米国防総省(Department of War)はCMMCフェーズ2の第三者評価義務化を一時停止しました。評価機関(アセッサー)のエコシステムが需要増に対応しきれておらず、コンプライアンス費用が中小企業を防衛産業基盤から締め出しているとの懸念が理由です。
新設されたCMMC改革タスクフォースは、今後60日間かけてプログラムを見直し、業界からの意見を集めたうえで、9月中旬までに提言をまとめる予定です。
重要な点として、今回の一時停止は独立した第三者検証のみが対象であり、フェーズ1の自己評価義務、SPRSスコアの提出、そして機密扱いされない管理対象情報(CUI)を保護するDFARS 252.204-7012の基本要件は引き続き完全に有効です。
業界関係者の間では、今回の一時停止が第三者によるCMMC監査を止めるものであり、CUIを保護するという法的義務そのものを止めるものではないという点でおおむね意見が一致しています。検証を伴わない自己証明はFalse Claims Act(虚偽請求防止法)上のリスクを高めると警告する声も上がっています。ただし、その対策として評価範囲を絞るべきか、自動化すべきか、あるいはほぼ現状維持すべきかについては、専門家の間でも意見が割れています。
それでは、ここから業界の声を紹介します……
Abdie Mohamed氏、NR Labs、GRCエンジニアリングリード:

「フェーズ1は依然として有効です。CUIを取り扱う企業であれば、NIST 800-171の全110項目に対する自己評価を続け、そのスコアをSPRSに提出しなければなりません。DFARS 252.204-7012も契約に組み込まれたままです。
それに、満点の110を報告しておきながら、後から政府の監査が入ってきちんとしたデューデリジェンスを実施していなかったことが判明すれば、それはFalse Claims Act違反のリスクになります。実際、司法省(DOJ)はすでにこの種の事案で和解に応じさせています。Aerojet Rocketdyne(900万ドル)、Raytheon(840万ドル)、Penn State(125万ドル)、そしてMORSE Corp(自己申告のスコアと実際の評価結果とのギャップをめぐり460万ドル)がその例です。
国防総省が一時停止に踏み切った理由は理解できます。認定を受けたC3PAO(第三者評価機関)はおよそ100社しかない一方、対象企業は10万社を超えており、そもそも数字が成り立たない状況でした。私が懸念しているのは、この移行期間中の対応です。というのも、自己証明だけではこれまで十分な効果を発揮してこなかったからです。第三者による監査があることで責任の所在が明確になります。先ほど挙げた和解事案はすべて、企業が自らの遵守状況を自己証明したところから始まっているのです。
C3PAOにとっても厳しい局面だと思います。彼らは今年11月に評価が義務化されることを前提にビジネスを構築してきましたが、いまや他の関係者と同じく、CMMC改革タスクフォースが約60日後に結果を報告するその時計を見つめて待つしかない状況です。
現時点で分かっているのはここまでです。分かっていないのは、9月中旬頃に予定されているその報告書から何が出てくるかということです。あえて予想するなら、CMMCは形を変えて存続していくと考えています。プログラムが完全に消滅してしまうようなことがあれば、それは意外です。国防総省が問題視していたのは、あくまでアセッサーの需給バランスと中小企業への負担であり、検証そのものの必要性に疑問を呈した者はいませんでした。独立した検証の仕組みが今後も残ることを願っています」
Chris Nyhuis氏、Vigilant、CEO:

「意外に思われるかもしれませんが、CMMCフェーズ2の一時停止は正しい判断であり、むしろ遅すぎたくらいです。安全性を保ちながらスピードを確保することは、もはや『あれば望ましい』程度の要件ではなく、セキュリティ上の必須要件です。敵対勢力は数日単位で動いています。中小の防衛関連サプライヤーが入札に参加する前に第三者監査をクリアするだけで1年、費用にして6桁の金額がかかるようでは、われわれは任務を守っているのではなく、むしろ足を引っ張っていることになります。国防総省は本当の問題を的確に指摘しました。すなわち、監査体制のコストが、小規模で機動力があり革新的な企業を防衛産業基盤から締め出していたのです。そして、そうした企業こそが、われわれの優位性の源泉であることが少なくありません。この国は市場投入のスピードも、即応態勢を整えるスピードも、もっと速める必要があります。この摩擦を取り除くことは正しい方向への一歩です。
ここで何が変わったのかをはっきりさせておきましょう。要件そのもの、そして管理策の中身はほとんど変わっていません。変わったのは検証の部分です。国防総省は『管理策を持つな』と言っているのではありません。『自己証明でよいので、この国を守ることに注力しよう』と言っているのです。それは合理的なトレードオフです。ただし注意点があります。監査には監査で存在する理由があったということです。残念ながら、私自身のキャリアを振り返ると、こうした企業の多くはルールをかいくぐろうとするものであり、まさにそれゆえに第三者による検証がそもそも導入された経緯があります。監査を一時停止したからといって脅威が一時停止するわけではなく、機密扱いされない管理対象情報を保護するという法的義務が変わるわけでもありません。基準は同じままです。変わったのは、その宿題をチェックする人がいなくなったという点だけです。もし自己証明が単なるチェックボックスの記入作業になってしまえば、われわれは『遅いプロセス』を『速い嘘』に置き換えたことになり、そこから生じる侵害の代償は、どんな監査費用よりもはるかに大きくなるでしょう。
実のところ、こうした監査の大半は本来必要ないはずのものです。企業が言った通りのことを実際にやっていれば、アセッサーが指摘すべき問題など何も見つからないはずだからです。ですから、説明責任はそれにふさわしい場所、つまり契約書にサインをする人たちに置くべきです。フェーズ1では既に、毎年、上級責任者が遵守状況を確認・表明することが義務付けられています。その表明に実効性を持たせるべきです。もしあなたが意思決定者や取締役会のメンバーで、自社が国防総省の予算を受け取りながらセキュリティで手を抜いているとすれば、その責任は個人として問われるべきです。そして、ある組織が連邦政府の契約を獲得するために自社の即応態勢について虚偽の申告をした場合、その罰則は重いものであるべきです。国防総省の資金を得るためにセキュリティ体制を偽ることは、単なる書類上のミスではありません。それは国全体をリスクにさらす行為であり、取締役会がそれを『やってみる価値のある賭け』などとは決して考えないほど、重い代償を伴うべきです。個人の説明責任は、監査では決して実現できない規模で機能しますし、コストもごくわずかで済みます」
Ned Butler氏、Redspin、CMMCサービス担当マネージャー兼リードアセッサー:

「今回の一時停止に対する業界の反応の多くは、本来まったく異なる二つのコストを混同しています。DFARS 252.204-7012は事業者にNIST SP 800-171の実装を義務付けるものであり、実際のコストが発生するのはこの実装の部分です。一方でCMMC(32 CFR §170)は、その実装が確かに実施されたことを検証するだけのものです。CMMCの評価費用自体は、PCIやHITRUST、ISOといった他の認証制度と比較しても、同等かそれ以下です。事業者が『CMMC準拠』のコストの高さを訴えるとき、その多くは実際にはDFARS 252.204-7012が以前から求めていたことを実行するコストを指しています。もし今それをキャッチアップするのに費用がかさむのだとすれば、それはそもそも十分に対応できていなかったことを示唆しています。
とはいえ、今回の見直しの過程で解決すべき構造的な問題も確かに存在します。合併・買収のたびに完全な再認証を求めるのは過度な負担です。事業者は自社のすでに評価済みの変更管理プロセスを活用してこうした移行を処理できるようにし、フルの再評価は次の3年ごとのサイクルまで待てるようにするか、あるいは国防総省が重要な変更に対応する簡易版の『差分』評価の仕組みを構築すべきです。また、そもそも何がCUIに該当するのかを特定するという、根強く未解決な問題もあります。プログラム事務局、プライム契約企業、下請け企業のいずれもが、たとえば派生的な技術図面がどの時点でCUIでなくなるのか、あるいはサプライチェーンの中で実際にそれを受け取り、保管し、処理し、伝送する必要があるのは誰なのか、といった基本的な問いに苦戦しています。CUIに一切触れない下請け企業にまで一律に7012要件を波及させることは、保護を強化することなくコストと手間だけを増やすことになります。
そしてこのスコープの問題こそが、国防総省がフェーズ2を一時停止する理由として挙げたキャパシティ危機の根本原因でもあります。国防総省自身の試算では、キャパシティの拡大を見込んでもなお、76,598の事業体がレベル2のC3PAO認証を必要とするとされており、評価エコシステムが到底追いつける規模ではありませんでした。私はこう考えます。正しい対応策は第三者評価を弱めることではなく、その対象範囲を大幅に縮小すること、たとえばおよそ15,000から20,000の事業体という目標範囲まで絞り込み、真に機微なCUIを取り扱う事業者や重要プログラムに携わる事業者を優先することです。そこに到達するには、プライム契約企業やプログラム事務局が、そもそも誰に本当にCUIを配布する必要があるのかについて、はるかに厳格な規律を持つ必要があります。対象範囲を絞ることは、上述のようなプロセス改善を後押しすることにもつながります。なぜなら、それによって現在国防総省を安易な近道へと駆り立てている、案件量からくる圧力が取り除かれるからです」
Robert Teague氏、Redspin、CMMCサービス担当VP兼リードCCA:

「Redspinは、C3PAO、マネージドセキュリティサービス(MSS)、あるいは準備態勢コンサルタントとして、防衛産業基盤全体でこれまでに約200件のCMMC評価を支援してきました。この経験から、プログラムがうまく機能している部分と、国防総省が今回の見直しの中で改善できる部分の両方について、直接的な知見を得ています。
[中略]
中小規模の事業者はすでに成功を収めています。Redspinが実施した約150件のCMMC評価のうち、79件は従業員数600人未満の組織を対象としたものであり、そのうちいくつかはすでに再認証にも成功しています。『CMMCは中小企業には手が届かない』という見方は、私たちの評価実績には当てはまりません。
『アセッサーはわずか100社しかいない』という言説も正確ではありません。現在、認定を受けたC3PAOは107社存在し、リード認定CMMCアセッサー(LCCA)は590名超、認定CMMCアセッサー(CCA)は1,000名超、認定CMMC専門家(CCP)は2,000名近くに上ります。むしろより大きな制約となっているのは、アセッサーに求められるティア3の身元調査であり、これには6か月以上かかることもあり、資格を持つ人材が評価業務に就くのを遅らせています。
評価チームの人員配置要件がコストを押し上げています。32 CFR Part 170では、C3PAOに対して、リードCCAとCCAを固定の比率で評価チームに配置することを義務付けており、評価対象組織の規模や複雑さに関わらず、事業者側のコストを引き上げる要因になっています。C3PAOが評価範囲に応じてチーム規模を柔軟に調整できるようにし、CCPが適切な評価業務の役割を担えるようにすれば、評価の質を損なうことなくコストを削減できる可能性があります」
Chetrice Romero氏、Ice Miller、シニアサイバーセキュリティアドバイザー:

「国防総省がサイバーセキュリティ成熟度モデル認証(CMMC)の実装を進めるなかで、これまでの議論の多くは評価要件や技術的な管理策、認証のタイムラインに集中してきました。もちろんそれらは重要です。しかし、最も成功を収めるのは、CMMCが単なる別種のコンプライアンス業務ではないと理解している組織です。CMMCの本質は、組織のレジリエンス(回復力)を築くことにあります。インシデント対応の計画・訓練から従業員教育、復旧計画に至るまで、求められる実践事項の多くは、規制の有無にかかわらず、あらゆる組織がすでに投資しているべき能力です。人工知能のような新興技術がイノベーションとサイバー脅威の両方を加速させ続けるなか、レジリエンスは単なるコンプライアンス要件ではなく、事業上の必須事項となっています。
これからCMMCへの取り組みを始める組織へのアドバイスはシンプルです。管理策から始めないでください。まずは自社のビジネスから始めましょう。機密扱いされない管理対象情報(CUI)がどこに存在するのか、自社がどのように業務を行っているのか、最大のリスクは何か、そして現時点でどの位置にいるのかを理解してください。そのうえで、最もリスクの高い部分を優先し、コンプライアンスへの取り組みを事業運営と整合させる戦略的なロードマップを構築します。時間をかけて綿密な戦略を練った組織は、単に『チェックボックスを埋める』ためだけに個々ばらばらの要件を急いで実装する組織に比べ、ほぼ例外なく、より効率的に、より少ない混乱で、より強固なセキュリティ態勢を伴って認証にたどり着いています。
[中略]
多くの組織が、CMMCを技術的な取り組みだと理解するのは無理もないことですが、私はその長期的な成功が、製品よりもはるかに『人』に左右されると考えています。ポリシーは、理解され、実際に守られて初めて意味を持ちます。インシデント対応計画は、実際に訓練されて初めて意味を持ちます。セキュリティ意識向上トレーニングは、行動が変わって初めて意味を持ちます。テクノロジーは重要な実現手段ではありますが、レジリエンスはリーダーシップ、組織文化、備え、そして日々の実践を通じて築かれるものです。CMMCをこうした基本を強化する機会として受け止める組織は、コンプライアンスが、より強靭な組織へと成長していく過程の副産物に過ぎないこと、そして次にどんな課題が訪れようとも、それに備えられる組織になっていることに気づくはずです」
Emil Sayegh氏、CyberSheath、CEO:

「防衛関連事業者にとって重要なのは、ペンタゴンが記者会見一つで法律を撤廃したわけではない、ということを理解することです。60日間の見直し期間中は第三者によるCMMC評価が一時停止されますが、根底にあるサイバーセキュリティ義務が変わったわけではありません。NIST SP 800-171、DFARS要件、そしてSPRSへの正確な報告義務は引き続き有効です。事業者は今も、必要なセキュリティ管理策を実装し、自社のサイバーセキュリティ態勢を正確に申告する責任を負っています。
司法省の民事サイバー詐欺イニシアチブ(Civil Cyber-Fraud Initiative)およびFalse Claims Actは引き続き有効であり、事業者は自らが証明した内容について依然として責任を問われます。C3PAOという関与者が間に入らなくなれば、政府の調査そのものが真実を明らかにする瞬間になり得ます。ある事業者が110の管理策すべてを実装済みだと主張していたにもかかわらず、フォレンジック調査の結果それが事実と異なると判明すれば、そのギャップは深刻な金銭的・評判上の結末を招きます。侵害の発生後に行われる調査についても同じ原理が当てはまります。検証を伴わない自己証明は、単にその『清算』のタイミングを後ろに先送りしているに過ぎません。
タイミングにも注目すべき点があります。この一時停止が発表されたのと同じ週に、14か国の政府機関が共同で、国家の支援を受けた攻撃者が重要インフラや防衛サプライチェーンを標的にしていると警告する共同勧告を発表しています。国防総省が第三者評価の実施方法を見直している間にも、より広い脅威の状況は進化し続けており、機密扱いされない管理対象情報(CUI)を託された組織のサイバーセキュリティに対する信頼をどう強化していくべきか、という重要な問いが浮かび上がっています」
Frank Balonis氏、Kiteworks、フィールドCISO:

「CMMCフェーズ2の一時停止は、そもそもこの制度が存在していた理由そのものには手を付けていません。機密扱いされない管理対象情報は依然として保護される必要があり、DFARS 252.204 7012もどこにも消えていません。安全管理条項は、対象となるすべての契約に引き続き組み込まれたままです […]。
実際に変わったのは、もっと限定的な部分であり、ある意味では世間が評価している以上に鋭い変化です。すなわち、自己証明が政府にとって根拠にされる前に、第三者によってチェックされることがなくなった、という点です。この見直し期間中は、あなたのSPRSスコアそのものが検証メカニズムになります。あなたが提出した数値と、そのスコアが誤っていた場合に民事サイバー詐欺イニシアチブのもとで司法省の弁護士が引用できる内容との間に、C3PAOという緩衝材は存在しません。これはコンプライアンス負担が軽くなったということではなく、チェックポイントが一つ減っただけで、法的リスクの大きさ自体は変わらないまま、過大に申告された自己評価と集団訴訟(qui tam訴訟)との距離が縮まったということです。
私はむしろ、これはハードルを下げるどころか、引き上げるものだと考えます。今日の時点で実際に証明できるあらゆるアクセス制御、監査ログ、暗号化基準こそが、自己評価によるSPRSスコアを、単なる書類上の数字から、実際に裏付けのあるものへと変えるのです。そのスコアを支えていたのはC3PAOだけではありません。管理策そのものが、常に本質であるべきものであり、評価はあくまでそのチェックに過ぎませんでした。チェックを一時停止したからといって、基準そのものが一時停止するわけではありません。ただ、あなたの管理策が申告内容と一致しているかどうかを最初に検証する相手が、アセッサーではなく検察官になるかもしれない、というだけのことです。そしてそれは、見直し期間が終わって圧縮されたスケジュールの中で対応させられるのではなく、あなた自身の条件で、事前に備えておきたい話のはずです。
この60日間の猶予期間を技術的なギャップを埋める機会として活用する事業者――アクセス制御を強化し、監査ログを堅牢化し、暗号化が実際にSSP(システムセキュリティ計画)に記載された内容と一致しているかを確認する事業者――は、『一時停止』を『やらなくてよい』と読み替えてしまう事業者に比べ、はるかに強固な立場に立つことになるでしょう」
Michael G. Gruden氏、Steptoe、パートナー、サイバーセキュリティ・インシデント対応部門責任者:

「Hegseth長官による、いわば『フェーズ2に急ブレーキを踏む』という決定は、防衛産業基盤のかなりの部分が正式なC3PAO評価の厳格さに対する準備ができていなかったという現実を反映しています。根底にある要件自体は実質的に変わっていないとはいえ、独立した認証評価は自己評価よりもはるかに要求水準が高いものです。今回の一時停止は、サイバーセキュリティに対する期待水準と、必要な管理策を実装するうえで多くの事業者が直面している財政的・運用的な負担との間に、これまでも存在してきた緊張関係を浮き彫りにしています。こうした課題は確かに現実のものですが、サプライチェーン全体を通じてCUIやその他の機微な防衛情報の保護を強化するというCMMCの根本的な目的は、これまでと変わらず重要であり続けます。コンプライアンス負担の軽減と、国家安全保障および任務目標を支えるうえで政府が規制するデータが十分に保護されることの確保との間で、適切なバランスを見出す必要があります。
[中略]
コンプライアンスへの取り組みを緩めるのではなく、事業者はこの期間を活用して、態勢を強化すべきです。重要な第一歩は、CUIを正確に特定し、それが企業内のどこに存在するのかを見極め、その情報を保管・処理・伝送するシステムの範囲を適切に定めることです。外部のサイバーセキュリティ専門弁護士の指揮のもとで実施される、弁護士・依頼者間の秘匿特権が及ぶ形での準備態勢評価は、法的に保護された形でギャップを特定し、是正の優先順位付けを支援しながら、組織がコンプライアンス態勢について現実的な理解を得る助けとなります。こうした評価はまた、企業が技術的・管理的な管理策を、国防総省から見て十分だと判断されやすい形で実装する助けにもなります。認証要件は一時停止されているかもしれませんが、サイバーセキュリティのコンプライアンスまで停止しているわけではありません。この期間を活用してCUIガバナンスを改善し、自己評価を検証し、将来の認証要件に備える事業者は、CMMC実装の次のフェーズが再開されたとき、はるかに有利な立場に立つことになるでしょう」
Kate M. Growley氏、Crowell & Moring、パートナー:

「国防総省がCMMCフェーズ2の展開を一時停止したからといって、事業者に対して求めていることが根本的に変わるわけではありません。 現在一時停止されているC3PAO評価に向けて準備を進めてきた事業者は、ほぼ間違いなく、CMMCを推進してきたものとは別ではあるものの類似した契約条項の対象にも、すでになっていたはずです。 これらの既存の契約条項は、以前からNIST SP 800-171の実装と、国防総省のサプライヤー実績リスクシステム(Supplier Performance Risk System、いわゆる『SPRSスコア』の呼称の由来)への自己評価スコアの提出を求めていました。 違いは、事業者が『完璧な』NIST実装スコアをいつまでに達成しなければならないか、その明確な期限がこれらの条項では定められていないという点です。 しかし、こうした条項の遵守を試みる事業者に対する近年の政府調査を見る限り、『完璧』に至るまでの猶予がいつまでも続くとは考えにくいことが示唆されています。
[中略]
C3PAO評価の一時停止によって、C3PAO評価にまつわる、いわゆる『監査劇場』とも言える状況に投入されていた直近のリソース需要の一部は緩和されます。 事業者たちは、アセッサーの裁量によって想定されうるあらゆるケースに対応できるよう準備するため、しばしば自分たちが妥当だと感じる水準をはるかに超えて、多大な労力を費やしてきました。 少なくとも当面の間、事業者はそうしたリソースを、実装上のギャップを実質的に埋めることへと振り向けることができます。なぜなら、その義務自体はおそらくすでに契約の中に存在しており、単にCMMCフェーズ2が定めていたような明確な期限がなくなっただけだからです」
Tyler Fordham氏、Dark Wolf、攻撃的セキュリティ部門ディレクター:

「ペンタゴンが煩雑な手続きを削減するためにCMMCを一時停止したこと自体は正しい判断ですが、紙ベースの自己証明に逆戻りすることが答えにはなりません。防衛産業基盤(DIB)セキュリティの未来は、技術的なセキュリティ検証にあります。敵対者の行動を模したペネトレーションテストやレッドチーム演習、(OSCALのような)機械可読なコンプライアンス、そしてInfrastructure-as-Code(IaC)の自動検証といった手法です。コンプライアンスチェックを自動化することで、国防総省は中小企業に手動によるコンプライアンス審査業務のために法外な費用を支払わせることなく、規模に応じたセキュリティ検証を実現できます。
とはいえ、事務的な負担の軽減は、実質的な監督を犠牲にする形で行われてはなりません。今回の一時停止は事務的な圧力を軽減する一方で、国防総省はそれがセキュリティの空白を生み出さないようにする必要があります。堅牢でランダムな政府監査の仕組みを伴わない自己証明は、これまで歴史的に見ても、機微な情報の保護に失敗してきました。第三者評価に代わる仕組みが何であれ、制度への信頼を維持するための積極的な執行体制を備えている必要があります。
事業者には予測可能性も必要です。CMMCのマイルストーンの突然の一時停止は、早い段階からコンプライアンスに多大な投資をしてきた先進的な企業にペナルティを科す一方で、対応が遅れていた企業に報いる結果になっています。国防総省の60日間の見直しでは、国家安全保障と中小防衛関連事業者の経済的な存続可能性の両方を守る、持続的かつ透明性のある枠組みを確立しなければなりません」
Austin Berglas氏、BlueVoyant、プロフェッショナルサービス部門グローバル責任者:

「NIST 800-171への準拠義務そのものは、何も新しいものではありません。NISTが定めているのは『何を』行うべきかであるのに対し、CMMCが定めているのは『どのように』それらの管理策を検証するかという正式なプロセスです。フェーズ2に向けて時間とリソースを投じて準備を進めてきた組織は、すべての防衛産業基盤(DIB)企業が本来すでに行っておくべきだったことを、まさに実行しているに過ぎません。コンプライアンスは一度きりの取り組みではなく、継続的なプロセスです。コンプライアンスに準拠した企業は、提案依頼書(RFP)や新規契約の獲得において常に優位に立ちますが、根本的な事実として、わが国の機微な情報を保護することは義務であり、その情報を適切に受領・保管・処理する準備ができていない事業者は、そもそもそれを許されるべきではありません。
CMMCの展開が一時停止されたことで、もし企業がこれを自社のセキュリティ態勢を後退させる好機と捉え、サプライヤー実績リスクシステム(SPRS)に不正確な、あるいは過大なスコアを入力するようなことがあれば、False Claims Act違反が増加する可能性があります。DIB各組織がコンプライアンスを維持し続けることが不可欠です。有意義な変化を促す唯一の手段は第三者認証であり、もし国防総省が中小企業の財政的負担を軽減したいのであれば、その答えは基準を引き下げることではなく、政府主導のインセンティブにあります。
不確実性はビジネスにとって決して好ましいものではありません。改革後のプログラムが何を求めることになるのか、あるいはCMMCそのものが完全に廃止される可能性があるのかは誰にも分かりませんが、フェーズ1への準拠、自己評価の実施、SPRSへの正確なスコアの提出、そして年次の表明を行うという義務は、依然として変わっていません」
翻訳元: https://www.securityweek.com/industry-reactions-to-pentagon-suspending-cmmc-phase-2-feedback-friday/