先週、米国防総省(DoD)がCMMC準拠を契約授与の前提条件とする契約条項を公布したことで、サイバーセキュリティ成熟度モデル認証2.0(CMMC)プログラムにおいて重要な節目が訪れた。このDoDプログラムは、請負業者の情報システムにおける機密DoD情報の安全性を確保することを目的としている。同条項は早ければ2か月以内に適用開始となる。 昨年、国防総省はCMMCプログラムの技術要件を確定し、32 C.F.R. Part 170に規定を明文化した。これらの規制によりCMMCプログラムとCMMC評価・認証エコシステムが正式に確立されたが、国防総省契約担当官が国防総省契約においてCMMCプログラムへの準拠を強制する仕組みは提供されていなかった。 2025年9月10日付の最終規則(「CMMC契約規則」)はこの空白を埋め、2025年11月10日より、国防総省が契約授与の適格条件としてCMMC準拠の利用を開始することを可能にした。
本稿ではまずCMMCプログラムの概要を再確認し、次にCMMC契約規則から防衛請負業者および下請け業者が得るべき重要なポイントを示し、最後に今後数ヶ月から数年にわたり防衛契約へ導入が進む中で、組織のCMMC対応態勢を強化するための具体的な行動項目を提案する。
CMMCって、何でしたっけ?
CMMCは、国防総省(DoD)が防衛産業契約業者が既存のサイバーセキュリティ要件を順守していることを検証するための仕組みである。CMMCは2019年に初めて発表されて以来、幾度かの延期と改革を経てきたが、サイバー攻撃の頻度と複雑性が増す中、防衛産業基盤(DIB)全体のセキュリティ強化と契約業者がDoDデータを確実に保護するための鍵と見なされている。
概して、CMMCプログラムは防衛請負業者に対し、取り扱う情報の機密性に基づくサイバーセキュリティ基準を満たすことを要求し、年次コンプライアンス証明書の提出を義務付けています。このモデルには以下の3つの認証レベルが含まれ、連邦契約情報(FCI)向けの基本保護から管理対象非機密情報(CUI)向けのより厳格な要件までを網羅しています:
- レベル1は FCIとの契約のみを対象とし 、連邦調達規則(FAR)条項52.204-21「対象契約業者情報システムの基本的保護」に現在列挙されている15のセキュリティ管理措置への準拠を要求する。レベル1準拠には、年次実施が義務付けられる自己評価および年次準拠確認が必要である。
- レベル2には CUIを含む契約が含まれ 、米国国立標準技術研究所(NIST)特別刊行物(SP)800-171改訂版2の110のセキュリティ管理措置への準拠が要求される。 請負業者が自社の情報システム上で処理・保管・伝送するCUIの種類に応じて、CMMCレベル2要件の対象となる請負業者の中には、年次自己評価を実施できる場合もあれば、認定第三者評価機関(C3PAO)による検証チェックを必要とする場合もあります。自己評価によるものであれC3PAO認証によるものであれ、レベル2準拠の証明は3年ごとに必要です。
- レベル3は、 国防総省が特に機密性が高いと判断したCUI(機密指定されていない情報)を扱う契約に要求される、より厳格なセキュリティレベルである 。CMMCレベル3契約の取得を目指す請負業者は、NIST SP 800-171 Rev. 2に規定される110のセキュリティ管理措置に加え、NIST SP 800-172に規定される24の追加管理措置への準拠が求められる。 レベル2のC3PAO認証を取得後、CMMCレベル3認証の取得を目指す請負業者は、国防契約管理局(DCMA)傘下のDIBサイバーセキュリティ評価センター(DIBCAC)による認証を取得する必要があります。このレベル3のDIBCAC評価は、CMMCレベル3(DIBCAC)のステータスを維持するため、3年ごとに実施されなければなりません。
CMMC契約規則から請負業者が得るべき重要なポイント
1) CMMC要件は、2か月以内に国防総省の入札公告および契約書に表示され始める可能性がある
CMMC契約規則により、国防総省は2025年11月10日以降、調達要求書にCMMC契約条項を盛り込み、CMMC準拠を契約授与の条件とする裁量権を有する。
2) 国防総省によるCMMC段階的導入期間中の見通し
CMMC契約規則は、32 C.F.R. § 170.3に規定されるCMMC要件の段階的実施を参照している。同規則は、国防総省が今後3年間にわたりCMMCを4段階に分けて実施する意向を表明したものである。
- フェーズ1:2025年11月10日より、該当する入札公告および契約において、契約授与の条件としてCMMCレベル1(自己評価)またはレベル2(自己評価)が要求される。 国防総省は、2025年11月10日以前に発行された契約について、同年11月10日以降に行使されるオプションに対してCMMCレベル1(自己評価)またはレベル2(自己評価)を要求する裁量権を有するとともに、一部の調達においてレベル2(自己評価)の代わりにCMMCレベル2(C3PAO)を要求することも可能です。
- フェーズ2:2026年11月10日より、該当する調達案件及び契約において、CMMCレベル2 C3PAO評価を契約授与の条件として要求する。 国防総省(DoD)は、CMMCレベル2(C3PAO)の適用を契約授与条件ではなくオプション期間に延期する裁量権を有する。また、一部の調達案件においてCMMCレベル3(DIBCAC)の要件を適用する裁量権も有する。
- フェーズ3:2027年11月10日より、該当する調達案件及び契約においては、契約授与の条件として、また2025年11月10日以降に授与された契約における国防総省(DoD)のオプション期間行使の条件として、CMMCレベル2(C3PAO)評価が要求される。 国防総省はまた、該当する入札および契約において、CMMCレベル3(C3PAO)の要件を契約授与の条件として含める。国防総省は、CMMCレベル3(C3PAO)の要件を契約授与の条件ではなくオプション期間に延期する裁量権を有する。
- フェーズ4:2028年11月10日より、CMMC要件は、該当するすべての国防総省の入札公告および契約、ならびに2028年11月10日より前に授与された契約のオプション期間に組み込まれる。
3) どの国防総省契約が影響を受けるのか?
CMMC契約規則が2025年11月10日に発効した場合、プログラム事務所または要求機関が請負業者に特定のCMMCレベルを要求すると判断したときは、契約担当官は調達要求書および契約書にDFARS条項252.204-7021を挿入し、DFARS条項252.204-7025において当該調達に必要なCMMCレベルを明示することができる。 これには、商用製品および商用サービスに関する入札書類・契約書、ならびに全金額帯の契約が含まれる。
最終規則で定められた唯一の例外は、DFARS条項252.204-7021が、市販品(COTS)の調達のみを目的とする入札および契約には適用されないことである。 COTS品とは、以下の条件を満たす供給品を指す:(i) 商業市場において相当数量で販売されていること、および (ii) 政府に対し、いかなる階層の契約または下請契約においても、商業市場で販売されている形態のまま、変更を加えずに提供されること。 したがって、いかなる種類の製品変更も、たとえその変更が商業市場で標準的なものであっても、当該製品を非COTS品とし、契約をCMMC準拠要件の対象とする可能性がある。
さらに、契約担当官は、2025年11月10日より前に授与された既存契約について、「国防総省の必要性に基づき」DFARS 252.204-7021条項を組み込むよう、双方の合意により変更する裁量権を有する。請負業者は、契約にDFARS条項を受け入れる前に、当該変更内容を慎重に検討し、準拠性を確保すべきである。
2028年11月10日以降、国防総省(DoD)は、COTS品目のみを対象とする契約を除き、入札書および契約書にDFARS条項252.204-7021を含めなければならない。ただし、これは「プログラム事務所または要求活動が、契約者に対し、契約、タスクオーダー、またはデリバリーオーダーの履行において、FCIまたはCUIを処理、保存、または伝送するために契約者情報システムを使用することが必要であると判断した場合」に限る。 この結果、2028年11月10日以降は、COTS品目のみを対象とするものを除き、実質的にすべての国防総省の入札書および契約において、何らかのレベルのCMMC準拠が要求されることになる。
4) CMMCなしなら契約なし
契約を落札者に授与する前に、国防総省(DoD)は当該落札者に対し契約を授与する前に、SPRSにおいて必要なCMMCレベルステータスを有していることを確認しなければならない。 つまり、最終規則は契約担当官が契約適格性の条件として認証(またはレベルに応じた自己証明)を要求することを可能にする執行ゲートウェイを提供する。これは重要な運用上の転換点である——国防総省の入札書および契約におけるCMMC DFARS条項の使用を認可し、契約授与の条件としてCMMC準拠を要求することで、CMMCを政策から調達へと移行させるものである。
5) 「条件付き」CMMCステータスは、サイバーセキュリティ対策の一部が未完了の請負業者に対し、一時的(繰り返しますが、一時的)な猶予期間を提供できる
重要な点として、CMMC契約規則は、条件付きステータス期間が180日未満の場合、条件付きCMMCレベル2およびレベル3ステータスを保持する契約業者への契約授与を認めることで、一定の柔軟性を提供している。条件付きレベル2またはレベル3ステータスを最終的なCMMCステータスへ移行するには、契約業者は未達成要件に対する行動計画とマイルストーン(POA&M)を適切に完了させなければならない。 「条件付き」ステータスは180日間のみ有効であるため、請負業者は条件付き承認から180日以内に未達成要件を是正することを保証しなければならない。CMMC規制では条件付き承認に必要な特定の物理的セキュリティ要件を定めており、これらの要件はPOA&Mの対象とはならない。
請負業者が180日間の期間内に必要な是正措置を実施しない場合、条件付きCMMCステータスは失効し、国防総省は契約解除を含む標準的な契約上の救済措置を行使できる。さらに、請負業者は必要なCMMCレベルステータスを達成するまで、CMMC要件を伴う追加契約の対象とはならない。
6) 下請け業者のCMMCステータスを検証するプロセスの展開に関する考慮事項と実施
CMMC契約条項であるDFARS 252.204-7021は、FCIまたはCUIの処理、保管、送信を要求する下請契約において、元請業者および上位階層の下請業者によって含められなければならない。 これにより、上位階層の請負業者は、下請け業者が処理・保管・伝送する必要のある情報の種類を評価し、CMMC要件を流用すべきか否かを判断し、下請け業者に適用されるCMMC準拠レベルを決定する責任を負う。 CMMC要件の対象となる下請契約(COTS品目のみを対象とする下請契約を除く)を授与する前に、元請業者または上位階層の下請業者は、下請業者が要求されるCMMCレベルに対する最新のCMMC自己評価または認証を有していることを確認する責任を負う。 残念ながら、現在SPRS(企業がCMMCステータスを報告するシステム)にアクセスできるのは国防総省のみであるため、上位階層の請負業者は、下請け業者の準拠性を確認するために必要な書類(例:認証書やSPRSのスクリーンショット)を決定する必要がある。
7) 提案規則から最終規則への主な変更点
提案された規則には、契約履行中に「情報セキュリティ上の欠陥が発生した場合、またはCMMC認証またはCMMC自己評価レベルの状況に変化が生じた場合」に、請負業者が72時間以内に契約担当部署へ通知する義務が盛り込まれていた。提案規則では、国防総省が「情報セキュリティ上の欠陥」を具体的に何を指すのかを明確に定義していなかった。 この要件への遵守が困難であること、また「現行」CMMCステータスの定義、年次確認要件、72時間以内のサイバーインシデント報告においてDFARS条項が既に十分な保護措置を含んでいると判断した国防総省は、最終版CMMC契約条項から「情報セキュリティ上の欠陥」または32 CFR Part 170への準拠状況の変化を請負業者が報告する義務を削除した。 CMMCステータスが「現行」であるためには、CMMCステータス日付以降、32 CFR Part 170の要件への準拠状況に変更が生じていないことが必要である。
請負業者が契約上のCMMC要件に備えるための推奨行動項目
CMMC準拠に向けた準備には、戦略的な計画と取り組みが必要です。防衛産業契約者が国防総省との契約資格を維持するために取るべき、主要な実行可能な措置は以下の通りです:
- 国防総省(DoD)契約および下請契約の履行中に機密情報(FCI)または機密指定情報(CUI)を保存、処理、または伝送するために使用するすべての情報システムを特定し、各システムを通じて保存、処理、または伝送される情報の種類を明記してください。その後、特定された請負業者情報システムそれぞれに適用されるCMMCレベル要件を評価し、それらの情報システムが当該レベルのセキュリティ要件を満たしているかどうかを評価することができます。
- ITインフラストラクチャおよびセキュリティ管理策の変更は、事前に十分に計画・審査され、当該インフラや管理策の変更が請負業者の適用されるCMMC要件への準拠を損なったとの申し立てを回避するよう確保すること。上級管理職は、少なくとも年1回、CMMC要件への「継続的準拠」を表明する責任を負う。 特定のセキュリティ対策の廃止、または請負業者が「現行」のCMMC認証または評価を有していない情報システム上でFCI(機密情報)やCUI(機密指定情報)の共有を開始するといった変更は、請負業者の継続的準拠に関する表明がもはや正確ではないとの主張を招く可能性があります。
- システムセキュリティ計画(SSP)を最新の状態に維持し、POA&Mにおける未達成要件を完了させてください。条件付きCMMCステータス達成に必要なNIST要件が満たされていることを確認してください。
- 自社の下請け業者およびサプライヤーにおけるCMMC準拠の監視と実施に向けた計画を開始してください。各下請け業者が担当業務で達成すべきCMMC準拠レベルを分類し始めます。 現在利用している、または将来的に国防総省(DoD)契約の履行に利用する可能性のある下請け業者やサプライヤーと連絡を取り、CMMCが「本格運用」された際に必要となるセキュリティ制御の実施状況を確認してください。下請け業者やサプライヤーに対し、現在のCMMCレベル認証または評価の取得を証明または文書化させる方法、およびそれらの要件を下請け契約条件に組み込む方法を検討してください。
- 第三者評価が必要な場合は、十分に前もって手配してください。承認されたC3PAO(第三者評価機関)の数は限られており、評価と認証を要求する入札公告発行前に評価を確実に実施するためには、遅くとも早めにスケジュールを確保することが重要です。
- サイバーインシデントを72時間以内にタイムリーに報告し続ける。
結論
2025年11月10日のCMMCフェーズ1施行日を目前に控え、防衛産業契約企業はサイバーセキュリティコンプライアンスにおける変革の局面に直面しています。 Foleyは、クライアントが契約適格性を確保し、安全な防衛エコシステムを維持できるよう、包括的なアドバイスを提供することで、CMMCコンプライアンスに対し多角的なアプローチを取っています。具体的には、コンプライアンス達成のための最適な事前戦略的措置の提案、防衛契約要件のレビュー、コンプライアンスプロジェクトの管理・調整、IT企業の採用・監督、SSP(セキュリティ対策計画)およびPOA&M(是正措置計画)のレビュー、サイバーセキュリティインシデントへの対応までをカバーします。
最終規則またはCMMC要件についてご質問がある場合は、ジェン・アーバン、エリン・トゥーミー、フランク・マレー、またはサミュエル・ゴールドスティックまでご連絡ください。
