米国国防総省が長らく待たれていたサイバーセキュリティ成熟度モデル認証(CMMC)プログラムは、2025年11月10日に正式に施行段階へ入りました。
国防連邦調達規則補足(DFARS)への改正として導入されたCMMCプログラムは、防衛請負業者および下請業者に対し、機密情報を保護するための特定のサイバーセキュリティ対策の実施を求めています。
国防総省(戦争省とも呼ばれる)は、今後新たな防衛産業基盤(DIB)契約の条件としてCMMC準拠を義務付けることができます。
この目的は、請負業者および下請業者が連邦契約情報(FCI)および管理された非分類情報(CUI)を保護できるようにすることです。FCIは、一般公開を意図していない、請負業者に提供されるか請負業者によって生成される情報です。CUIは、機密扱いではないものの、不正な開示から保護する必要がある政府の機微な情報です。
過去8年間、請負業者はサイバーセキュリティ準拠を自己申告で済ませることが許されてきましたが、今後は一部の組織が認定された第三者評価機関(C3PAO)による正式な評価も受ける必要があります。
取り扱う情報の機微性に応じて、請負業者は3つのCMMC成熟度レベルのいずれかに準拠しなければなりません。
レベル1はFCIの基本的な保護を対象とし、年1回の自己評価と15項目の要件遵守が必要です。レベル2はCUIの広範な保護を対象とし、自己評価またはC3PAOによる評価が必要で、NIST SP 800-171サイバーセキュリティフレームワークで規定された110項目の要件への準拠が求められます。
レベル3は、高度な持続的脅威(APT)からCUIをより強力に保護するためのものです。国防契約管理局の防衛産業基盤サイバーセキュリティ評価センター(DIBCAC)による3年ごとの評価と、NIST SP 800-171の110項目およびNIST SP 800-172(強化セキュリティ要件)の追加24項目への準拠が必要です。
2025年11月10日はCMMC導入の第1フェーズの開始日であり、請負業者はレベル1およびレベル2の自己評価を完了する必要があります。第2フェーズは2026年11月10日に開始予定で、新規契約においてレベル2認証のための第三者評価が義務付けられます。
第3フェーズは2027年11月10日に予定されており、レベル3の要件が導入されます。第4フェーズ(最終フェーズ)は2028年11月10日に予定されており、すべての該当契約に対してCMMC要件が完全に実施されます。
レベル1およびレベル2には自己評価が含まれますが、準拠状況を虚偽申告して発覚した場合、請負業者は重大なリスクにさらされます。サイバーセキュリティの不備により数百万ドルの支払いを命じられる防衛請負業者も珍しくありません。その例としてはMORSE、Aerojet Rocketdyne、Raytheon/Nightwingなどがあります。
「これはGDPRレベルの出来事です」と、CMMC準拠サービスを提供し、今週ガイダンスを公開したSecureframe社CEOのシュラヴ・メータ氏は述べています。
「多くの防衛請負業者は、いまだに個人メールや機密情報の保存基準を満たさない商用ソリューションを使っています。特にIT部門を持たない製造業者に多いです」とメータ氏は説明します。「本当の脆弱性は大手請負業者ではなく、こうしたデータを自力で守るリソースや専門知識を持たない下請業者にあります。」
DODのサイバーセキュリティ準拠サービスプロバイダーであるCyberSheathが9月下旬に発表したレポートによると、CMMCへの完全な準備ができていると感じていた防衛請負業者はわずか1%で、2024年の4%から減少しています。
「8万社の防衛請負業者がレベル2認証を必要としていますが、現時点で最終CMMC証明書を保有しているのはわずか270社です」とCyberSheath社CEOのエミル・サイエフ氏は当時述べています。「計算は単純で、かつ憂慮すべきものです。準備ができていない請負業者は、DOD契約で数十億ドル規模のビジネスから締め出される一方、本当に準拠とサイバーセキュリティに投資した競合他社がビジネスを獲得するでしょう。」
CMMC施行に対応し、サイバーセキュリティ企業は新製品の投入や既存プラットフォームの更新を行い、企業の準拠支援を進めています。最近では、AWSとWiz(提携)、Huntress、Strike Graph、USX Cyber、SensibaなどがCMMC準拠ソリューションを発表しています。
翻訳元: https://www.securityweek.com/cmmc-live-pentagon-demands-verified-cybersecurity-from-contractors/
