サイバーセキュリティの成熟度モデル認定「CMMC2.0」が12月16日に公布、2025年を目途に運用開始へ 米国国防総省
掲載:2025年01月16日
サイバー速報
目次
米国国防総省が定めるサイバーセキュリティの成熟度モデル認定「CMMC」の第2版(CMMC2.0)が、12月16日から発効となりました。
CMMCは、米国国防総省が定めるサイバーセキュリティの調達基準です。米国国立標準技術研究所(NIST)が公表するセキュリティガイドラインである「NIST SP800-171」をベースとしており、日本企業からの防衛品調達の基準にもなっています。初版となるCMMC1.0が2020年3月、CMMC2.0が2021年12月に公開されました。
CMMC1.0からの変更点としては、(1)成熟度のレベルが5段階から3段階評価に、(2)要求事項の基となる管理策が、NIST SP800-171とNIST SP800-172に限定、(3)認証範囲と方法の見直し、(4)「行動計画とマイルストーン」の部分的利用の認可といった点が挙げられます。CMMC1.0で課題となった準拠にかかるコストを削減することで、より容易に対応できるよう合理化されました。
2.0の新規則案ついてはさまざまな意見が寄せられ、発表後の約3年間は、意見公募を実施するなどにより細部についての検討・調整が行われていたと見られます。当初は、(2.0発表から)9~24か月後の施行が見込まれていましたが、予定よりも約1年遅れての公布となりました。これにより、米国国防総省と契約を締結する企業は、CMMC2.0への準拠が義務付けられます。
米国連邦政府の調達規則に関する適用と補則について定めた「DFARS(Defense Federal Acquisition Regulation Supplement)」の規則変更が2025年初め~中頃に公開される予定で、この規則が適用され次第、米国国防総省は実際の入札および契約に、CMMCの要件を含めることとなります。