Evaコラム：CMMCへの備え

　CMMCとは、FCI*とCUI*を保護する防衛産業基盤事業者のセキュリティ対応能力を評価するための「米国防総省の認証プロセス」です。DoDがCM MCを制定し、その推進団体としてCMMC-AB*が、2020年1月にメリーランドに非営利法人として発足しました。

　2020年9月30日、米国防総省からこれまでのDFARS 252.204-7012の改訂、およびCMMCなどを記載した新たな３つのDFARS（252.204-7019、7020、7021）が発表されました。予定通りであれば2020年11月30日に発効されていることになります。

　これは従来の方式がCMMCに取って代わられるのではなく、あくまでも実装状況を検証する枠組みを含み、下請け事業者へのフローダウンを考慮した仕組みが「追加」されたと考えると分かりやすいです。

　米国防総省の案件を受託する全サプライチェーン各社は、CUIの取扱いの有無に関わらず「CMMCレベル１認証」を遅くとも2026年までに取得した上で、リスクに見合ったレベルでFCIおよびCUIを適切に管理しているか認証を受ける必要があります。全米で約30万社が対象になっていると言われており、それらが今後5年間で認証を取得できる環境を整えられるのかが注目されます。

　我が国においても、米国DoDの契約に絡む企業および全ての下請け事業者が対象になり、CMMC認証適用の契約案件に参加するには米国機関、或いは米国企業との協定を結ぶことが求められます。日米（企業）の円滑な経済活動の進展を図る意味合いを考慮すると、防衛省よりも経済産業省にその役割を期待されるのではないかと考えます。

　CMMC-ABはCMMCの審査員について、①審査機関(C3PAO*)が拠点を置く国の市民でなければならない、また②その国に拠点を置く請負業者のみを審査する権限を有すると規定しています。(現在のところ米国内の整備が優先されており、これ以上の詳細は今後明らかになると見込まれます)

　その場合、日本国内における審査機関の設立および審査員の育成が必要となりますが、現時点では「審査員は米国市民に限る」との条項があり、規約の改正を求めることなどを考えると、すぐに対応するのは難しいでしょう。

　しかしながら、米国が元請け事業者となり二次以降を日本が受注する契約は存続しており、今後の新規契約においてどのように備えればよいかを検討する必要があります。

　従来のNIST SP 800-171は、末端の下請け事業者に対してまで171全110項目の整備を求める一方、その対応は自己評価および申告で済ますことができたため、多くの事業者が自分に都合の良い内容を申告することとなり、適切にリスク管理ができないという問題を抱えていました。そのためDoDは第三者による評価方式を採用する必要に迫られ、CMMCという新しいフレームワークを追加することになったという経緯があります。

　現在防衛省は、NIST SP 800-171を参考とした新情報セキュリティ基準を整備予定ですが、その対象を全ての下請け事業者に求めてしまっては、我が国も米国の二の舞になりかねず、CMMCに注目が集まる所以です。

　CMMCは、カーネギーメロン大学ソフトウェア工学研究所（SEI）のCMMI(組織のプロジェクトマネジメント力を5段階の成熟度で計る仕組み)を参考に開発されました。ただしCMMCの目的は「組織の成熟度を上げること」ではなく、各企業が「DoDの契約内容に求められるレベルの認証を取得すること」であるため、CMMIとは「似て非なる」という認識が必要です。

　CMMC-ABは現在、有識者からなる暫定審査員を中心に組織の立ち上げ、および第三者機関の認定に注力しており、すでに認定された11のパートナー企業がCMMC研修等の開発に着手しています。今後、認定された研修機関、審査員、そして下請け事業者等についてもCMMC-ABサイトで紹介される予定です。

　新型コロナを遠因としてサイバーセキュリティリスクが益々増大する中、元請け事業者はサプライチェーン全体のリスクを考慮した情報管理が必須となるため、今後如何に効率のよい対応を行うかが求められています。その点においても、米国から求められる前にCMMCという仕組みを我々も研究・検討して､今後に備えておくべきではないでしょうか。