国防総省(DoD)の最高情報責任者部局、連邦政府の契約情報や管理された機密未分類情報を預かる企業に対し、高度なレベルのサイバーセキュリティ基準を要求

2024年10月15日、国防総省(DoD)の最高情報責任者部局(CIO)は、連邦契約情報(FCI)および管理された機密未分類情報(CUI)を保護するために、請負業者が必要なセキュリティ対策を実施していることを確認する「サイバーセキュリティ成熟度モデル認証(CMMC)プログラム」を確立すると発表しました。

具体的には、この最終規則で、請負業者または下請け業者に対して、契約履行期間中は、指定されたCMMCレベルおよび評価タイプを維持することを要求しています。また、この規則内容は、サイバーセキュリティへの脅威の進化に伴って、その基準や要件とその他の関連事項が、必要に応じて更新される予定です。

この最終規則は2024年12月16日に発効します。最終規則の内容は、防衛産業基盤企業(DIB)の販路網などに関連する事業体に影響が及びます。

サイバーセキュリティ成熟度モデル認証(CMMC)とは

「サイバーセキュリティ成熟度モデル認証(Cybersecurity Maturity Model Certification、CMMC)とは、米国の国防総省(Department of Defense、DoD)から発表されている防衛産業基盤企業(defense industrial base’s、DIB)の機密として未分類情報を、サイバー攻撃から保護する包括的な枠組みのことを言います。

この枠組みは、2010年11月の米国大統領令(E.O.13556、管理された未分類情報)において、「保護または拡散管理を必要とする機密未分類の情報を管理するための、オープンで統一されたプログラムを確立する」に従い、2019年よりDODが開発を行っています。

2021年11月、国防総省の最高情報責任者部局(Office of the Department of Defense Chief Information Officer、CIO)は、改訂CMMCプログラムを発表しました。

今回改正されたCMMCプログラムの概要

2024年10月15日、DoDのCIOは、請負業者が必要なセキュリティ対策を実施していることを確認する「サイバーセキュリティ成熟度モデル認証(CMMC)プログラム」を確立し、連邦契約情報(Federal Contract Information、FCI)および管理された未分類情報(Controlled Unclassified Information、CUI)を保護するため、「32CFRパート170：CMMCプログラム規程」および補完的な「48CFRパート204：CMMC取得規程」を改正して最終規則としました。

具体的には、連邦政府以外のシステムでFCIまたはCUIを処理、保管、または送信することを必要とする契約を結ぶ請負業者は、免除されない限り、CMMCレベルおよび評価タイプの要件を契約期間中常に満たさなければならないとされました。

そもそも改訂CMMCプログラムは、以下の3つの重要な特徴を持っています。

• 階層モデル：FCIまたはCUIを預かる企業に対し、情報の種類と機密性に応じて段階的に、高度なレベルのサイバーセキュリティ基準を要求。
• 評価要件：CIOが、CMMCの評価に従って、明確なサイバーセキュリティ基準を実施。
• 段階的実施：CMMC規程が発効すると、FCIまたはCUIを取り扱う特定の国防総省の請負業者は、契約締結の条件として、特定のCMMCレベルを要求。また、このCMMC要件は、3年間にわたる4段階の実施計画に従って実施。

現在の最新バージョンはCMMC2.0で、以下に記載された評価によりレベル分けが行われています。このレベル分けには、基礎的なものから高度なものまで複数のサイバーセキュリティ規格(NIST SP 800-171、ISO 27001など)が1つに統合されています。

• レベル3 (Expert、専門的)：3年毎の政府主導による評価
• レベル2 (Advanced、先進的)：重要な国家安全保障情報に関する3年ごとの第三者評価
• レベル1 (Foundational、基本的)：自己評価

DoDと直接または間接に契約したい組織は最低限レベル１以上の認定が必須となり、米国のDIBの販路網に関与する30万社以上が、このCMMC要件の対象となります。

参考情報

サイバーセキュリティ成熟度モデル認証(CMMC)プログラムを最終規則に