Evaコラム：CMMCへの備え（２）

筆者紹介：濱田真輔

CMMCへの備え《再掲部》

　このコラムをご覧になる多くの方は、すでにCMMCという単語を耳にされていると思います。CMMCとは、FCI*とCUI*を保護する防衛産業基盤事業者のセキュリティ対応能力を評価するための「米国防総省の認証プロセス」です。DoDがCMMCを制定し、その推進団体としてCMMC-AB*が、2020年1月にメリーランドに非営利法人として発足しました。

　2020年9月30日、米国防総省からこれまでのDFARS 252.204-7012の改訂、およびCMMCなどを記載した新たな３つのDFARS（252.204-7019、7020、7021）が発表されました。予定通りであれば2020年11月30日に発効されていることになります。

　これは従来の方式がCMMCに取って代わられるのではなく、あくまでも実装状況を検証する枠組みを含み、下請け事業者へのフローダウンを考慮した仕組みが「追加」されたと考えると分かりやすいです。

　米国防総省の案件を受託する全サプライチェーン各社は、CUIの取扱いの有無に関わらず「CMMCレベル１認証」を遅くとも2026年までに取得した上で、リスクに見合ったレベルでFCIおよびCUIを適切に管理しているか認証を受ける必要があります。全米で約30万社が対象になっていると言われており、それらが今後5年間で認証を取得できる環境を整えられるのかが注目されます。

　我が国においても、米国DoDの契約に絡む企業および全ての下請け事業者が対象になり、CMMC認証適用の契約案件に参加するには米国機関、或いは米国企業との協定を結ぶことが求められます。日米（企業）の円滑な経済活動の進展を図る意味合いを考慮すると、防衛省よりも経済産業省にその役割を期待されるのではないかと考えます。

　CMMC-ABはCMMCの審査員について、①審査機関(C3PAO*)が拠点を置く国の市民でなければならない、また②その国に拠点を置く請負業者のみを審査する権限を有すると規定しています。(現在のところ米国内の整備が優先されており、これ以上の詳細は今後明らかになると見込まれます)

　その場合、日本国内における審査機関の設立および審査員の育成が必要となりますが、現時点では「審査員は米国市民に限る」との条項があり、規約の改正を求めることなどを考えると、すぐに対応するのは難しいでしょう。

　しかしながら、米国が元請け事業者となり二次以降を日本が受注する契約は存続しており、今後の新規契約においてどのように備えればよいかを検討する必要があります。

　従来のNIST SP 800-171は、末端の下請け事業者に対してまで171全110項目の整備を求める一方、その対応は自己評価および申告で済ますことができたため、多くの事業者が自分に都合の良い内容を申告することとなり、適切にリスク管理ができないという問題を抱えていました。そのためDoDは第三者による評価方式を採用する必要に迫られ、CMMCという新しいフレームワークを追加することになったという経緯があります。

　現在防衛省は、NIST SP 800-171を参考とした新情報セキュリティ基準を整備予定ですが、その対象を全ての下請け事業者に求めてしまっては、我が国も米国の二の舞になりかねず、CMMCに注目が集まる所以です。

　CMMCは、カーネギーメロン大学 ソフトウェア工学研究所（SEI）のCMMI(組織のプロジェクトマネジメント力を5段階の成熟度で計る仕組み)を参考に開発されました。ただしCMMCの目的は「組織の成熟度を上げること」ではなく、各企業が「DoDの契約内容に求められるレベルの認証を取得すること」であるため、CMMIとは「似て非なる」という認識が必要です。

　CMMC-ABは現在、有識者からなる暫定審査員を中心に組織の立ち上げ、および第三者機関の認定に注力しており、すでに認定された11のパートナー企業がCMMC研修等の開発に着手しています。今後、認定された研修機関、審査員、そして下請け事業者等についてもCMMC-ABサイトで紹介される予定です。

　新型コロナを遠因としてサイバーセキュリティリスクが益々増大する中、元請け事業者はサプライチェーン全体のリスクを考慮した情報管理が必須となるため、今後如何に効率のよい対応を行うかが求められています。その点においても、米国から求められる前にCMMCという仕組みを我々も研究・検討して､今後に備えておくべきではないでしょうか。

-------------------------------------------------------------------------------------------

• *FCI（Federal Contract Information：連邦契約情報）
• *CUI（Controlled Unclassified Information：管理対象非機密情報）
• *CMMC-AB (Cybersecurity Maturity Model Certification Accreditation Body)
• *C3PAO (Certified Third-Party Assessment Organizations : 認定第三者評価機関)

CMMCへの備え（アップデート）

  米国国防総省（以下DoD）が契約する企業のサプライチェーン全体に対して、サイバーセキュリティ対策の徹底を行うことを目的にCMMCが制定されました。前回のコラムではその背景を中心にお伝えしました。

  その後、防衛産業界に対してCMMC及びその認証構想を発表したところ、その実効性について大きな疑問や不満が噴出しました。また、CMMC-ABの組織において倫理違反と疑われる動きも発覚したことで首脳陣の大幅な入れ替えも行われ、当施策の実施の方向性は間違っていないものの全面的な見直しが必要となりました。

  大きな疑問と不満とは、5年間においてサプライチェーン全体（約30万社）に対して審査を実施し、その認証を終えられるのかという点です。サプライチェーンの末端の企業の中にはCUIを扱わない企業が多数あり、認証のために発生する高額な審査及び維持費用に対する不満がCMMC-ABに寄せられました。

CMMC2.0

  新たな体制の下CMMC制度が見直され、2021年11月にCMMC2.0が発表されました。その主な変更内容は、以下の通りです。

・CMMC認定レベルの区分が、従来の５レベルから３レベルへ

　従来、レベル2、レベル4の位置づけが曖昧でした。これはCMMIの体系をそのまま取り入れた結果と推測されますが、変更ですっきりした体系になりました。

・NIST準拠（レベル1&2： SP 800-171、レベル３：SP 800-172）

　CMMC1.0では各レベルに独自の項目を付加していましたが、CMMC2.0においてはNIST SP 800-171、172に準拠となりました。

・レベル1は全て、レベル2の多くは自己評価可となり第三者認証が必要な範囲を限定

　CUIを扱う重要な契約に関わる企業のみ第三者認証が必要となり、多くの中小企業は自己評価を実施、提出することでビジネスを遂行できることになりました。

組織名の改称

　従来防衛産業の色合いが強かったCMMC-ABですが、将来産業界全般に普及することを意識し、2022年6月に組織の名称をCyber ABに変更しました。

• CAP (CMMC 審査プロセス) Draft提示と正式リリースまでの共同機関による自主評価の実施

　2022年7月Cyber ABはタウンホール（月例報告会）において、CMMCの審査をどのように実施すべきかを定義したCAP（CMMC Assessment Process）のDraft（草案）を公表してコメントを募集し、多くの意見が寄せられたとの報告がありました。その中には多くの批判的な意見が含まれていたようですが、そのコメント内容や草案への反映についてCyber ABは発表していません。

　その一方で現在、Cyber AB と認定された第三者評価機関（C3PAO）は、自主的なアセスメントプログラムを推進しています。タウンホールでは、自主的なアセスメントは事前のルール作りのプロセスでもあると説明しており、そのプロセスには国防産業基盤サイバーセキュリティ評価センター（DIBCAC）による監視が含まれているとのことです。

　自主的なアセスメントは8月22日からまず4件を対象に開始されると発表があり、マーケットプレイス（Cyber ABサイト）に掲載されている166名のプロビジョナルアセッサー（PA:暫定審査員）が実施することになっています。それはまだCyber ABは公式に認定アセッサー（CA）及び認定CMMCプロフェッショナル（CCP）を認定していないからです。

　Cyber ABはこれらの自主的なアセスメントは、CMMC2.0が正式に発行した時点で、CMMC2.0のレベル2認証を授与する予定とのことです。

　ただ今後のスケジュールについては、今年の7月時点ではCMMCは2023年3月に制定される予定でしたが、直近の報告では5月以降にずれ込むことが確実となり、正式な施行時期が不透明になっているのが現状です。施行されない原因の一つに、海外との取引というキーワードが出ており、それが本当だとするとさらに先延ばしにならないかと危惧しております

• RPとCCPの資格取得対象について

　CMMCについて有識者としての資格RP（Registered Practitioner）、審査員の予備知識を習得できるCCP（Certified CMMC Professional）に対して研修が開始されています。これらの資格取得の対象は米国、NATO諸国そして韓国の市民に限定されています。

　米国防衛産業界に多くの企業が関わっている日本人はその対象ではなく、今後日本国内においてCMMCの認証が求められる可能性を考えると、早期にその対象として欲しいものです。

　むすびとして、11/9にCyber AB主催によるイベントFirst Official CMMC Summitが開催（Live & Online）されます。従来C3PAO等の企業主催のイベントは開催されていましたが、Cyber ABによる公式な初めてのイベントとなります。

　CMMCによりNIST SP 800-171、172がサプライチェーン全体に浸透し、サイバーセキュリティが効率的かつ安全に保たれる日が来ることを願うばかりです。