このところCMMC対応コストの問題が、米国メディアの記事で良く目につきます。果たしてCMMC対応のコストは契約実績として官に請求できるものでしょうか、気になるところです。
 ほとんどの記事によると、「CMMCレベル3までのコストは請負業者が契約条件として持つものであり、請求の対象ではない」ということのようです。これに対して、特に中小企業からの反発は大きく、それでは防衛事業から締め出すと言っているのと同じだ、といった反応が多くあります。これは、わが国においても同様ですね。


「CMMCのセキュリティ対策コスト、原価積算の落とし穴」(一部抜粋)

The Pitfalls of Factoring in Security and CMMC Costs
NDIA JUNE 2021 • NATIONAL DEFENSE(エヴァ翻訳)

 国防総省の調達における主な指標に、コスト、スケジュール、パフォーマンスと共に、セキュリティを高める必要性があげられています。私達は、調達コストに関する政府見解を確認してみる必要があります。

 請負業者のネットワークとシステムのセキュリティを強化し、開発や運用にセキュリティを組み込むことは、防衛契約する請負業者のコストを増加させることは間違いありません。

 米国国防総省調達規則補遺(DFARS252.204-7012と252.204-7021、この二つの規定により請負業者のコスト増加をすでにもたらしています。管理対象防衛情報CDI(Covered Defense Information)に対して、前者は国立標準技術研究所(NIST)の特別出版物SP 800-171に記載されているセキュリティ要件の適用により保護することを求めており、後者は国防総省のサイバーセキュリティ成熟度モデル認証(CMMC)要件を定めています。

 サイバーセキュリティの脅威が増大し、事業者は既知の脆弱性を継続的に評価および修復し、進化する基準への準拠を実証せざるを得なくなるため、要件に対処するためのコストが増加すると予想されています。

 ケイティ・アーリントン氏 (調達および維持担当国防次官室の最高情報セキュリティ責任者、かつCMMCプログラムを主管する人物)は、公に「セキュリティは許容出来るコストです」と言いました。しかし、このような保証では、国防総省のコスト計算方法を知っている請負業者を支援することはほとんどありません。

 現時点では、要件に関連する具体的なガイダンスはアメリカ国防契約管理局(DCAA)からは発行されていませんが、サイバー関連のコスト増加を精査してくれることは期待できます。これまでの経験から、請負業者がコスト請求可能な契約の下でコスト積算し、割当てるための適切な方法を仮定するリスクをある程度認識しています。現在の状況では、請負業者は、コストアカウントの規制基準や連邦調達規制コスト原則、ならびに政府からのさらなる指導がない状態では、それらを導く可能性のある法的判例を含む既存の規制を認識し、考慮する必要があります。

>「NIS-Be会員サイト」についてはこちら