ペンタゴン、CMMCフェーズ2を一時停止 契約企業向けサイバーセキュリティ規則を再検討

米国防総省(ペンタゴン)は、11月に施行予定だったサイバーセキュリティ成熟度モデル認証(CMMC)フェーズ2の要件を一時停止し、プログラム全体を60日間かけて見直すことになりました。

国防総省(旧・Department of Defense、現Department of War)のCIOを務めるカーステン・デイビス氏は、今回の措置はサイバーセキュリティの基準を引き下げるものではなく、官僚的な障壁を取り除くための対応だと説明しています。同氏によれば、契約企業は引き続きフェーズ1の要件および政府情報の取り扱いに関する既存の規制を満たす必要があるとのことです。

新たに発足したCMMC見直し・改革タスクフォースが業界からのフィードバックを収集した上で、中小企業や非伝統的な企業の契約手続きを迅速化するため、規模を縮小したセキュリティ対策を勧告する予定です。

デイビス氏は、「国防総省は、ピート・ヘグセス国防長官が示した『戦闘準備態勢を積極的に拡大する』という指令を支えるべく、官僚的な障壁を取り除き、防衛産業基盤を再活性化するための断固たる行動を取っています」と述べた上で、「ただし明確にしておきたいのは、国防総省と防衛産業基盤全体において、強固なサイバーセキュリティへの投資とその動的な維持は、依然として譲れない重要な優先事項であるということです」と付け加えました。

調達・維持担当国防次官のマイケル・ダフィー氏は、今回の一時停止について、コンプライアンス対応コストによって中小の製造業者が防衛関連事業から締め出されるのを防ぐために必要な措置だと位置付けています。

CMMCは、政府情報を取り扱う企業が国防契約を獲得する前に、サイバーセキュリティの基本基準を満たしているかどうかを検証するためのフレームワークです。連邦契約情報(FCI)または管理対象非機密情報(CUI)を扱う契約企業および下請け企業は、企業規模を問わずこのフレームワークの対象となります。

CMMC 2.0では、プログラムが5段階から3段階へと簡素化されました。レベル1はFCIの保護、レベル2はNIST 800-171に基づくCUIの保護、レベル3は高度persistent脅威(APT)に対する重要CUIの保護に焦点を当てています。

この規則は2025年11月10日に施行され、複数年にわたる段階的な導入が始まりました。フェーズ1では、レベル1およびレベル2の自己評価が求められます。フェーズ2は2026年11月10日に開始予定で、新規契約に対してレベル2の第三者認証評価を義務付けることになっていました。

しかし、月曜日にこの変更を発表した際、当局者らは、承認済みの第三者評価機関の不足を、11月の期限が現実的でなくなった理由の一つとして挙げました。

2027年11月に予定されているフェーズ3では、レベル3認証要件が導入される見込みです。そして最終段階となる第4フェーズでは、2028年までに該当するすべての契約において完全実施が図られる予定です。

翻訳元: https://www.securityweek.com/pentagon-suspends-cmmc-phase-2-as-it-rethinks-contractor-cybersecurity-rules/

ソース: securityweek.com