米国防関連の請負業者が知っておくべきセキュリティ要件、CMMC（後）

　CMMC（Cybersecurity Maturity Model Certification：サイバーセキュリティ成熟度モデル認証）は、米国の防衛産業基盤（DIB）企業がサイバーセキュリティ対策で満たすべき水準について定めた統一規格である。米国防総省（DoD）の請負業者の情報システムで、防衛関連情報に対する重大な侵害が発生した事例があったことから策定されたもので、DIBのサプライチェーンに関与する30万社以上が対象となる。

（前回から続く）

CMMCの遵守が求められる企業

Credit: icon0.com / Pete Linforth / TheDigitalArtist

　DoDの案件に関与する請負業者は、いずれはCMMC認証の取得を義務づけられることになる。サプライチェーンのあらゆる企業が対象となり、中小企業、市販品取扱業者、外国のサプライヤーも含まれる。企業各社のCMMCのレベルを実際に評価する査定人や、C3PAO（Certified Third-Party Assessment Organizations：認定第三者評価機関）を認定する手順については、CMMC Accreditation Body（CMMC-AB）という組織がDoDと直接連携して定める。

CMMC認証が義務づけられる時期

　DoDが示した見通しでは、早ければRFI（情報提供依頼書）では2020年6月から、一部のRFP（提案依頼書）では2020年9月から、CMMC認証の最低要件が取り入れられる予定となっている。また、DoDが示唆するところによると、同じ契約でも、元請け業者に求められる認証のレベルと、サプライチェーン全体で求められるレベルは、必ずしも同じではない。こうした認証レベルの違いは、元請けにも下請けにも、履行上の複雑な課題をもたらす可能性がある。

CMMCに向けた準備

　認証の準備は今から始める：認定の手順や実施機関はまだ確定していないが、詳細は間もなく出てくるものと考えられる。DoDの概算では、DIBの請負業者は30万社を超える。今後もDoDの案件に携わるためには、そのすべてが認証を受ける必要がある。

　早めに準備しておく方が、評価がスムーズに進み、よい結果につながるかもしれない。請負業者は、まずは次のような点について、直ちに手を打つとよい。

• CMMCのプラクティスやプロセスの要件を既に満たしている部分に関して、プラクティスや手順を明確に文書化しておく。
• 新たな手順やプラクティスの履行に向けた計画を立て、できるだけ高い認証レベルの取得を目指す。

｜Computerworldについて｜Computerworldへのお問い合わせ・ご意見｜著作権・リンクについて｜個人情報の取り扱い｜