- 新しいサイバーセキュリティフレームワークが間もなく施行
- CMMCにより、潜在的なベンダー向けの規則がより複雑に
- これらの規制は2回目の改訂
国防総省の潜在的なベンダー向けに新たな要件が発表されました。新しいサイバーセキュリティ成熟度モデル認証(CMMC)2.0基準は、国防総省の契約業者となるための厳格なコンプライアンス要件を定めており、2025年11月10日に正式に施行されます。
「私たちは、ベンダーが米国の国家安全保障を最優先事項とすることを期待しています」と、ペンタゴンの暫定最高情報責任者であるケイティ・アーリントン氏は声明で述べました。「サイバー基準を遵守しCMMCを取得することで、ベンダーがまさにそれを実行していることを示しています。」
新しいサイバーセキュリティフレームワークは、取り扱うデータの機密性に応じて3つの異なるコンプライアンスレベルで運用されます。要件を満たさないベンダーは、国防総省の契約資格を得ることができません。
2度目の試み
CMMCの導入は困難かつ長期的なプロセスであり、最初のトランプ政権時にはサイバーセキュリティ業界が要件に反発し、「規則が複雑すぎる」「中小企業への負担が大きすぎる」と主張していました。
これらの要件の第2版では、コンプライアンスのプロセスが簡素化され、評価レベルは5段階から3段階に減少しました。最低機密レベルではベンダーが自己評価できますが、第2層は認定された第三者評価者による検証が必要となり、第3層は国防産業基盤サイバーセキュリティ評価センターによる評価が求められます。
新しい要件では、規則を満たしていない契約業者を支援するため、「行動計画とマイルストーン」も定められており、コンプライアンスに向けて取り組む間、180日間の条件付き認証が認められます。
今年初め、米国国防総省は深刻なITシステムの欠陥への対応を求められました。複数のプログラムが必要なパフォーマンス基準に達していないことが判明し、4つの重要な防衛システムが「2027年の期限までに、より厳格なサイバーセキュリティ手法(ゼロトラストアーキテクチャ)を導入するための計画が策定されていない」と特定されました。
