CMMC(サイバーセキュリティ成熟度モデル認証)とは?
ある国防総省(DoD)請負業者は、NIST SP 800-171への自己認証だけで十分だと考え、大型防衛契約を失いました。2025年11月10日以降、それだけでは不十分です。Cybersecurity Maturity Model Certification(CMMC)2.0は、既存の連邦セキュリティ要件の実装状況を独立した評価によって検証するDoDのサイバーセキュリティ認証フレームワークです。新たなセキュリティ要件を作成するものではありません。2017年からDFARS 7012で義務付けられている管理策に対し、独立した検証を追加するものです。
このプログラムは32 CFR 170(CMMCプログラム規則)で法制化され、48 CFR 204(DFARS調達規則)で施行されます。Cyber ABがCMMCエコシステムの認定機関を務めます。国防総省向けにFederal Contract Information(FCI)またはControlled Unclassified Information(CUI)を取り扱う場合、CMMCが適用されます。
48 CFR 204.7502により、契約担当官は、必要なレベルの現行CMMCステータスを持たない提案者に契約を授与してはなりません。CMMCチェックリストの準備は、入札依頼が届く前から始める必要があります。
CMMC導入前は、請負業者がNIST SP 800-171の実装状況を自己評価し、その結果をSupplier Performance Risk System(SPRS)に提出していました。自己認証は防衛産業基盤(DIB)全体に信頼のギャップを生み、独立した検証なしに準拠を主張できる状況を許していました。
CMMCは、取り扱うデータの機密性に応じて第三者または政府による評価を要求することで、このギャップを解消します。System Security Plan(SSP)で主張するすべての管理策は、訓練を受けた評価者による文書審査、インタビュー、実技テストに耐える必要があります。セキュリティ運用ツール、監査ログ、アクセス制御、 インシデント対応手順はすべてCMMCの評価範囲に含まれます。このフレームワークは、これらの要件を3つの認証レベルに整理し、それぞれ独自の評価プロセスを持ちます。
CMMCチェックリストが必要な組織は?
DoDと関わるすべての組織が同一のCMMC要件に直面するわけではありませんが、その範囲は多くの請負業者が想定するより広範です。DoD契約の一環としてFCIまたはCUIを保存、処理、送信するすべての企業は、契約授与前に適切なCMMC認証レベルを取得しなければなりません。
DFARS 252.204-7021条項を含むDoD契約を保有する元請業者は、入札依頼で指定されたレベルの現行CMMCステータスを証明する必要があります。この要件はサプライチェーン全体に流れます。契約履行を支援するためにCUIを取り扱う下請業者も、元請業者の認証に頼るのではなく、独自に必要なCMMCレベルを満たさなければなりません。 NDIAサプライチェーン分析によれば、DFARSのフローダウン要件はサプライチェーンの階層に関係なく適用されます。
CMMCチェックリストを維持すべき組織には、CUIを取り扱う防衛製造業者やサプライヤー、CUI環境にアクセスするITサービスプロバイダーやマネージドサービスプロバイダー、DoD資金提供契約下の研究機関、CUIシステムに従業員がアクセスする人材派遣・専門サービス企業が含まれます。中小企業も例外ではありません。契約にCUIが含まれる場合、企業規模や売上に関係なくCMMCレベル2要件が適用されます。
基準は明確です。契約にDFARS 252.204-7021が現在含まれている、または今後含まれる場合、構造化されたコンプライアンスプロセスが必要です。CMMCチェックリストは、管理策の実装状況の追跡、証拠収集の文書化、C3PAOやDIBCAC評価者による指摘前のギャップ特定に役立ちます。
必要なCMMCレベルの判定方法
必要なCMMCレベルは、DoD契約下で取り扱う情報の種類によって決まります。判定は「契約にCUIが含まれるか?」という1つの質問から始まります。
データ種別と認証レベルの対応
- FCIのみ(レベル1): 契約には基本的なFederal Contract Informationが含まれますが、CUIはありません。FAR 52.204-21の17の実践事項を実装し、年次で自己評価します。
- CUI(レベル2): 契約には CUIレジストリで指定されたControlled Unclassified Informationが含まれます。NIST SP 800-171の全110実践事項を実装し、契約に応じてC3PAO評価または自己評価を受けます。
- 高価値CUI(レベル3): 契約にはDoDが特定した重要プログラム上のCUIが含まれます。NIST SP 800-171の110項目に加え、NIST SP 800-172の24項目、合計134実践事項を実装し、政府主導のDIBCAC評価を受けます。レベル3には現行レベル2ステータスが前提条件です。
契約にCMMCレベルが明記されていない場合は、入札依頼のDFARS条項を確認してください。 32 CFR 170によれば、契約担当官が取り扱う情報の機密性に基づき必要なレベルを決定します。不明な場合は契約担当官に直接確認してください。レベルを誤ると、誤った評価準備となり、時間と予算の無駄になります。レベルが判明したら、下表でそのレベルの要件を確認できます。
チェックリスト利用前に理解すべきCMMCレベル
いずれかのCMMCチェックリストを進める前に、各認証レベルの要件を明確に把握する必要があります。3つのレベルは、実践事項数、評価タイプ、保護対象情報のカテゴリで大きく異なります。
| 特徴 | レベル1:基礎 | レベル2:高度 | レベル3:エキスパート |
| 保護対象 | Federal Contract Information(FCI) | Controlled Unclassified Information(CUI) | 高価値CUI |
| 実践事項数 | 17の基本的な保護実践 | 110実践事項 | 134実践事項 |
| 評価タイプ | 年次自己評価 | 3年ごとのC3PAOまたは自己評価 | 3年ごとのDIBCAC政府評価 |
| POA&M許可 | 不可 | 可、完了必須 | 可、完了必須、重要要件は除外 |
| 結果登録先 | SPRS | SPRS | CMMC eMASS |
| 前提条件 | なし | なし | 現行レベル2ステータス |
フェーズ1の実装は2025年11月10日に開始され、主にレベル1およびレベル2要件に焦点を当てています。フェーズ2は2026年11月10日に開始され、CMMC第三者評価機関(C3PAO)によるレベル2評価が拡大されます。すべての該当契約への完全実装は2028年11月9日以降に開始されます。
すべてのレベル2 C3PAO評価は、 CMMCプロセスに従い、必須の4フェーズ構造で実施されます:
- 事前評価の計画と準備: 範囲の定義、SSPとネットワーク図の提供、評価スケジュールの合意
- セキュリティ要件への適合性評価: 評価者が文書を審査し、担当者にインタビューし、管理策を直接テスト
- 評価結果の完了と報告: C3PAOが結果を所定の報告システムにアップロード
- 証明書発行とPOA&Mのクローズ: 許容期間内に未解決項目を是正しなければ、条件付きCMMCステータスを失う
評価者は NIST 171Aに基づく3つの必須手法(文書・設定・ログの審査、担当者とのインタビュー、実技テスト)を使用します。書類上だけでは合格できません。
CMMCは現在NIST SP 800-171リビジョン2を使用しています。DoD CIOのFAQによれば、DoDはDFARS条項252.204-7012にクラス逸脱を発行し、リビジョン3が将来の規則制定で組み込まれるまでリビジョン2を評価基準としています。この前提を踏まえ、以下のチェックリストが準備のための構造化された道筋となります。
事前評価準備チェックリスト
事前評価準備は、正確な範囲設定、文書化、C3PAOとの契約前に完了していなければならない基礎作業をカバーします。ここで特定されたギャップはCMMCチェックリストのすべての項目に影響します。
資産スコーピング:
- 5つのCMMC資産カテゴリ(CUI資産、セキュリティ保護資産、CRMA、特殊資産、範囲外)すべてのハードウェア・ソフトウェア資産インベントリを完了
- CUIが環境にどこから入り、どのように流れ、どこから出るかを示すデータフローをマッピング
- すべてのクラウドサービスプロバイダー接続と、それらがCUIまたはFCIを処理するかどうかを文書化
- すべての外部接続、リモートワーカー、ベンダーアクセスポイントを特定
- 範囲外資産の技術的・物理的分離を検証
- 各CRMA指定について、SSPにCRMA リスク管理の根拠を文書化
- すべてのセキュリティ保護資産とそのセキュリティ機能を特定
評価準備:
- DoD評価ガイドを用いたレベル2全実践事項に対するギャップ分析を完了
- 内部模擬評価またはRegistered Practitioner Organization(RPO)による準備レビューを実施
- 評価者インタビューに備え、担当者が自らのセキュリティ責任を説明できるよう準備
- 自己評価スコアをSPRSに提出
- Cyber ABマーケットプレイスからC3PAOを選定し、契約締結
C3PAOとの契約前に資産スコーピングを完了することは必須です。評価中に未申告のCUI資産が発見されると、評価範囲が拡大し、スケジュールが延長され、合格していた管理策が指摘事項に変わる可能性があります。早期に正確に対応することが、CMMC準備における評価結果への最大の影響要因です。
CMMCレベル1チェックリスト(基礎管理策)
レベル1は、 FAR 52.204-21から抽出された17の実践事項で構成され、6つのセキュリティドメインに分類されます。これはFCIを取り扱うシステムのための基本的な保護要件です。レベル1ではPOA&Mは認められません。17の実践事項すべてが自己評価前に完全実装されている必要があります。
アクセス制御:
- システムへのアクセスを認可されたユーザー、プロセス、デバイスに限定
- 認可ユーザーが実行できる取引や機能の種類を制限
- 外部情報システムへの接続を検証・制御
- 公開システム上で投稿・処理される情報を制御
識別と認証:
- すべてのユーザー、ユーザー代理のプロセス、デバイスを識別
- システムアクセス前にユーザー、プロセス、デバイスの身元を認証
メディア保護:
- 情報システムメディアを廃棄または再利用する前に消去または破壊
物理的保護:
- システムへの物理的アクセスを認可された個人に限定
- 訪問者のエスコート、活動監視、物理アクセスログの維持
- 物理施設および支援インフラの保護と監視
システムおよび通信の保護:
- 外部および主要な内部境界で通信を監視・制御・保護
- 公開用コンポーネントのためのサブネットワークを内部ネットワークから分離して実装
システムおよび情報の完全性:
- 情報システムの欠陥を迅速に特定・修正
- 適切なシステム箇所で悪意あるコードから保護
- 新リリース時に悪意あるコード保護機構を更新
- 外部ソースからのファイルの定期的・リアルタイムスキャンを実施
レベル1のコンプライアンスは、基本的なIT衛生が整っている多くの中小請負業者にとって達成可能です。17の実践事項すべてが実装されていれば、このレベルのCMMCチェックリストは文書化と自己認証が容易です。より大きな準備負担は、110の実践事項を文書化された運用証拠で評価する必要があるレベル2から始まります。
CMMCレベル2チェックリスト(高度管理策)
レベル2は、NIST SP 800-171リビジョン2の全110実践事項を14のセキュリティドメインにマッピングします。このCMMCチェックリストはドメインファミリーごとに整理されています。110の個別実践項目すべてはここには記載していません。完全な実践リストと評価目標は DoD評価ガイドを参照してください。
- アクセス制御(AC): 最小権限アクセスの実装、特権アカウントの管理、非アクティブ時のセッションロック強制、リモートアクセスと外部システム利用の制御、識別可能な所有者のいないポータブルストレージの使用禁止。
- 監査とアカウンタビリティ(AU): システム監査ログの作成・保護、不正活動のためのログのレビュー・分析、事後調査を支援するための監査記録の保持、SSPで定義されたイベントの監査機能の提供。
- 構成管理(CM): ベースライン構成の確立・維持、セキュリティ構成設定の強制、システム変更の追跡・管理、変更前のセキュリティ影響分析。
- 識別と認証(IA): すべてのネットワークアクセスと特権アカウントに 多要素認証を強制、認証要素の強度とライフサイクル管理、リプレイ耐性認証の採用。
- インシデント対応(IR): 準備、検知、封じ込め、復旧、ユーザー報告を含む運用インシデント対応能力の確立。インシデント対応能力のテストとインシデントの追跡。
- 保守(MA): システムの保守実施、保守ツールの管理、オフサイト保守用機器の消去、リモート保守セッションにMFAを要求。
- メディア保護(MP): CUIを含むシステムメディアの保護、メディア上のCUIへのアクセスを認可ユーザーに限定、廃棄・再利用前のメディア消去、輸送中のCUIメディアへのアクセス制御。
- 人事セキュリティ(PS): CUIを含むシステムへのアクセス認可前の個人の審査、退職・異動などの人事措置時・後のCUI保護。
- リスク評価(RA): 業務・資産へのリスクを定期的に評価、システム・アプリケーションの 脆弱性スキャン、リスク評価に基づく脆弱性の是正。
- セキュリティ評価(SA): セキュリティ管理策の定期評価、是正計画の策定・実施、システムセキュリティ管理策の継続的監視、運用環境を反映した現行SSPの作成。
- システムおよび通信の保護(SC): 境界での通信の監視・制御・保護、セキュリティを促進するアーキテクチャ設計・ソフトウェア開発技法の実装、CUIの転送時・保存時の 暗号化。
- システムおよび情報の完全性(SI): 欠陥の特定・対処、悪意あるコードからの保護、セキュリティアラートの監視、新リリース時の悪意あるコード保護の更新。
CMMCレベル2チェックリストの実施には数週間ではなく数か月にわたる継続的な取り組みが必要です。NIST SP 800-171を未導入の組織は、C3PAO契約前にギャップ是正を早期に開始すべきです。
CMMCレベル3チェックリスト(エキスパート管理策)
レベル3は、レベル2の全実践事項に加え、NIST SP 800-172の24実践事項を追加し、合計134実践事項となります。これらの強化要件は、重要なDoDプログラム上の高価値CUIを保護する組織を対象としています。評価はC3PAOではなくDefense Industrial Base Cybersecurity Assessment Center(DIBCAC)が実施し、現行レベル2ステータスが前提条件です。
追加24実践事項は、5つの強化管理領域に焦点を当てています:
- 強化アクセス制御: 組織のリスク戦略と連携し、リアルタイムアクセス判断を支援する動的アクセス制御アプローチの採用
- 高度な構成管理: 変更追跡と整合性検証が可能な構成管理システムの確立・維持
- 強化インシデント対応: セキュリティオペレーションセンター(SOC)機能の確立、インシデント対応を支援する自動化機構の活用
- サプライチェーンリスク管理: サプライヤー、開発者、外部提供者に関連するリスクの評価と契約要件によるリスク対処
- 高度なシステム・通信保護: 管理インターフェースや境界保護装置・機構を活用したアーキテクチャ機能・システム構成の採用
レベル3組織は、持続的な監視、脅威ハンティング能力、連邦サイバーセキュリティ機関との連携も実証しなければなりません。DIBCACによる政府主導評価のため、スケジューリングには十分なリードタイムが必要であり、レベル3 CMMCチェックリスト準備前にDoDプログラムオフィスとの早期調整が不可欠です。
文書化・証拠チェックリスト
文書化や証拠のギャップは、CMMC評価が停滞・失敗する最も一般的な理由です。SSPはCMMCチェックリストの中心的成果物ですが、評価者は範囲内すべてのドメインにわたる完全な証拠パッケージを要求します。
SSPと文書化:
- 5カテゴリすべての範囲内資産の完全な記述
- CUIデータフローとシステム境界を示す現行ネットワーク図
- すべてのセキュリティ管理策とその実装状況の文書化
- セキュリティ管理策実装の役割と責任
- インシデント対応手順と連絡先
- すべての非POA&M実践事項(AC.L2-3.1.20, AC.L2-3.1.22, CA.L2-3.12.4, PE.L2-3.10.3, PE.L2-3.10.4, PE.L2-3.10.5)の完全実装
証拠収集:
- 継続的監視を示すシステムログ(AUドメイン)
- アクセス制御設定と現行認可ユーザーリスト
- 範囲内すべてのシステムにおける多要素認証記録
- 日付・内容付きのセキュリティ意識向上トレーニング修了記録
- インシデント対応計画と演習記録
- 構成ベースラインと変更管理記録
- 脆弱性評価結果と是正追跡
- 暗号技術の文書化と証明書
- CUIエリアの物理アクセスログ
- メディア消去記録
- 第三者・クラウドサービスプロバイダーによるCUI取扱い文書
認証後の維持:
- 経営幹部による年次自己評価と証明
- 年次アファーメーションのSPRS提出
- 継続的監視と監査ログの維持
- 環境変更時のSSP更新
- 有効期限前の再認証計画開始
Cyber AB CAPによれば、十分に文書化されたSSPがなければ評価は進行できず、デフォルトで不合格となります。CMMCチェックリストの証拠リポジトリは、準備期間を通じて継続的に構築してください。評価直前の数週間でまとめて用意するのは避けましょう。
CMMCチェックリスト実装における一般的なミス
多くの請負業者は既存のセキュリティプログラムに自信を持ってCMMCに臨みますが、評価準備段階で停滞します。よくある失敗点とその回避策を示します。
評価を頓挫させるスコーピングエラー
CUI環境の過剰スコーピングは、セキュリティ向上なしにコストと複雑性を増大させます。システムがCUIを処理・保存・送信しない場合、適切なContractor Risk Managed Asset(CRMA)指定と技術的分離により評価範囲を正当に縮小できます。ただし、 CMMCプロセスによれば、CRMA指定は「評価者の裁量に委ねられる」とされています。すべてのCRMAはSSPで文書化された根拠が必要です。
同様に危険なのは、バックアップシステムやCUIを処理するクラウドサービス、リモートワーカー端末などを除外する過小スコーピングです。CUIがシステムを通過する可能性があれば、非公式な宣言に関係なくそのシステムは範囲内です。
意図を記述し現実を反映しない文書化
Cyber AB CAPによれば、十分に文書化されたSystem Security Planがなければ評価は進行できず、デフォルトで不合格となります。SSPはCMMCで最も重要な文書であり、理想的な姿勢ではなく実際の運用状態を反映していなければなりません。
よくある証拠のギャップには、最近追加された担当者が反映されていないアクセス制御リスト、経営層の承認がないポリシー、適切な所有者・運用者・監督者でない従業員による証明書への署名などがあります。
POA&Mの誤管理
一部の実践事項は、Plan of Action and Milestones(POA&M)に記載できません。これにはCA.L2-3.12.4(System Security Plan)、いくつかの物理的保護実践事項、特定のアクセス制御実践事項が含まれます。これらの管理策にギャップがあるままC3PAO評価に臨むと、完全な再評価となる可能性があります。
条件付きCMMCステータスで未解決のPOA&M項目がある場合、クローズアウト期間は絶対です。 DoD CMMCガイダンスによれば、所定期間内にPOA&Mをクローズできなければ、ステータスは延長オプションなしで失効します。
これらすべての失敗点に共通するのはタイミングです。ギャップからCMMC認証までの期間は長くなることが多く、期限遅れや再評価によるコストも大きくなります。現実的な予算とスケジュールを理解することが次のステップです。
CMMC評価コストとスケジュールの目安
CMMC準備を始める請負業者にとって、予算とスケジュールは最も一般的な懸念事項です。どちらも組織規模、既存のセキュリティ成熟度、必要な認証レベルによって大きく異なります。
一般的なスケジュール範囲
DoD CIOガイダンスによれば、準備期間に固定値はありませんが、業界経験から有用なベンチマークが得られます:
- レベル1自己評価: 基本的な管理策が既に整っている組織で1~3か月。
- 既存NIST SP 800-171プログラムのレベル2: ギャップ是正、証拠収集、C3PAOスケジューリングを含め6~12か月。
- ゼロから始めるレベル2: 管理策実装、文書化、証拠の成熟、評価者の空き状況を考慮し12~18か月以上。
- レベル3政府評価: DIBCACのスケジューリングに依存し、まず現行レベル2ステータスが必要。
C3PAOの空き状況もこれらのスケジュールに影響します。 GAO-26-107955によれば、評価者のキャパシティは限られているため、早期の契約が重要です。
コスト要素
評価コストは環境規模や範囲の複雑性によって異なります。主なコストカテゴリには、ギャップ分析・是正支援のコンサルタントやRPO費用、組織規模・範囲に応じたC3PAO評価費用、未実装管理策の技術投資、文書化・証拠準備のための内部スタッフ工数が含まれます。
CUI範囲が狭い小規模下請業者は、複雑なマルチサイト環境を管理する大手元請よりコストが低くなります。これらのコストを早期にプログラム計画に組み込み、入札対応時の予期せぬ出費を避けてください。予算とスケジュールを考慮したうえで、以下の運用プラクティスが両者を最大限に活用する助けとなります。
CMMCチェックリスト活用のベストプラクティス
CMMC評価に合格するには、CMMCチェックリストの項目をチェックするだけでは不十分です。以下のプラクティスは、評価者が期待する持続的なCMMCコンプライアンス体制の構築に役立ちます。
管理策実装より先にCUIの所在特定から始める
セキュリティ管理策を導入する前に、CUIが存在するすべての場所を特定してください。一般的な場所には:
- メールアーカイブやコラボレーションプラットフォーム
- 人事ファイルやプロジェクト文書
- サプライヤー文書や会議メモ
- 共有ドライブやクラウドストレージ
CUIがどこから環境に入り、どこを通り、どこに保存され、どこから出るかを正確にマッピングします。このCUIマップがSSPを導き、評価範囲を直接決定します。外部クラウドサービスプロバイダーがCUIを処理する場合、DFARS 252.204-7012(b)(2)(ii)(D)要件を満たす必要があります。
評価前にネットワークをセグメント化
適切なセグメンテーションは評価範囲を縮小する主な手段です。内部ネットワークとインターネットの間にファイアウォールを配置します。ルーティングスイッチでCUI環境と一般業務ネットワークを分離し、インターネットを通過するすべてのCUIを 暗号化します。Singularity Platformのポリシー強制やデバイス制御機能は、CUI取扱システムへの周辺機器アクセス制御によるこのセグメンテーションを支援できます。
証拠は数か月かけて構築
CMMC管理策ファミリーに沿った構造化証拠リポジトリを確立し、継続的に充実させてください。 レベル2評価ガイドは、管理策が時間をかけて一貫して運用されていることを示す証拠を要求します。したがって、トレーニング記録、監査ログサンプル、脆弱性スキャン結果、インシデント対応演習文書は持続的運用を示す必要があります。評価者は技術的存在だけでなく運用成熟度を評価します。
担当者のインタビュー準備
評価者に自らのセキュリティ責任を説明できない担当者は、過小評価されがちな失敗要因です。内部インタビュリハーサルを実施し、範囲内の全員が自分の業務内容・理由・文書化場所を説明できるようにしてください。
評価者は以下の主要な役割の担当者にインタビューします:
- セキュリティ意識向上トレーニング受講者
- 情報セキュリティトレーニング管理者
- インシデント対応チームメンバー
- 監査監視・ログレビュー担当者
これらのグループ全体で準備することで自信がつき、評価時の不意の事態を減らせます。
下請業者へのフローダウン要件の徹底
NDIAサプライチェーン分析によれば、DFARS 252.204-7012のフローダウン要件は、契約履行の一環としてCUIを保存・処理・生成する下請業者に対し「サプライチェーン階層に関係なく」適用されます。CUIを取り扱うすべての下請業者を特定し、下請契約にCMMC条項のフローダウンを含めてください。各下請業者が必要なレベルのCMMCステータスを有していることを確認します。CUIを取り扱わない下請業者にはCMMC要件をフローダウンしないでください。
これらのプラクティスを一貫して適用することで、評価者が求める運用成熟度を構築できます。適切なセキュリティツールの活用により、その体制維持にかかる手作業もさらに削減できます。
重要なポイント
CMMC 2.0はすでに施行されており、フェーズ1は2025年11月10日から有効です。CMMCチェックリストは、資産スコーピング、SSP文書化、証拠収集、レベル2実践事項全体にわたる継続的維持をカバーしなければなりません。最も一般的な失敗は、運用実態ではなく意図を記述した文書化、不完全なCUI所在特定、受動的な証拠収集です。
CMMC認証が必要になる前から十分な準備を開始し、C3PAOのキャパシティ制限を考慮し、CMMC認証証拠を設計段階から生成する監視インフラを構築してください。
よくある質問
CMMCチェックリストは、DoD請負業者がサイバーセキュリティ成熟度モデル認証フレームワークの下で要求される各サイバーセキュリティ実践の実装および証拠収集を追跡するための構造化されたツールです。各CMMCレベルで要求される17、110、または134の実践を実行可能な項目に整理し、資産のスコーピング、文書化、コントロールの実装、評価準備を網羅します。
CMMCチェックリストを使用することで、重要なコントロールの見落としや、十分な証拠がないままC3PAO評価に臨むリスクを低減できます。
完全なCMMCチェックリストには、資産インベントリおよびCUIのスコーピング、システムセキュリティ計画(SSP)の文書化要件、すべての該当するNIST SP 800-171プラクティスファミリーにわたるコントロール実装状況、ドメインごとの証拠収集要件(アクセス制御、監査ログ、インシデント対応、構成管理など)、未解決項目のPOA&Mトラッキング、評価者インタビューに向けた担当者の準備状況が含まれます。
レベル2では、チェックリストは14のセキュリティドメインにわたる110のプラクティスに対応しています。レベル3では、NIST SP 800-172の要件を組み込み、134のプラクティスに拡張されます。
契約業者が特定のチェックリスト形式を使用することを要求する規制はありません。ただし、DoDの評価プロセスでは、対象となるすべてのプラクティスについて評価者が検証、テスト、または観察を行う必要があります。体系的な追跡手法がない場合、契約業者は証拠の抜けやコントロール実装の記録不足を見逃すことがよくあります。
Cyber AB CAPによれば、適切に文書化されたSSPがなければ評価を進めることはできません。そのため、チェックリスト形式自体が規定されていなくても、構造化された準備が事実上必須となります。
CMMCレベル2評価のための主要なドキュメントパッケージには、対象範囲内のすべての資産を網羅したシステムセキュリティ計画、CUIデータフローおよびシステム境界を示すネットワーク図、アクセス制御リストおよび認可記録、セキュリティ意識向上トレーニングの完了日付き記録、インシデント対応計画および演習ドキュメント、構成ベースラインおよび変更管理記録、脆弱性スキャン結果および是正措置の追跡、ならびにマイルストーン日付きの未解決POA&M項目が含まれます。
評価者は構造化された担当者インタビューや実際の技術テストも実施するため、ドキュメントは意図された状態ではなく運用上の現実を反映している必要があります。
準備期間は、既存の管理策、文書化の成熟度、および既に提出できる過去の証拠の量によって異なります。セキュリティプログラムが成熟し、確立されたSSPを持つ組織は通常より迅速に進みますが、ゼロから構築する場合はより長い期間が必要です。
すべての組織は、証拠収集期間、内部準備レビュー、C3PAOのスケジューリングリードタイムを考慮する必要があり、これらが全体のスケジュールに数か月追加される場合があります。
条件付きCMMCステータスが失効する可能性があり、単に中断したところから再開するのではなく、完全に新しい評価を受ける必要が生じる場合があります。これによりスケジュールがリセットされ、コストが増加します。
また、現在のCMMCステータスが必要な契約機会から除外される可能性もあります。是正措置は計画的に実施し、POA&M項目を期限前に確実に完了できるようリソースを割り当ててください。
クラウドサービスプロバイダーがCUIを処理、保存、または送信する場合、DFARS 252.204-7012(b)(2)(ii)(D)に記載されたセキュリティ要件を満たす必要があります。これは通常、FedRAMP Moderateまたは同等の認証を意味します。
クラウドプロバイダーのコンプライアンス状況を文書化・検証しない場合、評価時にスコーピングの問題が発生し、プロバイダーだけでなく組織自体に指摘がなされる可能性があります。
DFARS 252.204-7012は、防衛請負業者が実装しなければならない基本的なサイバーセキュリティ要件を定めており、主にNIST SP 800-171に基づいています。CMMCは、それらの実装に対して独立した評価を要求することで検証レイヤーを追加します。
両者は連携して機能します。DFARSは「何をすべきか」を定義し、CMMCは「実際に実施したか」を確認します。CMMC導入前は、請負業者が独立した検証なしに自己申告でコンプライアンスを報告していました。
契約の履行過程でCUIを保存、処理、または生成する下請業者は、契約のフローダウンで指定されたレベルに応じたCMMCステータスが必要です。
元請業者は、下請契約にCMMC条項を含め、下請業者のステータスを確認する責任があります。FCIのみを取り扱う、またはCUIを扱わない下請業者には、契約要件を超える不要なCMMCフローダウン要件を課すべきではありません。
