TL;DR

DoD契約を扱い、連邦情報（FCIまたはCUI）に触れる場合は、CMMC（サイバーセキュリティ成熟度モデル認証）が必須となる。

レベルは3段階：

• レベル1：基本的なサイバー衛生（自己評価）。
• レベル2：NIST 800-171（第三者評価）。
• レベル3：高度なセキュリティ（政府主導の監査）。

CMMCなし＝契約なし。認定を受け、資格を維持する。

CMMCスコアカードの概要：

• 開発者の労力：アクセス制御、構成管理、システム完全性、脆弱性管理、CUI 保護に関連するセキュアコーディングの実践に関連する管理の実施が必要である。
• ツール費用：中～高（アクセス制御、MFA、エンドポイントセキュリティ、脆弱性スキャン、ロギング/SIEM、構成管理、潜在的なDLP、NIST 800-171のコントロールに沿ったツールの使用が必要）。
• 市場への影響：重要（FCI/CUI を含む国防総省の契約への参加は必須であり、DIB 全体の基本要件となる）。
• 柔軟性：低～中程度（特定のNIST統制に基づく。レベル2では、評価時の行動計画とマイルストーン（POA&M）を限定的に認めるが、完全準拠が目標）。
• 監査の強度：高い（レベル1は自己評価であるが、レベル2はC3PAOによる正式な第三者評価が必要であり、レベル3は政府による評価が必要である）。

CMMCとは？

サイバーセキュリティ成熟度モデル認証（CMMC）プログラムは、国防産業基盤（DIB）全体でサイバーセキュリティ基準を実施するために設計された米国国防総省（DoD）のイニシアチブである。その主な目的は、請負業者のネットワークに存在する機密性の高い非分類情報を保護することです：

• 連邦契約情報（FCI）：契約に基づき政府によって提供された、または政府のために作成された、一般公開を意図しない情報。
• 管理された非機密情報（CUI）：CUI：法律、規則、または政府全体の方針に従って、保護または配布の管理を必要とする情報。

現在のCMMC 2.0は、オリジナルのモデルを3つの成熟度レベルに単純化したものである：

• レベル1（基礎）：FCI の基本的な保護に重点を置く。FAR 52.204-21 に規定されている 15 の基本要件に合致している。毎年の自己評価を必要とする。
• レベル2（上級）：CUI の保護に重点を置く。NIST SP 800-171 Rev 2に概説されている110のセキュリティ要件と完全に一致する。CUIを含むほとんどの契約について、認定されたCMMC第三者評価機関（C3PAO）による3年に1度の第三者評価を必要とする。レベル2プログラムのサブセットでは、自己評価を認めることができる。
• レベル3（エキスパート）：高度な持続的脅威（APT）から CUI を保護することに重点を置く。NIST SP 800-171 の 110 の管理策すべてに加え、NIST SP 800-172（Enhanced Security Requirements）の管理策のサブセットを含む。3年ごとの政府主導による評価を要求。

NIST 800-171 に対するこれまでの自己認証アプローチとは異なり、CMMCでは、要求されるサイバーセキュリティの実践を検証するために、強制的な評価（レベルに応じて、自己、第三者、または政府）が導入される。要求されるCMMCレベルは、国防総省の募集および契約に明記される。

なぜ重要なのか？

CMMCは国防産業基盤（DIB）のゲームチェンジャーである：

• 国防総省との契約に必須最終的には、要求されるCMMCレベルを達成し維持することが、FCIやCUIを含む国防総省との契約を受注する、あるいは契約に参加するための必須条件となる。コンプライアンス違反は、国防総省の仕事を受ける資格を失うことを意味する。
• 機密情報の保護国家安全保障上の大きな懸念事項である、DIB のサプライチェーンからの防衛機密情報（FCI/CUI）の盗難を大幅に削減することを目指す。
• サイバーセキュリティの標準化DIB 全体に統一されたサイバーセキュリティ基準を設け、一貫性のない自己認証から、検証されたコンプライアンスへと移行する。
• サプライチェーンのセキュリティを強化：FCI/CUIを扱う下請け業者まで要件が流れ込み、サプライチェーン全体の安全確保を目指す。
• 説明責任の強化：自己申告から検証された評価へと移行し、要求されるセキュリティ管理策を実施するための説明責任を高める。
• 信頼の構築：CMMC認証は、下請け業者が適切なサイバーセキュリティ対策を実施していることを国防総省（および元請け業者）に保証するものである。

現在、国防総省と取引を行っている企業や、今後取引を計画している企業にとって、CMMCコンプライアンスを理解し、達成することは、防衛市場で生き残り、成長するために不可欠となっている。

何をどのように実施するか（技術・政策）

CMMCを実施するには、FAR 52.204-21およびNIST SP 800-171 / 800-172から主に引用されている、ターゲットレベルに関連するサイバーセキュリティのプラクティスを採用する必要があります：

1. 必要なレベルの決定：取り扱う情報の種類（レベル1ではFCIのみ、レベル2/3ではCUI）および特定の契約要件に基づいて、必要なCMMCレベルを特定する。
2. 範囲の定義：FCI/CUI を取り扱うシステム、資産、場所、人員を明確に特定する。この「CUI境界」は評価にとって重要である。データフローを文書化する。
3. ギャップ分析：目標とするCMMCレベル（L1 は 15 の管理、L2 は 110 の NIST 800-171 の管理、L3 は L2 + NIST 800-172 のサブセット）の要件に対する現在のセキュリティ体制を評価する。ギャップを特定する。
4. 修復と実施： 必要な管理を実施することにより、特定されたギャップに対処する。これは、NIST 800-171 から派生した 14 のドメインにまたがる：
   
   • アクセス制御（AC）：最小特権の導入、アカウントの管理、リモートアクセスの制御、MFAの使用（CUIに必要）。
   • アウェアネス＆トレーニング（AT）：セキュリティ意識向上トレーニングを実施する。
   • 監査と説明責任（AU）：システムログを生成・保持し、アクションをユーザーまで追跡できるようにする。
   • 構成管理（CM）：構成ベースラインの確立、変更の管理、ソフトウェアのインストールの制限。
   • 識別と認証（IA）：ユーザーを一意に識別し、認証する（CUIアクセス用のMFAを含む）。
   • インシデントレスポンス（IR）：インシデント対応計画を策定し、テストする。
   • メンテナンス（MA）：システムメンテナンスを確実に行う。
   • メディア保護（MP）：CUIを含むメディアを消毒または破壊する。
   • 人事セキュリティ（PS）：アクセスを許可する前に個人を選別する。
   • 物理的保護（PE）：物理的なアクセスを制限する。
   • リスクアセスメント（RA）：定期的にリスクを評価し、脆弱性をスキャンする。
   • セキュリティアセスメント（CA）：システムセキュリティプラン（SSP）の策定、コントロールの監視、POA&Mの管理。
   • システムと通信の保護（SC）：通信の境界（ファイアウォール）を監視／制御し、暗号化保護（例えば、静止時／転送時の CUI に対する FIPS 140 認証済みの暗号化）を実装し、デフォルトでネットワーク・トラフィックを拒否する。
   • システムと情報の完全性（SI）：欠陥の特定/管理、マルウェアからの保護、不正な変更の監視。
5. ドキュメンテーション 重要な文書を作成する：
   
   • システム・セキュリティ計画（SSP）：要求される各コントロールがどのように満たされるかを記述する。
   • 方針と手順：統制の実施を裏付ける正式な文書
   • 行動計画とマイルストーン（POA&M）：ギャップが残っている場合（特定の条件下でCMMCレベル2に対して一時的にのみ許容される）、それを修正する計画を文書化する。
6. 自己評価（全レベル）：要件に対する内部評価を実施し、該当する場合はNIST SP 800-171の評価スコアを算出する（SPRSの提出に必要）。
7. 査定の準備：証拠を集め、面接のための人員を準備し、文書が完全であることを確認する。
8. 査定を受ける：
   
   • レベル1：年1回の自己評価。
   • レベル2：C3PAOによる3年に1度の第三者評価（ほとんどの場合）または自己評価（一部の場合）。
   • レベル3：3年ごとの政府主導による評価。

実施にあたっては、NIST SP 800-171と整合させ、文書化と評価を通じて成熟度と有効性を実証することが重要である。

避けるべき一般的な間違い

CMMCの認証取得には、慎重な計画が必要です。このような失敗を避けましょう：

1. 範囲／複雑性の過小評価：FCI/CUIが保管、処理、伝送されるすべてのシステム/場所を正確に特定できず、不完全な評価につながった。
2. 経営陣の賛同の欠如：必要なリソース、ポリシーの変更、文化的転換に対するリーダーシップのサポートがないまま、CMMCを純粋にITの問題として扱う。
3. リソース不足：NIST 800-171 のコントロールを正しく実施し、文書化するための専門知識を有する人材が不足している。
4. 不十分な文書化：SSP、方針、手順が弱いか存在しないか、またはアセスメント中にコントロールの実施 を証明する適切な証拠を収集しなかったこと。
5. NIST SP 800-171 を無視している：レベル 2 に必要な 110 の管理策に対する詳細なギャップ分析を実施せずに、既存のセキュリティ対策で十分であるとする。
6. サプライチェーンの軽視：FCI/CUIを扱う下請け業者へのCMMC要件のフローダウンを怠ったり、クラウドプラットフォームのような外部サービスプロバイダー（ESP）からのリスクを管理していない。
7. 先延ばし：契約書にCMMCの要件が記載されるまで待ち、準備と是正に必要な9～18カ月以上の期間を過小評価する。
8. チェック・ザ・ボックス（箱の中身をチェックする）"エクササイズとして扱うこと：統制が実際に有効であり、業務に統合されていることを確認することなく、表面的に統制を実施すること。

監査人／評価者が質問すること（開発者フォーカス）

CMMCアセスメントは広範なITとセキュリティの実践を対象としているが、CUIを扱う開発者やCMMCの範囲内のシステムで作業する開発者は、以下のようなコントロールへの準拠を実証することに関与する可能性がある：

• (CMコントロール）"ソフトウェア構成の変更はどのように管理され、追跡されるか？"
• (SIコントロール)"開発中に悪意のあるコードを検出し、防止するためにどのような対策がとられているか？"
• (SAコントロール-800-171に関連する)"安全なソフトウェア開発の実施方法を記述してください。(800-171自体にSSDFの範囲まで明確に詳述されていないが、安全な開発はCUIを保護するための暗黙の期待である)。
• (ACコントロールズ）「CUIを含む開発環境やソースコードへのアクセスはどのように管理されていますか？
• (auコントロール)"特にCUIのあるシステムにアクセスする場合、開発者の行動はログに記録されるか?"
• (RAコントロール)"CUIを扱うカスタム開発ソフトウェアにおいて、脆弱性はどのように特定され、是正されているか？" (例：SAST/DASTの使用)(例：SAST/DASTの使用)
• (SCコントロールズ）"CUIはどのように送信中に保護されるか（例えば、APIで使用される暗号化）"。

評価者は、実装された技術的コントロール、開発者が従った文書化された手順、およびコンプライアンスを確認する証拠（ログ、スキャン結果、アクセスレビュー）を確認する。

開発チームのクイックウィン

開発チームは、特にレベル2（NIST 800-171との整合）のCMMC準備に貢献することができます：

1. 開発におけるCUIの特定：コード、テストデータ、文書、または開発ツールのどこにCUIが存在するかを理解する。必要に応じて処理手順を導入する。
2. セキュアな開発環境：開発サーバ、コードリポジトリ、CI/CDパイプラインにアクセス制御（最小特権、MFA）を適用する（特にCUIを扱う場合）。
3. SAST/SCA の統合:自動化ツールを使用して、コードと依存関係の脆弱性を早期に発見する。(RA.L2-3.11.2、SI.L2-3.14.1 をサポート)
4. 秘密の管理：秘密／認証情報（特に CUI へのアクセスを提供するもの）がハードコードされないようにする。(AC.L1-3.1.1、AC.L1-3.1.2をサポート)
5. 変更管理を正式にする：Gitflow/PRを使用し、承認を必要とし、変更を課題にリンクする。(CM.L2-3.4.1、CM.L2-3.4.2をサポート)
6. 開発者セキュリティトレーニング：基本的なセキュリティ意識とセキュアコーディングのトレーニング。(AT.L2-3.2.1対応）

これを無視すれば...（コンプライアンス違反の結果）

防衛産業基盤の組織にとって、CMMCの不遵守は、フレームワークが展開されるにつれて、直接的かつ深刻な結果をもたらすだろう：

• 国防総省との契約の不適格：主な結果。要求されるCMMCレベルを達成できない場合、組織は、FCI/CUIを含む新規の国防総省契約を受注する資格、または既存の契約を継続する資格を失う可能性がある。
• 収入の損失：国防総省との契約から締め出されることは、防衛関連企業にとって、現在および将来の収入が大きく失われることを意味する。
• サプライチェーンからの排除：プライム・コントラクターは、下請け業者に対してCMMCの要件を満たすことを要求する。
• 競争上の不利：CMMC認証を取得した企業は、取得していない競合他社に対して大きな優位性を持つ。
• 契約上のペナルティの可能性：CMMCの要求事項がフローダウンして満たされない場合、既存の契約に影響が出る可能性があり、契約違反の問題に発展する可能性がある（ただし、具体的な内容はまだ検討中である）。

基本的に、CMMCの遵守はDIBにとってビジネスを行うためのコストになりつつある。

よくあるご質問

誰がCMMCの認定を必要とするのか？

国防産業基盤（DIB）のサプライチェーンの中で、連邦契約情報（FCI）または管理された非機密情報（CUI）を扱うすべての組織は、最終的にDoD契約によって要求される特定のCMMCレベルを達成する必要があります。

CMMC 1.0とCMMC 2.0の違いは何ですか？

CMMC2.0は、当初の5つのレベルを3つにスリム化し、CMMC独自のプラクティスとプロセスを削除して、レベル2をNIST SP 800-171に、レベル3をNIST SP 800-171とNIST SP 800-172のサブセットに直接整合させました。また、レベル1（およびレベル2のサブセット）での自己評価を可能にし、特定の条件下でレベル2の評価時に行動計画とマイルストーン（POA&M）を限定的に使用することを認めています。

FCIとCUIの違いは何ですか？

FCI（FederalContract Information：連邦契約情報）とは、契約に基づいて政府によって／政府 のために提供される、一般公開を意図しない情報である。CUI（ControlledUnclassified Information）は、法律、規制、または政府の方針によって定義された、保護管理を必要とする広範なカテゴリーである（例：輸出規制データ、特定の技術データ）。CUIを取り扱う場合、CMMCレベル2または3が必要となる。

CMMCが契約に義務付けられるのはいつですか？

国防総省は、CMMCプログラム・ルール（現在検討中）の確定に基づき、2025年半ばから後半にかけて段階的にCMMCを導入する可能性がある。CMMCは、その後数年間にわたり契約書に徐々に登場し、およそ2027年後半から2028年前半までには、FCI/CUIを扱うほぼすべての国防総省の契約書の要件になると予想されている。

NIST SP 800-171とは何か、またCMMCとの関係は？

NIST SP 800-171は、連邦政府以外のシステムにおけるCUIを保護するための要件を概説している。CMMC レベル 2は、NIST SP 800-171 Rev 2 に規定された 110 のセキュリティ要件に直接対応しています。NIST 800-171への準拠は、CMMCレベル2を達成するための基盤です。

C3PAOとは？

CMMC 第三者評価機関（C3PAO）とは、CMMC レベル 2 認証評価を実施することを認められた CMMC 認定機関（The Cyber AB）により認定された機関である。

CMMCにクラウドサービス（AWS、Azure、Google Cloudなど）を利用できますか？

ただし、クラウド・サービス・プロバイダー（CSP）環境は特定の要件を満たす必要がある。CMMC レベル 2 を必要とする契約では、請負業者は FedRAMP Moderate（または High）認可または同等の CSP を使用することができる。管理に関する責任は請負業者と CSP の間で共有されるため、慎重な文書化が必要となる（責任分担マトリクスなど）。