>評価と認証:\u003C/strong>\u003Cbr>契約内容に応じて、自己評価または第三者機関による評価を受けます。\u003Cul>\u003Cli>\u003Cstrong>自己評価:\u003C/strong>\u003Cbr>レベル1や、一部のレベル2の企業は、自己評価を実施し、その結果を米国防総省のシステム（SPRS）に提出する必要があります。\u003C/li>\u003Cli>\u003Cstrong>第三者認証:\u003C/strong>\u003Cbr>重要な国家安全保障情報に関わる場合は、CMMC認定第三者評価機関（C3PAO）による評価を受け、認証を取得する必要があります。日本国内にも、CMMCのコンサルティングや評価支援を行う企業が登場しており、協力を得ることも可能です。\u003C/li>\u003C/ul>\u003C/ol>\n\u003Cp>これらの要件を満たさない場合、既存の契約を失ったり、新たな契約への入札ができなくなったりするリスクがあります。したがって、日本の防衛産業に関わる企業は、CMMC制度への対応を喫緊の課題として捉え、積極的に取り組む必要があります。\u003C/p>",[22],{"id":10,"company":23,"name":24,"profile":25},"株式会社ICS研究所","村上 正志","1979～90年まで、日本ベーレーのシステムエンジニアとして電力会社の火力発電プラント監視制御装置などのシステム設計及び高速故障診断装置やDirect Digital Controllerの製品開発に携わる。\n＊関わった火力発電所は、北海道電力（苫東厚真、伊達）、東北電力（新仙台、仙台、東新潟）、東京電力（広野、姉ヶ崎、五井、袖ヶ浦、東扇島）、北陸電力（富山新港）、中部電力（渥美、西名古屋、知多、知多第二）、関西電力（尼崎、御坊、海南、高砂）、中国電力（新小野田、下関、岩国）、四国電力（阿南）、九州電力（港、新小倉、川内）、Jパワー（磯子、松島、高砂）、日本海LNG　など\n\n1990年、画像処理VMEボードメーカーに移籍し、大蔵省印刷局の検査装置や大型印刷機械などのシステム技術コンサルティングに従事。\n\n1995年、デジタルに移籍し、SCADA製品の事業戦略企画推進担当やSE部長を務める。（2004年よりシュナイダーエレクトリックグループ傘下に属す）また、1999年にはコーポレートコーディネーション／VEC（Virtual Engineering Company & Virtual End-User Community）を立ち上げ、事務局長として、「見える化」、「安全対策」、「技術伝承」、「制御システムセキュリティ対策」など製造現場の課題を中心に会員向けセミナーなどを主宰する。協賛会員と正会員のコラボレーション・ビジネスを提案し、ソリューション普及啓発活動を展開。\n2011年には、経済産業省商務情報政策局主催「制御システムセキュリティ検討タスクフォース」を進言、同委員会委員及び普及啓発ワーキング座長を務める。\n2015年、内閣官房 内閣サイバーセキュリティセンターや東京オリンピックパラリンピック大会組織委員会などと交流。\n\n2015年、株式会社ICS研究所を創設。VEC事務局長の任期を継続。世界で初めて制御システムセキュリティ対策e-learning教育ビデオ講座コンテンツを開発。\n\n2017年4月～ 公益財団法人日本適合性認定協会JABの制御システムセキュリティ技術専門家\n\n2017年7月～ 経済産業省の産業サイバーセキュリティセンターCoEの制御システムセキュリティ講座講師担当\n\n現在活動している関連団体及び機関\n・日本OPC協議会 顧問\n・制御システムセキュリティ関連団体合同委員会委員",1779421343211]