防衛請負業者とその下請け業者、およびサプライチェーンは、サイバーセキュリティ成熟度モデル認証(CMMC)への準拠という課題に備えてきたが、このほど米国防総省(DoD)から朗報が届いた: 国防総省は新たな「CMMC 2.0」フレームワークを通じてCMMCの戦略的方向性を刷新し、防衛契約におけるサイバーセキュリティ要件への対応方法について、防衛サプライチェーンにさらなる柔軟性を提供する。 この追加の柔軟性には、第三者認証の取得に代わる自己認証による準拠証明の可能性、および契約授与時点で未達成の特定要件に対処するための「行動計画とマイルストーン(POA&M)」の活用が含まれる。 この柔軟性の向上は請負業者にとって朗報である一方、米国司法省が連邦請負業者の契約上のサイバーセキュリティ要件およびサイバーインシデント報告要件への準拠に関連する虚偽請求の可能性に重点を置く新たな「民事サイバー詐欺対策イニシアチブ」を発表したことを踏まえると、リスク増大も伴う。 本稿では、新たなCMMC 2.0フレームワークで発表された重要な変更点と、それらの変更が防衛契約を履行中または履行を目指す企業(下請け業者やサプライヤーを含む)に与える影響について考察する。
より少ない階層とサイバーセキュリティ要件
国防総省が改訂版CMMCフレームワークとして命名した「CMMC 2.0」では、認証レベルが5段階から3段階に削減される:レベル1(基礎)は連邦契約情報のみにアクセスする請負業者向け; レベル2(上級):管理対象非機密情報(CUI)にアクセスする請負業者向け;レベル3(専門家):CUIにアクセスし、国防総省の最優先プログラムに従事する請負業者向け。新たなレベル1は従来のレベル1に、新たなレベル2は従来のレベル3に、新たなレベル3は従来のレベル5に対応する。
さらに、CMMC 2.0ではCMMC固有のプラクティスが全て廃止されます。つまり、CMMC 2.0レベル2およびレベル3において要求されるサイバーセキュリティプラクティスは、全て米国国立標準技術研究所(NIST)特別刊行物(SP)800-171およびNIST SP 800-172(旧称:NIST SP 800-171B草案)に由来するものとなります。 具体的には、CMMC 2.0レベル2では、NIST SP 800-171に準拠した110のサイバーセキュリティ慣行への準拠が要求されます。これは、多くの国防総省(DoD)契約業者が既にDFARS条項252.204-7012の下で実施を義務付けられているものです。 CMMC 1.0における同等レベルでは、請負業者は110のNIST SP 800-171対策に加え 、20の追加対策と3つのプロセスへの準拠が求められていた。 さらに、現在開発中のCMMC 2.0レベル3は、NIST SP 800-171に準拠した全110のサイバーセキュリティ実践への準拠を要求するほか、NIST SP 800-172の要件の一部を基に構築される。 CMMC 1.0における同等レベルでは、NIST SP 800-171やNIST 800-172に由来しない追加プラクティスと5つの プロセスへの 準拠が請負業者に求められていた。 したがって、CMMC 2.0では要求されるサイバーセキュリティ実践の数を削減するとともに、該当する要件をNIST SP 800-171およびNIST SP 800-172に完全に整合させている。
一部の請負業者による自己評価が可能に、ただしリスクを伴う
CMMC 2.0では、国防総省の全請負業者、下請業者、および供給業者がCMMC認定を取得するために、CMMC第三者評価機関(C3PAO)による評価を受け合格する必要があった従来の要件も緩和される。CMMC 2.0では、レベル1の全企業およびレベル2の一部企業は、企業の幹部職員による年次自己評価を通じて、それぞれのCMMCレベルへの準拠を実証できる。
レベル2では、「非優先調達品目」について自己評価が許可される。国防総省は、契約ごとに、当該契約で問題となるデータが契約を「優先調達品目」とするかどうかを判断する。 レベル1およびレベル2の多くの契約において自己評価を実施できることで、C3PAOを起用せずに自己評価が可能な企業にとって、評価プロセスのコスト削減が期待されます。CMMCレベル2を必要とする「優先調達案件」については、請負業者は引き続き3年ごとにC3PAOによる認証を受ける必要があります。
防衛請負業者や供給業者は、第三者認証に頼るよりも自己評価に依存できることでより大きな柔軟性を得られる一方、国防総省が上級会社役員の宣誓供述書を通じて自己評価を実施する計画は、自己評価が後に不正確であると判断された場合、請負業者の自己宣誓が虚偽の申告に該当するとの申し立てリスクを高めることになる。 虚偽の申告は、虚偽申告法に基づき、契約業者に1件あたり3倍の損害賠償と厳しい法定罰則を科す可能性がある。 米国司法省は新たな「民間サイバー詐欺対策イニシアチブ」を開始し、虚偽請求法を用いて「サイバーセキュリティ対策やプロトコルを故意に虚偽表示することで米国の情報・システムを危険に晒す団体・個人を責任追及する」方針を表明した。これによりCMMC自己証明における虚偽請求法適用可能性が高まっている。 さらに、内部告発者は虚偽請求法に基づき政府に代わって訴訟を提起し、回収額の分配を受けることができる。 加えて、虚偽の請求の提出は連邦犯罪を構成する。こうした民事・刑事上の執行リスクの高まりを踏まえ、本来ならサイバーセキュリティ対策の自己証明が可能な請負業者であっても、第三者認証に依存する選択をする可能性がある。第三者認証を実施する事業体は、その認証が虚偽である場合、請負業者に虚偽の請求を提出させることになり、虚偽請求法に基づく責任追及に直面する恐れがある。
さらに、CMMCレベル2契約(または下請け契約)の機会を追求する意向の請負業者は、国防総省が重要なレベル2の機会を第三者認証を必要とする「優先調達案件」に指定した場合に備え、C3PAOによる評価を受けることを望む可能性が高い。 国防総省が「優先調達案件」の明確な判定基準を示さない限り、レベル2での自己評価のみを希望する、あるいは提案書提出期限までにC3PAO評価を完了できない潜在的な入札者は、調達案件の「優先調達案件」指定に異議を唱える事前契約異議申し立てを検討する可能性がある。 また国防総省は、主契約がC3PAO評価を必要とする「優先調達」とみなされる場合、元請け業者が下請け業者にレベル2の自己評価を許可できるか否かについても、まだ明確にしていない。
CMMCレベル3の評価は、C3PAOではなく政府職員によって3年ごとに実施される。レベル3の評価は、DFARS 252.204-7020に基づく既存契約の一部で要求される「高評価」と同様の仕組みで運用される。
POA&Mは特定の要件に対する一時的な「IOU」として許可される
国防総省(DoD)は、CMMC 2.0では実施の柔軟性が向上すると表明した。特定の限定的な状況下において、企業がPOA&M(是正措置計画)を採用して認証を取得することを認めるためである。DoDの意図は、契約授与前に請負業者が満たすべき「基準」として特定のサイバーセキュリティ慣行を指定しつつ、残りの要件については「明確に定義されたタイムライン内」で達成する機会を請負業者に与えることにある。 この変更により、CMMC 1.0の厳格な合格/不合格判定方式(必要なセキュリティ対策の1つでも未達成の場合に認証を拒否)は廃止される。国防総省は、POA&Mを一定期間(例えば最大180日間)実施した後、請負業者が該当する全てのCMMC実践要件を満たすか、契約上の是正措置を受けることを求めている。 国防総省はさらに、POA&Mでは達成不可能なほど基礎的であるCMMC実践のサブセットを特定する方針である。
企業はいつCMMC 2.0に準拠する必要があるのか?
2020年、国防総省(DoD)はCMMC 1.0要件を国防総省契約に段階的に導入するため暫定規則を公布した。DoDがCMMC 2.0を発表したことで、この規則制定プロセスは事実上「リセット」される。DoDはCMMC 2.0を今後公布予定の独自の暫定規則を通じて実施すると発表したためである。 国防総省は、CMMC 2.0の規則制定プロセスに9ヶ月から24ヶ月を要すると見積もっている。おそらくこれは、すべての契約業者が遅くとも2023年11月までにCMMC 2.0への準拠準備を整える必要があることを意味する。
CMMC 2.0の規則制定が完了するまで、国防総省(DoD)は国防総省の入札要求書にCMMC要件を含めない。 国防総省は、CMMC 2.0が義務化されるまでの暫定期間において、自主的にCMMC 2.0レベル2認証を取得する契約業者に対するインセンティブ提供の可能性を検討中と表明している。ただし、C3PAOがCMMC 2.0認証を取得できるまでは、CMMC 2.0レベル2の達成は自己評価を通じてのみ可能である。
国防総省の請負業者、下請け業者、および供給業者は今何をすべきか?
国防総省(DoD)がCMMC 2.0に関する最近の発表を行ったことで、DoD契約業者がCMMC認証を取得する期限は事実上先送りされ、多くの契約業者におけるC3PAO評価の必要性は解消された。今後、DoD契約業者、下請業者、およびサプライヤーは、CMMC認証の最終的な導入に備えて以下の措置を講じるべきである:
- CMMCに関する規則制定案の発表にご注意ください。
- 国防総省(DoD)のCMMCウェブサイトを注視し、2021年11月末までに提供予定のCMMC 2.0フレームワークに関する詳細情報を確認してください。
- DFARS 252.204-7020 の要求に従い、NIST SP 800-171 自己評価を実施すること。
- 会社のNIST SP 800-171自己評価で特定されたサイバーセキュリティ基準を維持し、必要に応じてCMMC 2.0レベル2への対応準備を整える。
- 将来的にCMMC 2.0レベル3認証が必要となる見込みがある場合、CMMC 2.0レベル3の詳細情報が公開された際に、同レベル3要件を満たすために必要な手順を確認すること。
- 虚偽請求法への準拠を確保するため、コンプライアンスプログラムの見直しと強化を行う。これには、適切に対処されなければ虚偽請求法訴訟に発展する可能性のある内部告発者の苦情を処理するための、強固な方針と実践が含まれる。
改訂された国防総省CMMC要件が政府契約の観点から貴社事業に与える影響についてご相談の際は、デイビッド・T・ラルストン([email protected])、フランク・S・マレー([email protected])、エリン・L・トゥーミー([email protected])、またはジュリア・ディ・ヴィート([email protected])までご連絡ください。 改訂された国防総省CMMC要件がサイバーセキュリティの観点から御社に与える影響についてご相談の場合は、ジェニファー・L・アーバン([email protected])またはサミュエル・D・ゴールドスティック([email protected])までご連絡ください。新たな司法省民事サイバー詐欺対策イニシアチブ下における虚偽請求法執行に関する懸念事項については、マシュー・D・クルーガー([email protected])までお問い合わせください。
