CMMCコンプライアンスとは？定義、レベル、要件

CMMCとは何か？

サイバーセキュリティ成熟度モデル認証（CMMC）は、契約業者が機密情報を実際に保護していることを検証するための米国国防総省（DoD）のフレームワークです。プログラムレベルでは、CMMCプログラム最終規則がCMMCの目的を定めています。すなわち、DoD契約の遂行中に処理、保存、または送信される管理対象非分類情報（CUI）および連邦契約情報（FCI）を保護することです。DFARS 204.7500によれば、CMMCは「契約業者の情報セキュリティ保護を評価するためのフレームワーク」であり、DoD契約に認証レベル要件を含めるための方針と手順を規定しています。CMMC 2.0では、従来の5段階モデルが3段階に簡素化され、最終規則でその更新された構造が文書化されています。

CMMC導入前は、契約業者がNIST SP 800-171への準拠を自己申告し、外部による検証は限定的でした。もし、実際より高いSupplier Performance Risk System（SPRS）スコアを提出し、監査で大幅に低い実スコアが判明した場合、単なるコンプライアンス違反だけでなく、虚偽請求法（False Claims Act）違反の問題が発生する可能性がありました。これがCMMCが存在する運用上の理由です。DoDはCUIが関与する場合、もはや自己申告に依存しません。

サプライチェーンインシデントにより、その重要性が明確になりました。2022年には、攻撃者がViasatのKA-SAT衛星ネットワークに対して破壊的なワイパー攻撃を行い、ヨーロッパおよびウクライナ全域で数万人の顧客の通信が妨害されました（ SentinelLabsレポート参照）。2020年には、SolarWindsのサプライチェーン侵害が最大18,000社に影響を及ぼしました（ CISAアラート参照）。自社の環境がDoDプログラムに関与する場合、CMMCはCUIを保護できることを証明することを求めており、単なる主張では不十分です。

FCIとCUI：認証レベルが保護するもの

CMMC準拠は、コントロールの文書化を、それが実際に自社環境で機能しているという検証可能な証拠と結びつけます。CMMCは合否認証モデルを強制します。検証可能な証拠によって運用コントロールを実証できなければ、認証は受けられません。要件を決定する情報は2つのカテゴリに分かれます：

• 連邦契約情報（FCI）： 政府が契約業務のために提供または生成する情報で、一般公開を意図していません。FAR 52.204-21に基づく基本的な保護が求められます。
• 管理対象非分類情報（CUI）： 法律または政府全体の方針により保護が義務付けられている情報です。NIST SP 800-171に準拠して保護します。

この区別が、システムのスコープ設定、目標レベルの選択、証拠計画の構築方法を左右します。国立公文書館のISOOは ISOOガイダンスで階層を明確にしています：「政府契約業者が保有するすべてのCUIはFCIですが、すべてのFCIがCUIとは限りません。」データを正しく分類できれば、正しくスコープ設定でき、スコープ設定がCMMCの多くの結果の出発点となります。

次に、CMMCが自社の契約やサプライチェーンの役割に適用されるかどうかを確認してください。

CMMC準拠が適用される対象

CMMCは、防衛産業基盤の契約業者または下請業者であり、DoD契約の遂行中にFCIまたはCUIを取り扱う場合に適用されます。必要なレベルは、取り扱う情報の機密性と情報の流れ先によって決まります。

• レベル1（基礎）： FCIのみを取り扱い、CUIは関与しません。これは、CUIがシステムに入らない基本的なサポート機能に該当することが多いです。
• レベル2（高度）： 技術データ、設計仕様、調達機密情報、設計文書などのCUIを取り扱います。CUIがサプライチェーンを通じて流れる場合、CUIが付与された成果物を伴う研究開発プログラムを運用する場合、またはCUIを含むシステムを維持するITサービスを提供する場合にこのレベルが適用されます。
• レベル3（エキスパート）： DoDの最重要プログラム内でCUIを管理し、侵害が重大な敵対的優位性を生む場合や、ミッションへの影響や集約によりリスクプロファイルが高まる場合に該当します。

CMMCレベルは累積的です。より高いレベルを目指す場合、下位レベルの要件も満たす必要があり、 CMMCプログラム最終規則でその構造が定義されています。

自社のレベルが分かれば、それを条項、評価、適格性に影響する結果にマッピングできます。

CMMC準拠の仕組み：規制と結果

CMMCは契約条項を通じて拘束力を持ち、任意の採用ではありません。2つの連邦規則が法的強制力を持たせており、これらを満たさない場合、単なる監査不合格を超える結果が生じます。規制構造、評価経路、非準拠時の実際のコストを理解することが、適切な準備作業のスコープ設定の基礎となります。

規制フレームワーク

2つのDFARS条項がCMMCを契約に組み込みます。

•  DFARS 252.204-7021条項は、「契約期間中、以下のCMMCレベルまたはそれ以上の現行CMMCステータスを有し維持すること」を要求します。
•  DFARS 252.204-7025条項は、契約締結前にSPRSへ評価結果を投稿し、FCIまたはCUIを処理するシステムを特定することを要求します。

これらの条項が、CMMCをガイダンスから契約のゲーティング基準へと変えています。

評価経路

評価経路はレベルや入札ごとに異なります。また、継続的な準拠の年次誓約も必要です。DoDプログラムオフィスが、レベル2契約に自己評価またはC3PAO認証のどちらが必要かを決定します。

実務上、2つの運用上の詳細が結果を左右することが多いです：

• レベル2は、 NIST SP 800-171で定義された110要件を満たす必要があります。
• 条件付き経路では、レベル2でプログラムの最小実装基準を満たしていれば、限定的にPOA&M（計画とマイルストーン）が認められ、 DFARS 204.7501定義でCMMCステータス用語が文書化されています。

POA&Mが認められる場合でも、厳格な期限があります。条件付きステータスは、同じDFARS 204.7501定義により期間限定です。

非準拠の結果

必要なCMMCステータスを保持しない場合、契約適格性、法的リスク、業務継続性の3つの側面で結果が生じます。

• 契約不適格は構造的であり、裁量ではありません。 必要なCMMCステータスを保持していなければ、契約の要件となっている場合、受注や業務継続はできません。
• 虚偽請求法リスクは、適格性、受注、支払いのために準拠を主張しながら証拠で裏付けられない場合、最も重大な法的リスクとなります。
• 契約解除やその他の救済措置は、条件付きステータスが失効し、必要なステータスを維持できない場合に発生する可能性があります。

規制上の結果は意図的に厳格です。DoDは、誤った自己申告が高コストとなるようCMMCを設計し、契約業者が証拠収集を継続的な運用要件として扱うようにしています。

仕組みを理解したら、必要なレベルを評価者が検証する成熟度要件に落とし込むことができます。

CMMC 2.0成熟度レベルの理解

必要なレベルは、取り扱う情報の種類と支援するプログラムによって決まります。各レベルは下位レベルを基礎としており、上位認証は下位要件も満たしていることを意味します。各レベルで実際に求められる内容は以下の通りです。

レベル1：基礎

FCIのみを取り扱う場合、レベル1はFAR 52.204-21の基本的な保護に準拠します。このレベルの17の実践事項は、認証されたユーザーへのシステムアクセス制限、アクセス前の個人の審査、CUI関連スペースの物理的セキュリティ維持、システムの監査・復旧可能性の確保など、基本的な衛生管理をカバーします。年次自己評価を実施し、このレベルではPOA&Mは使用できません。自己評価は企業の上級責任者が署名し、表明に対する直接的な責任が生じます。

レベル2：高度

CUIを取り扱う場合、レベル2はNIST SP 800-171 Rev. 2に直接対応し、14の実践ドメイン全体で110のコントロールが実装・運用されている証拠が必要です。入札内容によっては、自己評価またはC3PAOによる第三者評価で満たすことができます。どちらの経路かはDoDプログラムオフィスが決定します。レベル2では、各コントロールの実装方法を文書化したシステムセキュリティ計画（SSP）の維持も求められます。

レベル3：エキスパート

最重要プログラムを支援する場合、レベル3は高度持続的脅威への防御を目的とし、レベル2にNIST SP 800-172の一部から強化要件を追加します。国防契約管理局（DCMA）の政府評価者がレベル3評価を直接実施します。このレベルは、敵対者によるアクセスが国家安全保障上重大なリスクとなるプログラムでCUIを取り扱う契約業者に限定されます。

自社のレベルが分かったら、それが契約にいつ適用されるかを把握する必要があります。

CMMC導入タイムライン

 CMMCプログラム最終規則は2024年12月16日に発効し、3年間で4段階のロールアウトによりDoD契約へ要件を段階的に導入します。すべての契約が一度に切り替わるわけではなく、DoDは入札種別やレベルごとにCMMC条項を段階的に導入します。

• フェーズ1（2024年12月16日発効）： DoDは入札にレベル1またはレベル2の自己評価要件を含める場合があります。既にCMMC条項が含まれている契約では、自己評価を完了し、結果をSPRSに投稿し、受注前または契約条件として年次誓約を提出する必要があります。このフェーズは現在進行中です。
• フェーズ2（2025年12月頃開始予定）： DoDは入札にレベル2のC3PAO第三者評価を要求する場合があります。従来自己評価が認められていた契約が独立認証へ移行する可能性があります。C3PAOのスケジューリングリードタイムが短縮されるため、フェーズ2入札が市場に出る際は契約の評価経路を確認してください。
• フェーズ3（2026年12月頃開始予定）： DoDはレベル3要件を含める場合があります。最重要プログラムを支援する場合は、今からレベル3対応を進めてください。DCMAによる政府評価者のスケジューリングは長期リードタイムで運用されます。
• フェーズ4（2027年12月頃開始予定）： 完全実施。DoDはすべての該当契約にCMMC要件を適用する場合があります。CUIを含む入札で例外はありません。

実務上の意味：契約にCMMC条項が含まれていれば、既にタイムラインが進行中です。含まれていない場合は、次のオプション年度や入札前に契約担当官や元請に確認してください。フェーズのロールインは、契約期間中の契約にも影響する場合があります。

タイムラインが明確になれば、必要なレベルを評価者が検証する具体的なコントロールにマッピングできます。

CMMC準拠要件：14の実践ドメイン

レベル2では、 NIST SP 800-171の110要件すべてが14の実践ドメインにマッピングされます。評価者は各ドメインでコントロールの確認、インタビュー、テストを行います。各ドメインの要件を理解することで、準備作業前に証拠のスコープ設定が可能です。

アイデンティティ、アクセス、要員

• アクセス制御： システムアクセスを認証済みユーザーやプロセスに限定します。必要な証拠には、ユーザーアカウント、役割割り当て、セッション制御、リモートアクセスの アクセス制御実践の文書化が含まれます。
• 識別と認証： アクセス許可前に本人確認を行います。多要素認証、パスワードポリシー、特権アカウント管理が一般的な評価ポイントです。
• 要員セキュリティ： CUIシステムアクセス前の個人審査、雇用中および退職後のセキュリティリスク対応。退職チェックリストや身元調査プロセスが該当します。

ログ、監視、インテグリティ

• 監査と説明責任： ユーザー活動やシステムイベントを記録し、ログを保護・保持します。 SIEMログ保持設定や保持ポリシーが中心的な証拠です。
• システムおよび情報の完全性： システムの脆弱性対応、悪意あるコードからの保護、セキュリティアラートの監視。エンドポイント保護設定やパッチ管理記録が一般的な証拠要求です。

構成と保守

• 構成管理： CUIを扱うシステムの安全な構成を確立・維持します。ベースライン、変更管理記録、ソフトウェアインベントリがこのドメインを満たします。
• 保守： CUIを処理するシステムの保守活動を管理し、特にリモートセッションを制御します。すべての保守活動を記録し、実施者を制限します。

データおよび物理的保護

• メディア保護： CUIの物理・デジタルメディアでの保存、輸送、廃棄方法を管理します。消去、廃棄、リムーバブルメディア利用の方針が必要です。
• 物理的保護： CUIを処理するシステムや環境への物理アクセスを制限します。訪問者ログ、バッジアクセス記録、物理セキュリティ方針がこのドメインを満たします。

リスク、評価、トレーニング

• リスク評価： CUIシステム利用による運用リスクを定期的に評価します。文書化されたリスク評価プロセスと結果、是正追跡が求められます。
• セキュリティ評価： コントロールを定期的に評価し、POA&Mを維持し、継続的にセキュリティを監視します。SSPとPOA&Mプロセスがこのドメインを直接支援します。
• 意識向上とトレーニング： セキュリティ責任や役割別リスクについて要員を教育します。トレーニング記録、完了追跡、役割別コンテンツの証拠が求められます。

通信とインシデント対応

• システムおよび通信の保護： システム間で送信されるデータを監視・制御・保護します。ネットワークセグメンテーション、転送時の暗号化、境界保護コントロールが主要な証拠です。
• インシデント対応： インシデントの検知、封じ込め、復旧能力を構築・テスト・文書化します。評価者は計画書、テスト証拠、事後記録を求めます。 インシデント対応計画の文書やテスト証拠がこのドメインの主要な評価対象です。

ドメイン要件をマッピングできれば、準備を妨げる主な摩擦点への対策を計画できます。

CMMC準拠が難しい理由

CMMCの証拠ベースモデルは原則としては単純ですが、実務では要求が厳しいものです。準備で苦戦する多くのチームは、特殊な技術的ギャップではなく、持続的な投資と調整が必要な構造的障壁により失敗しています。最も頻繁に現れる4つの摩擦点は以下の通りです。

• コスト負担（特に中小企業）。 セキュリティ成熟度が低い場合、ツール変更、文書化、証拠ワークフローの継続的運用に相応の投資が必要です。
• 証拠の運用化。 ログ、チケット、構成、コントロールの一貫性証拠を継続的に提示できなければ、合格は困難です。
• クラウドプロバイダー依存。 クラウドプロバイダーがCUIを扱う場合、その認証状況や責任分界点が認証の障壁となることがあります。
• スコープ設定の複雑さ。 スコープ過大は不要なシステムを評価対象に含め、過小は実際のCUIフローを見逃します。

これらの障壁は克服不可能ではありませんが、遅れて着手すると取り戻せない準備時間が必要です。ギャップ評価とSSPの早期着手が、構造的課題を適格性リスクにしない最も確実な方法です。

よくあるCMMC準拠実装ミス

多くの失敗は、コントロールギャップだけでなく、調整不足や古い文書化に起因します。評価を妨げる主なミスは以下の通りです：

• 「ポリシーのみ」トラップ。 コントロールの運用証拠がないポリシーだけを提示しても、証拠ベース評価は通過できません。
• 直前の証拠収集。 評価直前にスクリーンショットを慌てて集めると、成熟度の低さを示し、SSPへの信頼性も損ないます。
• POA&Mを計画として扱う。 POA&Mを戦略とすると、実際のコントロールギャップを解消できず、条件付きステータスの期限切れリスクが高まります。
• 同じC3PAOによる準備と認証。 準備支援でC3PAOを利用した場合、同じ組織で認証評価は受けられません。

これらすべてに共通するのはタイミングです。CMMC準備を事前評価の一時的な取り組みではなく、継続的な運用プログラムとして扱うチームは、これらの項目をすべて回避できます。以下のベストプラクティスは、そのプログラムを段階的に構築する方法を示します。

CMMC準拠ベストプラクティス

CMMC準備はゴールのあるプロジェクトではなく、継続的に運用されるプログラムです。以下の5段階は、初期ギャップ評価から、評価時のインタビューに合格できる人材育成まで、体系的にプログラムを構築する方法を示します。

• フェーズ1：現状評価。NIST SP 800-171に基づくギャップ評価を実施し、各契約・入札ごとに必要なCMMCレベルを確認します。クラウドサービスを利用している場合は、認証状況と責任分担を早期に確認してください。SSPは最初から作成を開始し、事後提出物にしないでください。
• フェーズ2：部門横断的な準備チームの構築。誓約・リソース確保のためのリーダーシップ、技術実装のためのIT、文書化・証拠ワークフローのためのコンプライアンス担当が必要です。各コントロールドメインに責任者を割り当て、責任を都度ではなく定期的に設定してください。
• フェーズ3：継続的な証拠収集の実装。 SSPを監査前の提出物ではなく、常に更新される文書として扱います。評価者が期待する証拠の保持ワークフローを構築し、 SIEMログ保持設定が証拠ストーリーをどう支援するかを確認してください。
• フェーズ4：正確なスコープ設定。CUIの流れと境界を正確に文書化します。正確なスコープ設定はコストを削減し、コントロールを最も重要な箇所に集中させます。
• フェーズ5：文書化されたコントロールに関する要員トレーニング。 評価者はExamine、Interview、Testを実施します。スタッフは、 最小権限アクセスやインシデント対応など、コントロールが実際にどう運用されているかを説明できなければなりません。文書だけではインタビュー部分を通過できません。

プロセスの規律が確立できれば、ギャップを隠すことなく、証拠要件に合ったツールをマッピングできます。

重要なポイント

DoDのFCIまたはCUIを取り扱う場合、CMMCは自己申告ではなく証拠ベースの認証によってサイバーセキュリティ体制を検証するための拘束力あるフレームワークです。

継続的な証拠収集、正確なスコープ設定、部門横断的な準備運用、CMMC評価で求められる運用証拠を生み出すツールの活用が、成功の鍵となります。