CMMC(サイバーセキュリティ成熟度モデル認証) しーえむえむしー
簡単に言うとこんな感じ!
米国の防衛省(DoD)が「うちと取引したいなら、ちゃんとセキュリティ対策できてるか証明してね」って作った認証制度だよ。レベル1〜3の段階があって、取り扱う情報の機密度によって求められるレベルが違うんだ。日本企業でも米軍関連の仕事を取りたい場合は無視できない話だよ!
CMMCとは
CMMC(Cybersecurity Maturity Model Certification) は、米国国防総省(DoD: Department of Defense)が定めるサイバーセキュリティ成熟度モデル認証の略称です。DoDと取引するすべての防衛産業基盤(DIB: Defense Industrial Base)企業に対して、適切なサイバーセキュリティ対策の実施と、その第三者認証取得を義務づける制度です。
従来は、防衛サプライヤーが「セキュリティ対策をしている」と自己申告するだけでよかったのですが、その抜け穴を突いたサイバー攻撃が後を絶ちませんでした。そこでDoDは、自己申告から第三者機関による審査・認証へと制度を切り替え、2020年にCMMCの初版(v1.0)を導入しました。その後2021年〜2024年にかけて大幅に改訂され、現在はCMMC 2.0が実運用の基準となっています。
日本企業にとっても無縁ではなく、米国の防衛関連プロジェクトに参画するサプライヤーや下請け業者も対象になります。日米同盟に絡む調達・共同研究・部品供給に関わる企業は、CMMCの要件を把握しておくことが不可欠です。
CMMCの3つのレベル構造
CMMC 2.0では、旧版(v1.0)の5段階から3段階に整理されました。
| レベル | 名称 | 対象情報 | 審査方式 | 必要な管理策数 |
|---|---|---|---|---|
| レベル1 | ファンダメンタル | FCI(連邦契約情報) | 年次自己評価 | 17項目 |
| レベル2 | アドバンスト | CUI(管理対象非機密情報) | 第三者機関審査(C3PAO)または自己評価 | 110項目 |
| レベル3 | エキスパート | 高度機密CUI | 政府主導の審査 | 110項目以上+追加要件 |
- FCI(Federal Contract Information):連邦政府の契約遂行上に生じる情報。一般公開されていない政府情報
- CUI(Controlled Unclassified Information):機密指定はないが、取り扱いに注意が必要な政府情報(設計図、研究データなど)
- C3PAO(CMMC Third-Party Assessment Organization):DoDが認定した第三者審査機関
覚え方:「1は自分で、2は第三者、3は政府が来る」
レベルが上がるほど取り扱う情報の重要度が増し、審査も厳しくなる、というシンプルな構造です。「情報の重さ=審査の重さ」と覚えると整理しやすいです。
NIST SP 800-171との関係
CMMCのレベル2は、NIST SP 800-171(米国国立標準技術研究所が定めるCUI保護のガイドライン)の110の管理策とほぼ一致しています。NIST SP 800-171への準拠が事実上のレベル2達成の基盤となるため、両者はセットで理解することが重要です。
歴史と背景
- 2010年代前半:米国防衛産業へのサイバー攻撃が急増。F-35戦闘機の設計データ流出など、サプライチェーンを狙った攻撃が社会問題化
- 2015年:DoDがDFARS(国防連邦調達規則補則)を改訂し、契約者にNIST SP 800-171への準拠を義務化。ただし自己申告のみで第三者検証なし
- 2019年:DoDがCMMCの開発を開始。自己申告制度の限界を認め、第三者認証の導入を決定
- 2020年1月:CMMC v1.0 公開。5段階のレベル構造を採用
- 2021年11月:CMMC v1.0の複雑さや企業負担への批判を受け、CMMC 2.0 の骨格を発表。5段階→3段階へ簡略化
- 2024年10月:CMMC 2.0が連邦規則集(32 CFR Part 170)に正式収録され、法的拘束力を持つ規則として確立
- 2025年以降:DoDの新規契約へのCMMC要件の段階的な組み込みが進行中
CMMC・NIST・関連フレームワークの対応関係
CMMCは複数のセキュリティフレームワークをベースに構築されています。以下の図で相互の位置づけを確認できます。
CMMC vs ISO 27001 — どちらを取るべきか?
| 比較軸 | CMMC | ISO 27001 |
|---|---|---|
| 対象 | 米国DoD取引企業 | 全業種・全世界 |
| 目的 | 防衛調達上の要件充足 | 情報セキュリティ管理の国際認証 |
| 認証機関 | DoD認定C3PAO | UKAS等認定審査機関 |
| 更新サイクル | 年次評価+3年ごと審査 | 3年ごとの更新審査 |
| 米国政府調達への有効性 | ◎ 直接要件 | △ 代替不可 |
| グローバル通用性 | △ 米国DoD特化 | ◎ 国際標準 |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-171 | CUIを保護するための110の管理策。CMMC レベル2の基盤 |
| NIST SP 800-172 | 800-171の追加強化要件。CMMC レベル3の基盤 |
| DFARS 252.204-7012 | 国防連邦調達規則補則。CUIの保護とインシデント報告を義務づけ |
| FAR 52.204-21 | 連邦調達規則。FCI保護の基本要件(17項目)を規定 |
| 32 CFR Part 170 | 2024年に正式収録されたCMMC 2.0の連邦規則 |
関連用語
- NIST SP 800-171 — CUIを保護するための米国標準ガイドライン。CMMCレベル2の骨格
- CUI(管理対象非機密情報) — 機密指定はないが取り扱いに注意が必要な政府関連情報
- NIST CSF — NISTが公開するサイバーセキュリティフレームワーク。民間向けの汎用的なセキュリティ指針
- ISO 27001 — 情報セキュリティ管理システムの国際規格。CMMCとよく比較される
- サプライチェーンセキュリティ — 調達・製造ネットワーク全体のセキュリティリスク管理
- ゼロトラスト — 「何も信頼しない」を前提としたセキュリティアーキテクチャ
- DFARS — 国防連邦調達規則補則。CMMCの法的根拠となる調達規則
- リスクマネジメント — 情報資産に対する脅威・脆弱性を識別・評価・対処する体系的プロセス