2020年11月30日、米国国防総省(以下「国防総省」)は新たなサイバーセキュリティ成熟度モデル認証(以下「CMMC」)フレームワークの導入を開始する。これにより、最終的には国防総省の全契約業者、下請け業者、および供給業者が第三者評価機関によるサイバーセキュリティ評価を受けることが義務付けられる。
国防総省契約業者に対する既存のサイバーセキュリティ要件
国防総省(DoD)は現在、防衛連邦調達規則補遺(DFARS)条項252.204-7012「保護対象防衛情報(CDI)の保護及びサイバーインシデント報告」を通じて、請負業者にサイバーセキュリティ要件を課している。 「対象防衛情報の保護及びサイバーインシデント報告」により、請負業者に対し、管理対象非機密情報を処理・保存・伝送するあらゆる情報システムにおいて、米国標準技術研究所(NIST)特別刊行物(SP)800-171に規定される110のセキュリティ管理措置を実施することを義務付けている。 2020年9月29日、国防総省は新たなNIST SP 800-171評価要件を採用する暫定規則を公布した。これはNIST SP 800-171の実施が義務付けられる請負業者、下請業者、供給業者を対象とし、2020年11月30日に発効するもので、CMMCフレームワークとは別個の要件である。 新たなNIST SP 800-171評価要件の詳細については、2020年10月20日付の当テーマに関するクライアントアラートをご参照ください。
CMMCフレームワーク
2020年9月29日付暫定規則は、国防総省が過去2年間にわたり開発を進めてきたCMMCフレームワークをDFARS(国防調達規則集)に導入するものである。CMMCフレームワークは、国防総省の請負業者、下請業者、供給業者が情報システムのサイバーセキュリティプロセスおよび実践の程度と成熟度を評価される基準となる5段階のサイバーセキュリティ成熟度レベルを定義している。 今後、CMMC第三者評価機関(C3PAO)に所属する認定評価者が国防総省契約業者のサイバーセキュリティ慣行・プロセスを評価し、CMMC認証レベルを決定します。C3PAOによる認証は最長3年間有効となります。 国防総省から独立した認証機関であるCMMC認定機関(CMMC-AB)は、防衛サプライチェーンにおけるCMMC評価・認証・研修・認定プロセスの管理・統制・運営を担当する。 CMMC-ABは、C3PAOおよび認定評価者を認証するために使用される基準または要件を確立します。CMMC-ABは現在、C3PAOおよび認定評価者の認定プロセスが初期段階にあり、最終的には承認されたC3PAOおよび認定評価者をCMMC-ABウェブサイトの「マーケットプレイス」に掲載する意向を示しています。 認定評価者は特定のCMMCレベルまでの請負業者を認証する権限を持つため、C3PAOのサービスを利用しようとする企業は、評価を実施する認定評価者が、自社が達成を目指すCMMCレベルまで請負業者を認証する権限を有していることを確認することが重要となる。
CMMCモデルおよび各CMMCレベルに対応するサイバーセキュリティ要件は、国防総省(DoD)のウェブサイトで公開されています。各CMMCレベルでは、請負業者が段階的に増加する数のサイバーセキュリティ対策とプロセスを実施することが求められ、レベル1が最も負担が少なく、レベル5が最も強固なサイバーセキュリティプログラムを必要とします。例:
- レベル1は、連邦調達規則(FAR)条項52.204-21「対象となる請負業者情報システムの基本的保護」に定める基本的保護要件に相当する。CMMC要件を含む契約については、純粋な市販品(COTS)のみを供給する業者を除く、すべての国防総省(DoD)請負業者、下請業者、および供給業者は、少なくともレベル1を満たすことが求められる。
- レベル3は、DFARS条項252.204-7012「対象防衛情報の保護及びサイバーインシデント報告」に最も類似している。これはNIST SP 800-171の全110のセキュリティ制御を含むが、NIST SP 800-171に含まれない20の追加セキュリティ慣行と3つのプロセスの実施要件を追加している。
CMMCフレームワークと、DFARS条項252.204-7012に基づく既存のサイバーセキュリティコンプライアンスフレームワークの間には、いくつかの重要な相違点があります。 第一に、CMMCには「部分的な評価」が存在しません。特定の認証レベルで要求される全てのセキュリティ管理策、慣行、プロセスへの準拠を実証できない場合、当該レベルでの認証は絶対に取得できません。認証プロセスで発見された不備に対処するための「改善計画」に基づいて、より高いレベルの認証を取得することは不可能です。
第二に、CMMCの名称が示す通り、その枠組みは、特定のプロセスがどの程度「制度化」されているか、すなわち組織の運営に組み込まれ、定着しているかを評価することで、請負業者のサイバーセキュリティプロセスの「成熟度」を測定するよう設計されている。 したがって、CMMCは請負業者が情報システムに指定されたセキュリティ対策(CMMC用語では「プラクティス」)を実装しているかどうかの評価を超え、組織のサイバーセキュリティプラクティスの成熟度を示す特定の「プロセス」を請負業者が制度化したかどうかについてのさらなる分析を要求します。例えば、CMMCレベル3認証を取得するには、請負業者は必要なサイバーセキュリティプラクティスを実施するための計画を策定・維持し、それにリソースを割り当てる必要があります。 単に書面によるサイバーセキュリティポリシーを策定しただけでは不十分であり、請負業者は自社のサイバーセキュリティ計画に、必要な実践手法を実施するためのリソース配分と、それらに関する従業員の訓練が含まれていることを実証する必要がある。
CMMCの段階的導入
国防総省(DoD)はCMMC要件を段階的に導入し、2020年11月30日から2025年9月30日までの間、一部の調達案件にCMMC認証要件を含める可能性があるが、全ての契約においてCMMC認証を要求するわけではない。 この段階的導入期間中、国防総省がCMMC認証を要求するのは「要求文書または作業明細書において請負業者に特定のCMMCレベルを要求する場合」に限られ、入札書へのCMMC要件の記載は国防総省調達・維持担当次官補室による承認が必要となる。
2025年10月1日より、COTS品専用のものを除く、マイクロ購入基準額を超える すべての国防総省の調達案件および契約において、当該契約に適用されるCMMCレベルを明示し、要求されるレベルのCMMC認証を取得していない提案者への契約授与を禁止する。
調達要求において請負業者に特定のCMMCレベルを要求する場合、当該調達要求には新たなDFARS条項252.204-7021「請負業者のサイバーセキュリティ成熟度モデル認証レベル要件への適合」が含まれる。これにより請負業者は、要求されるCMMCレベルにおいて有効な(3年以内の)CMMC認証を取得し、契約期間中そのレベルを維持することが義務付けられる。 契約の落札者は、契約授与時点で国防総省(DoD)に登録済みのC3PAOによる指定CMMCレベル(またはそれ以上)の認証を取得している必要がある。したがって、提案書提出時点でのCMMC認証取得は不要であり、授与時点での取得が条件となる。
下請業者
DFARS条項252.204-7021は、本条項を含む元請契約に基づく下請契約の授与前に、元請業者が下請業者及び供給業者に対し、元請業者が決定する適切なレベルのCMMC認証を取得させることを義務付ける。 新たなCMMC条項はまた、請負業者に対しCMMC条項を下請業者へ適用することを義務付ける。これは、国防総省契約の供給網における全下請業者および供給業者(市販品(COTS)供給業者を除く)が、受領する情報に応じて少なくともCMMCレベル1以上の認証を取得しなければならないことを意味する。
国防総省の請負業者、下請け業者、および供給業者は、CMMC導入に備えるべきである
国防総省(DoD)の請負業者、下請け業者、および供給業者は、近い将来のどこかの時点で、特にNIST SP 800-171セキュリティ管理策への準拠を要求する契約を既に有している場合、C3PAO(認定管理成熟度認証機関)からCMMC認証を取得する必要が生じると想定すべきである。企業がDoDのプライム契約業者、下請け業者、または供給業者のいずれであっても、CMMC認証の将来的な要求に備えるため、以下の手順を検討すべきである:
- 将来の契約に向けた入札要項および情報提供依頼書の草案を精査し、当該要件タイプに対する想定されるCMMCレベルが言及されているかを確認する。
- CMMCモデルを精査し、企業が現在満たしているCMMCレベルを特定するとともに、企業の業務種別に応じて適用される見込みのCMMCレベル(DFARS 252.204-7012の対象契約を現在履行している大多数の企業にとってはCMMCレベル3)を達成するために必要な措置を明確化する。
- CMMC認定機関のウェブサイトを監視し、承認されたC3PAO(認定第三者評価機関)および認定評価者のリストを確認してください。これらは、CMMC評価の実施が認可され、かつ貴組織が取得を目指すCMMCレベルへの認証が承認されている機関です。
- 会社がCMMC認証を必要とする契約を追求している場合、契約授与前に取得が必須であるため、必要なCMMC認証を可能な限り早期に取得することを確保すること。
- 将来のCMMC要件を下請け業者や供給業者に伝達する方法に関する内部統制を策定すること。これには以下が含まれる:(i) 国防総省契約において機密情報(CUI)へのアクセスを必要とする、またはCUIを生成する可能性のある下請け業者や供給業者を特定・判定する最適な方法の決定; (ii) 当該情報に基づき、各下請契約または発注書に対する適切なCMMCレベル指定の根拠を決定・文書化すること;(iii) 下請契約の授与または発注書の発行前に、下請業者または供給業者から必要なCMMCレベルへの認証取得を証明する文書または確認を要求すること;
- 自社のサプライチェーン構成員と協議し、必要なすべてのサプライヤーが適用されるCMMC要件を満たせるかどうかを判断する。特定の主要サプライヤーが必要なCMMC認証を取得できない、または取得する意思がないと判断された場合は、代替供給源の検討を開始する。
国防総省(DoD)のCMMC新要件が政府契約の観点から貴社に与える影響についてご相談の際は、デイビッド・T・ラルストン([email protected])、フランク・S・マレー([email protected])、エリン・L・トゥーミー([email protected])、またはジュリア・ディ・ヴィート([email protected])までご連絡ください。 新たな国防総省CMMC要件がサイバーセキュリティの観点から御社に与える影響についてご相談の際は、ジェニファー・L・アーバン([email protected])またはサミュエル・D・ゴールドスティック([email protected])までご連絡ください。
