Evaコラム:我が国へのCMMC適用はいつ?

 アメリカ国防総省(DoD)と取引きを希望する全ての企業は、2026年10月以降受注する契約条件に応じてCMMCのレベル1-5のいずれかの取得が必須となります。DoDは2020年CMMCを普及させる組織としてCMMC-ABを立ち上げ、審査及び研修制度確立後、2021年から米国内約30万社に対しCMMCのレベル認証取得に向け本格的に活動を開始しました。

 多くの企業は自社の事業内容に照らし合わせてCMMC レベル1-3の認証を取得していく準備が始まっています。

 DoDはファーウェイの問題以降、サプライチェーン全体に情報の漏れが無いかについて以前よりも繊細になっています。サイバーセキュリティの安心安全の確保はボーダレス社会においては必ず維持すべき最重要課題となっているからです。

 さて日本へはいつ展開されるのでしょうか?

 EvaAviationはCMMC-ABの設立当初から情報交換を行っていますが、今回日本における展開はいつ頃になるのかを聞いてみました。回答は【現在米国内での普及に全力で対応しており、アジアやヨーロッパへの拡大展開は来年には対応する計画を立てています。その時には全てのプログラムに参加できるようになります】とのことです。

 ところが、昨年末にSolarWinds社の製品マルウェアとして侵入に成功したハッカー集団は、複数の米国政府の機関や大企業にアクセスできる状態を作っていたとの報道があります。そして驚いたことにマイクロソフトの発表(ニュースサイトZNnet 2021/2/16付)によると、【マルウェアのSolarWindsは、1000人以上のエンジニアが関わって作られたものである】とのこと。つまり相当大きな組織が計画的に実行したと考えられるということです。

  予期せぬサイバー攻撃に対する備えはCMMC レベル4-5の範囲となり、SP 800-172が適用されるとあります。コロナ禍において、ビジネスや日常生活の多くがネットワークに依存し、ボーダーレスなサイバー空間においては、レベル4-5を意識したセキュリティ対策が急務になってきたと感じています。特に今回のSolarWinds事例に対する対策は、レベル1対象のエッセンシャルなレベルにおいてでも備えておかなければならない事項であると考えています。

【2021.2.18 S.Hamada】