Kyle Dewar、連邦担当エグゼクティブクライアントアドバイザー、Tanium
2025年8月6日
読了時間:5分
_Formatoriginal_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "4つの木製ブロックが2つずつ積み重ねられ、チェックマークが現れている")
出典:Formatoriginal(Alamyストックフォトより)
論説
米国国防総省(DoD)は最近、CMMC 3.0(サイバーセキュリティ成熟度モデル認証)を導入し、防衛産業基盤全体のサイバーセキュリティ強化に向けた次の進化を示しました。更新されたフレームワークはCMMC 2.0の構造を基盤としつつ、特に管理された非公開情報(CUI)を取り扱う組織に対して、より明確な期待と厳格な執行を含んでいます。DoDのメッセージは明確です。リスクの低減とレジリエンスの強化は、今や国家防衛を支える企業にとってミッションクリティカルな課題となっています。
CMMC 3.0は新たな構造を導入するのではなく、既存の仕組みを洗練し、実行の一貫性とセキュリティ運用における説明責任を強調しています。最終的な目標は、幅広いパートナーやサプライヤーのエコシステム全体で予測可能性、再現性、レジリエンスを高めることです。
最近のレポートによると、請負業者の55%が現在または今後のプロジェクトでCMMC要件が含まれると予想しており、多くがレベル2またはより厳格なレベル3認証を目指しています。執行が強化される中、要件を満たさなければ政府契約からの失格や長期的なビジネス損失につながる可能性があります。これらの重大な結果を回避するために知っておくべきことを解説します。
CMMC 3.0の主な更新点
CMMC 3.0はバージョン2.0で導入された3段階構造を維持しつつ、重要な改良が加えられています。更新されたモデルは、再現可能で検証可能、かつミッション保証や運用準備に沿ったサイバーセキュリティ実践により重点を置いています。請負業者は、必要な管理策を導入しているかどうかだけでなく、それらの管理策が一貫して効果的に維持されているかどうかも評価されるようになりました。
レベル3では、請負業者は米国国立標準技術研究所(NIST)のNIST SP 800-172に基づく24の強化管理策を満たすことが求められています。これらの対策は、高度な持続的脅威(APT)から組織を守るために開発されており、より厳格かつレジリエントなサイバーセキュリティ能力への移行を反映しています。多くの管理策はゼロトラスト原則と密接に連携しており、継続的な検証、アイデンティティの強制、コンテキストやリスクに基づくアクセス制御などが含まれます。このアプローチは業界全体で広く採用されており、Gartnerの報告によれば、世界中の組織の63%が何らかのゼロトラスト戦略を導入しています。
これらの改良は進化する脅威状況を反映しており、統合された能力による多層防御の重要性、そして相乗効果とスピードを生み出すことを強調しています。CMMC 3.0は、サイバーアクションの全範囲にわたる完全なコントロールを可能にするリアルタイムの可視性を活用し、運用上のレジリエンスを構築する能力を求めています。
運用準備が新たな基準
CMMC 3.0で導入された更新は、単なるコンプライアンスチェックリストを超え、DoDが請負業者に求めるものの根本的な変化を反映しています。請負業者は、監査時だけでなく日々の運用においても、ミッション保証を支える継続的な準備状態を示さなければなりません。
多くの場合、これはNIST SP 800-171および800-172の詳細な要件を理解し、それを一貫性のある、タイムリーで自信を持ったサイバーアクションに変換することから始まります。このプロセスは困難に思えるかもしれませんが、CUIデータを管理・処理・保存する責任を持つ組織にとって、サイバーのスピードで感知し行動する能力は不可欠です。
この期待に応えるには、方針だけでは不十分です。システムやエンドポイント全体の可視性、リアルタイムで脅威を検知・対応する運用規律、そして精度が求められます。最近のレポートによれば、防衛請負業者のうち認証に備えていると感じているのはわずか4%です。これらの能力がなければ、認証を取得できないだけでなく、機密性の高い政府データを許容できない脅威にさらすリスクもあります。
要件未達の代償
コンプライアンス違反の結果は明確に定義されており、ますます厳格に執行されています。適切なCMMC認証レベルを満たさない請負業者は、DoD契約の資格を失う可能性があります。多くの場合、それは既存ビジネスの喪失、将来の機会からの失格、そして長期的な評判の損失を意味します。
競争が激化する環境では、要件未達のコストはさらに大きくなります。コンプライアンス違反は顧客の信頼を損ない、15~20%の収益損失につながる可能性があります。DoDが民間パートナーへの投資と依存を続ける中、メッセージは明確です。「大きな信頼には大きな責任が伴う」のであり、CUIを扱う請負業者にとってその責任は交渉の余地がありません。
コンプライアンスはもはや書類上だけのものではなく、測定可能で持続的な行動によって示されなければなりません。間違ったことをするのに適切なタイミングはなく、DoDは意図ではなく、コミットメントの証拠を求めています。
自動化と継続的監視はもはや必須
CMMC 3.0で求められる精度は、手作業の監督や静的な管理策だけでは達成できません。組織は、テクノロジーや自動化、脅威に基づいたサイバーアクションを活用し、環境を継続的に監視し、ポリシーを強制し、インシデントに迅速かつ自信を持って対応する必要があります。
自動化は、請負業者が一貫性のある、タイムリーで自信を持ったサイバーアクションを支えるために活用できるツールの一つです。継続的な監視やシステム全体の可視性と組み合わせることで、自動化は組織がリスクを感知・解釈・対応する能力を高め、現代の脅威に対抗するために必要なスピードを実現します。
CMMC 3.0は、人・プロセス・テクノロジーを統合したアプローチの必要性を強調しており、既知の脅威に対抗するだけでなく、状況の変化に迅速に適応できるサイバーセキュリティ体制の構築を求めています。
レジリエンス文化の構築
CMMC 3.0の究極の目標は、単なるコンプライアンスではなく「レジリエンス(回復力)」です。これは、逆境の中でも運用を継続し、インシデントから学び、時間とともに改善できるシステムとチームを育成することを意味します。
今、再現可能なプロセス、自動化された強制力、脅威に基づく意思決定に投資する請負業者は、CMMC 3.0で求められる運用上の要求により良く対応できるでしょう。改善を先延ばしにする企業は、コンプライアンスを満たせず、フレームワークが求める継続的な精度・説明責任・変化への効果的な対応力についていけなくなる可能性があります。