米国防総省(DoD)は、サイバーセキュリティ成熟度モデル認証(CMMC)のフェーズII要件をいったん停止し、米国防産業基盤(DIB)におけるイノベーションをより促進できるよう、プログラムの見直しを行うことを明らかにしました。
当初は2026年11月10日に発効する予定だったこの要件は、DoD(国防省、別名War省=DoW)向けの連邦契約情報(FCI)や管理対象非機密情報(CUI)を扱う米国防契約企業・下請け企業のサイバー衛生を強化する目的で設計されたCMMCの段階的導入における第2段階に相当するものです。
第1段階(CMMCフェーズI)では企業が自社のサイバーセキュリティ準拠レベルを自己申告することが認められていましたが、この第2段階では、軍と取引があり機密情報を扱う契約企業に対し、外部企業による確認を義務付ける予定でした。
具体的には、CMMCフェーズII要件は、CUIを扱う米国防契約企業について、基本的な自己証明から、認定第三者評価機関(C3PAO)が主導する独立評価への移行を義務付けるよう設計されていました。この評価では、米国立標準技術研究所(NIST)が発行する規格であるNIST SP 800-171に定められた110項目のセキュリティ管理策への準拠が検証されることになっていました。
DoDはこれまで、DIBには約22万社から30万社が参加しており、そのうち約8万社がCMMCフェーズIIの対象になると見込んでいました。
2025年10月に公表されたCyberSheathのレポートによると、CMMCフェーズIIの監査に完全に対応できると感じている国防契約企業はわずか1%にとどまっていました。
さらに、フェーズIIに続いて第3段階、第4段階も予定されており、それぞれ2027年11月、2028年11月までに完了する計画でした。
フェーズIIIでは、最も機密性の高いデータを扱う契約についてDoDが直接主導するレベル3監査を導入する予定であり、フェーズIVでは全てのDoD契約企業・下請け企業がCMMCに完全準拠することが求められる予定でした。
CMMCがDIBにもたらした「官僚的な負担」
DoDは7月13日の声明の中で、CMMCフェーズII停止の根拠として、このプログラムがDIB企業のサイバーセキュリティを強化するどころか、「過大なコンプライアンスコストと官僚的な負担を生み出している」と主張しました。
「中小企業庁(SBA)の報告書を含む最近のデータは、CMMCコンプライアンスが革新的な企業をDIBから締め出しており、これが前線の兵士への重要な能力提供を遅らせることになると裏付けています」と同省は述べています。
そのためDoDは、「CMMC改革タスクフォース」を新設し、60日間にわたってプログラムを徹底的に見直し、ピート・ヘグセス国防長官の調達変革システム(ATS)戦略との整合性を確保する方針です。
この見直しには、中小企業や非伝統的企業の参入障壁を下げる指示や、「官僚的なコンプライアンスを、拡張性があり強靭なサイバーセキュリティ対策に置き換える」ことも含まれます。
「強固なサイバーセキュリティと運用上のレジリエンスは、米国のイノベーションを守り、兵士の即応性を支える上で依然として不可欠です。私たちは、不要な政府の煩雑な手続きを削減しながらも、DIBはその両方を実現できると確信しています」と、タスクフォースの取りまとめを担当する同省のCIO、A.デイビーズ氏は述べています。
暫定期間中、DoDは自己評価と一部の政府主導評価を通じてNIST SP 800-171 Rev 2規格へのサイバーセキュリティ準拠を徹底し、「事務的な負担ではなく、実質的なサイバー衛生に重点を置く」としています。
専門家、CMMC準拠の取り組みを放棄しないよう警鐘
この発表を受け、一部のセキュリティコンプライアンスの専門家がこの突然の停止についての見解を示しています。
ウィスコンシン大学マディソン校で国家安全保障イニシアチブのディレクターを務めるデイブ・シュローダー氏はLinkedIn上で、CMMCがNIST 800-171およびDFARS 252.204-7012への準拠を証明するためのプログラムであることを踏まえると、今回のDoDの決定の背景には、11月10日までにCMMCフェーズIIに対応できる契約企業が十分に揃わなかったことがあると考えられると述べています。
KDMコンソーシアムのディレクターであり創設メンバーでもあるネリナ・バレナス氏は、7月14日に公開されたLinkedInの記事の中で、契約企業はこの延期をコンプライアンスへの取り組みを放棄する機会と捉えるべきではないと強調しています。
「まず、DoDの発表にもあった通り、CMMCレベル1の自己評価要件はすべてそのまま維持されています」とバレナス氏は指摘しています。
同氏は懸念を抱く組織に対し、コンプライアンスへの取り組みを放棄しないよう呼びかけるとともに、今回の延期を基準の緩和と誤解すべきではないと注意を促しています。むしろ、今後の執行が再開される前に、サイバーセキュリティ対策を正しく、かつ徹底的に実装するための貴重な猶予期間として捉えるべきだとしています。
CMMCの今後については依然として不透明な部分が残るものの、バレナス氏は「今は後退すべき時ではなく、コンプライアンスを正しく実行すべき時です」と警鐘を鳴らしています。
翻訳元: https://www.infosecurity-magazine.com/news/us-pentagon-suspends-cmmc-2/