CMMCの要件が防衛契約に盛り込まれ、サプライヤーネットワークを通じて、こうしたコンプライアンス対応に不慣れな数千社へと波及しています。その多くは限られた予算で少人数のセキュリティチームを運営しています。このデータは、2026年のSecureframe National Cybersecurity Summitに参加した約900名の防衛請負業者、C3PAO、連邦サプライヤー、サイバーセキュリティ専門家から得られたものです。
CMMC導入の現状
CMMCの導入状況は、防衛産業基盤(DIB)全体でばらつきが見られます。レベル2のサードパーティ認証を取得済みの企業はごく一部にとどまり、C3PAOによるSPRS登録済みの認証取得率は16%です。約3分の1はレベル2の自己評価を実施済みであり、約4分の1がレベル1の自己評価を完了しています。半数近くがサプライヤーとのコンプライアンスに関する協議を開始しており、政府による正式な執行に先行して、サプライチェーン全体に圧力が波及していることがうかがえます。
最も多く挙げられた課題はコストです。準備と評価にかかる費用が「法外に高い」と回答した割合は51%をわずかに上回りました。評価担当者によるばらつきも、ほぼ同率で問題視されています。準備に多額の費用をかけたにもかかわらず、要件の解釈が異なる評価担当者に当たれば、その分コストはさらに膨らみます。
スコープの定義でつまずく企業も少なくありません。約5社に1社は、システム全体でCUI(管理対象外秘密情報)がどこに存在するかをまだ把握できていない状態です。CUIのスコープ定義はすべての後続作業の土台となるため、ここで誤りがあれば、以降の取り組みはより困難かつ高コストなものとなります。
最も深刻な脅威
フィッシングは引き続き最も多く直面する脅威であり、回答者の65%が過去1年間で最も影響を受けた脅威として挙げています。ただし、その性質は変化しています。現在は自律型エージェントが標的を選定し、メッセージを作成し、返信を監視しながらリアルタイムで攻撃を調整しています。
ベンダーおよびサードパーティリスクは最大の未解決課題として際立っており、回答者の58%が最も解決できていない弱点として挙げています。サプライチェーン侵害は過去1年間で最も多く報告されたインシデントの一つであり、約4分の1の回答者がこれを経験したと回答しました。
ソフトウェアサプライチェーンに対する防御は依然として薄い状況です。約3分の1の企業は、ベンダー証明書やセキュアな開発ポリシーといった標準的な対策をまったく講じていません。SBOM(ソフトウェア部品表)の生成は特に低調で、活用しているのは回答者のごく一部にとどまります。この調査では、どの規模の企業がこの課題を抱えているかは特定されていません。SecureframeのCEOであるShrav Mehta氏はHelp Net Securityに対し、「調査では回答者に組織の規模を回答するよう求めていなかった」と述べており、調査データから企業規模別に分析する方法はないとしています。この弱点は防衛産業基盤全体に広がっており、最小規模の下請け業者が特に大きなリスクを抱えているかどうかは、データからは判断できません。
NSAサイバーセキュリティ部門の元長官であるRob Joyce氏はこう語っています。「敵対者はあなたの従業員数など気にしません。彼らが気にするのは、CUIへの経路がどこで最も容易かということです。今日、その経路はパートタイムのMSPを使っているサプライヤーへとつながっています。そのCUIは同じでも、防御の強度が違うからです。」
国家関与の活動を検知する自信の欠如
国家による侵入を検知する能力への自信は低い水準にとどまっています。検知・対応能力が国家レベルの脅威に対して成熟していると回答したのは約28%にすぎませんでした。防衛産業基盤に対して最も活発に活動しているVolt TyphoonやSalt Typhoonといったキャンペーンは、ITスタッフが日常的に利用するツールに成りすますことで、気づかれにくい手法を特徴としています。
NSAの元長官であるGeneral Paul Nakasone氏はこう述べています。「あなたのネットワーク内にはすでに敵対者がいる可能性が高く、あなたはおそらくそれに気づいていません。」
インテリジェンスと認知における課題
脅威インテリジェンスの収集は、政府系フィードに依存する傾向があります。回答者の多くはCISAのアラートやFBIのフラッシュレポートを活用していますが、これらには本質的な情報の遅れが伴います。約10人に3人がISAC共有に参加しており、こちらはより最新かつ防衛分野に特化した情報を提供しています。構造化されたインテリジェンスを一切持たないと回答したのは少数にとどまりました。
FedRAMP 20xに対する認知度はこの層では低い水準にあります。回答者の53%がこのプログラムを知らないと回答しており、多くがすでにMicrosoft 365 GCC Highなどの政府クラウド環境でワークロードを運用しているにもかかわらず、この状況にあります。FedRAMP 20xはクラウドプロバイダーが連邦認可を取得する方法を変えるプログラムであり、これらの企業が依存するツールにも影響を及ぼします。
コンプライアンスを出発点として
多くのセキュリティプログラムはコンプライアンスチェックリストを中心に構築されています。半数近くが、自社のプログラムは完全にコンプライアンス要件に基づいて運営されているか、あるいはまだ定義されていないと回答しました。リソースが限られた中小企業にとって、この方針は契約要件を満たすという点で合理的です。コンプライアンスは、企業が定められた要件を満たしているかどうかを示すものです。しかし、その要件が実際に直面している脅威と一致しているかどうかは、また別の問題です。
コンプライアンスからレジリエンスへ
認証はある時点での状態を切り取るものであり、その後のスタッフの入れ替わり、ベンダーの変更、設定変更によってセキュリティ体制は変化していきます。約20%が評価と評価の間における継続的なコンプライアンス維持の正式なプロセスを持っておらず、書類上は認定を受けていながら、実際のセキュリティ体制が維持されているかどうかを把握できていない状態にあります。SPRSスコアに基づいた四半期ごとの内部レビューは、小規模チームにとって有効な出発点となります。
AI駆動型攻撃への備え
AI活用型攻撃は、今後2年間の懸念事項として首位に挙げられています。85%という数字は、企業規模や役職を問わずほぼ唯一のコンセンサスが得られた項目です。この数値は、防衛産業基盤が自らに迫り来る脅威をどう捉えているかを示しています。Mehta氏は、調査のAIデータは「組織がAIを脅威の観点からどう捉えているかに焦点を当てており、防衛目的での内部AI活用は対象外」と述べており、これらの企業が自社の防御にAIをどの程度取り入れているかは依然として明らかではありません。
エージェント型フレームワークにより、AIはほとんど人間の介在なしに攻撃チェーンを最初から最後まで実行できるようになり、脆弱性の発見は人間のチームでは到底及ばない規模で産業化されています。同じツールは防御側も利用可能です。Joyce氏は聴衆にこう語りかけました。「AIを活用している人は、そうでない人を凌駕するでしょう。攻撃側であろうと防御側であろうと関係ありません。今すぐAIを導入し、ワークフローに組み込んでください。必ずあなたの防御力を高めてくれます。」
規制要件の拡大も強い反響を呼び、回答者の48%が懸念事項として挙げました。量子コンピューティングへの懸念も高く、「今収集して後で復号する」(harvest now, decrypt later)というアプローチにより、防衛ネットワーク上でやり取りされたデータはすでに敵対者の手中にある可能性があります。
翻訳元: https://www.helpnetsecurity.com/2026/06/30/federal-cybersecurity-compliance-report/
