コンテンツへスキップ

CMMC 101:

防衛関連事業者が知っておくべきこと

米国国防総省(DoD)と取引をしている、またはしたいと考えている企業にとって、サイバーセキュリティへの対応は任意ではありません。CMMC(サイバーセキュリティ成熟度モデル認証)とは、DoDが取引先企業に対して、機密性の高い政府情報を実際に適切に保護していることを証明させるための仕組みです。そして2025年11月以降、この要件は正式に契約書に盛り込まれています。

CMMCとは何か?

CMMCとは「Cybersecurity Maturity Model Certification(サイバーセキュリティ成熟度モデル認証)」の略称です。DoDが、サイバー攻撃やデータ侵害から機密性の高い防衛情報を守るために、防衛産業基盤(DIB)全体に導入したフレームワークです。DIBとは、DoDと契約を結んでいる30万社以上の民間企業のネットワークを指します。

CMMCは、段階的な認証プログラムと考えるとわかりやすいです。DoDは各契約に必要なCMMCレベルを指定し、請負業者はそのレベルに定められたセキュリティ基準を満たしていることを証明しなければ、契約を受注・維持することができません。2025年11月10日以降、新規DoD契約へのCMMC要件の組み込みが契約交付の条件として開始されています。

CMMCはNIST SP 800-171のセキュリティ管理策をもとに構築されており、アクセス制御、インシデント対応、構成管理など14の管理領域で構成されています。

規制上の根拠: 32 CFR Part 170(CMMCプログラム規則、2024年12月16日施行)および48 CFR / DFARS Case 2019-D041(調達規則、2025年11月10日施行)

CMMCが必要なのはどの企業か?

端的に言えば: DoDと契約しているか、契約を希望しているほぼすべての企業が対象です。

2017年以降、COTS(市販品のみ)の調達を除くほぼすべてのDoD契約には、特定のサイバーセキュリティ管理策の実施を義務付ける条項(DFARS 252.204-7012)が含まれています。しかし議会の調査により、大多数の企業がその要件を満たしていないにもかかわらず自己証明をしていた実態が明らかになりました。この問題への対応として生まれたのが、正式な検証プロセスを伴うCMMCです。

CMMCへの準拠が必要になる主なケースは以下の通りです:

  • 連邦契約情報(FCI): 政府との契約に基づき生成・提供される、一般公開を意図しない情報
  • 規制対象非機密情報(CUI): 機密指定はないが管理が必要な政府の機密情報。エンジニアリング図面、技術仕様書、研究データ、ソフトウェアソースコードなどが含まれます

CMMCの要件はサプライチェーン全体に及びます。プライム契約者からCUIが提供されるサブコントラクターも、同等のCMMCレベルを満たす必要があります。

例外: 市販の既製品(COTS)のみを対象とする契約はCMMCの適用外です。

必要なCMMCレベルは?

CMMCには3つの成熟度レベルがあります。ほとんどの事業者はレベル1またはレベル2に該当します。

FCI(連邦契約情報)のみを取り扱う契約が対象です。FAR 52.204-21に定められた15のサイバーセキュリティ実施事項への準拠が必要です。年次自己評価を実施し、その結果をSPRS(Supplier Performance Risk System)に登録・申告することで証明します。第三者評価機関によるアセスメントは不要です。

CUI(規制対象非機密情報)を取り扱う契約が対象です。NIST SP 800-171 Rev. 2の110のセキュリティ管理策すべてへの準拠が必要です。契約内容に応じて、以下の2つの認証経路があります:

  • レベル2(C3PAO): 防衛関連CUIを取り扱うほとんどのDoD契約者に必要。認定を受けたCMMC第三者評価機関(C3PAO)によるアセスメントが必須。認証の有効期間は3年間。加えて、継続的な準拠状況について年次申告も必要です。
  • レベル2(自己評価): 国立公文書館のCUIレジストリの防衛組織インデックスグループに該当しないCUI(税務記録や考古学的データなど)を取り扱う事業者のみ適用可能な限定的な経路。年次自己評価とSPRSへの登録が必要です。

重要: DoDの推計では、レベル2対象事業者の約70〜75%がC3PAOによる第三者アセスメントを必要とします。技術データ、エンジニアリング図面、防衛関連CUIを扱う場合は、C3PAOによる認証を前提に準備を進めてください。

国家安全保障上最も重要なプログラムを支援する事業者が対象です。レベル2の110の管理策に加え、NIST SP 800-172からさらに24の管理策への準拠が必要です。防衛契約管理局(DCMA)のDIBAC(Defense Industrial Base Cybersecurity Assessment Center)によるアセスメントが必須で、C3PAOによるレベル2認証がその前提条件となります。3年ごとのアセスメントが求められます。

必要なレベルは契約書に明記されています。 プライム契約またはサブコントラクト契約の中にあるDFARS条項252.204-7021を確認してください。そこに必要なレベルと評価方式が指定されています。

POA&Mと条件付きステータスについて

最終規則では、アセスメント時点で110の管理策すべてを満たしていないレベル2の事業者も、以下の条件を満たせば条件付きレベル2ステータスを取得できます:

  • 最高得点の80%以上を取得していること
  • すべての重要管理策を完全に実施していること

未達の管理策は**是正計画・マイルストーン(POA&M)**として文書化し、180日以内に是正措置を完了する必要があります。是正後にクローズアウトアセスメントを受けることで、最終的なレベル2ステータスを取得できます。なお、レベル1ではPOA&Mは認められていません。

導入スケジュール

CMMCは4つのフェーズに分けて段階的に導入されます:



 フェーズ1  2025年11月10日-新規の適用対象契約において、レベル1およびレベル2の自己評価が契約交付の条件として必要


フェーズ2  2026年11月10日-適用対象契約においてレベル2のC3PAOアセスメントが必要


フェーズ3  2027年11月10日-既存契約のオプション行使にもレベル2 C3PAO要件が拡大。適用対象契約にレベル3が必要


フェーズ4  2028年11月10日-小額調達閾値を超えるすべての適用対象DoD契約にCMMCが完全適用

フェーズ2の準備は今すぐ始めてください。 C3PAOのアセスメント予約は現在9〜12か月以上先まで埋まっており、空き枠はますます少なくなっています。

スコーピングとは何か、なぜ重要なのか?

CMMCに準拠する前に、まず「何を守るべきか」「その情報はどこにあるか」を明確にする必要があります。このプロセスを**スコーピング(範囲定義)**といい、これがCMMC対応の最初の重要なステップです。

スコーピングとは、組織内のどの要素(人、システム、施設、外部サービス)が機密政府情報(CUIまたはFCI)に関わっているかを特定することです。該当する要素がアセスメント境界を形成し、その範囲内でCMMC管理策の適用が求められます。

多くの組織が見落としがちな重要なポイントがあります:スコーピングはすべてに対してすべての規則を適用することを意味しません。 テスト機器、ネットワークファイアウォール、従業員はそれぞれ役割が異なり、適用される管理策も異なります。

スコーピングを正確に行うことで、コストと労力を大幅に削減できます。逆に不適切な場合、不要な管理策にコストをかけすぎるか、またはアセスメント不合格につながるセキュリティの抜け穴を残すことになります。

資産のカテゴリ分類

CMMCでは、組織内のすべてのシステムが同じように扱われるわけではありません。DoDはレベル2において5つの資産カテゴリを定めています:

CUI資産

CUIを保存、処理、または送信するすべてのシステム。アセスメント範囲の中核となる資産で、CMMCの管理策がすべて適用されます。

例:エンジニアリング図面が保存されたサーバー、設計仕様書にアクセスするワークステーション、CUIを取り扱うファイル転送サービス

セキュリティ保護資産(SPA)

CUIを直接保有しないが、CUIを保護するセキュリティ機能を提供するシステム。CMMCの管理策がすべて適用されます。

例:ファイアウォール、アンチウイルスソリューション、SIEMプラットフォーム、VPN集線装置、多要素認証システム

請負業者リスク管理資産(CRMA)

CUIにアクセスできる可能性はあるが、社内のポリシーと管理策によってそれを防止しているシステム。CMMC固有の管理策は適用されず、自社のセキュリティポリシーで管理します。

例:CUIとは分離されたネットワーク上の従業員ノートPC、CUI送受信が業務上禁止されているメールシステム

特殊資産(SA)

CUIと関わる可能性はあるが、標準的な手段では完全なセキュリティ確保が困難なデバイス。企業全体のセキュリティポリシーで管理し、CMMCの管理策によるアセスメントは行われません。

例:IoT/IIoTデバイス、CNC工作機械、政府支給機器、産業用制御技術(OT)

スコープ外資産(OSA)

CUIから物理的または論理的に完全に分離されており、CUI資産のセキュリティ保護機能も持たないシステム。CMMCの要件は一切適用されません。

例:ゲスト用Wi-Fiネットワーク、CUIを共有しないサプライヤーポータル、来訪者管理システム


お問い合わせ

スコーピングの判断:シンプルなガイド

システム、デバイス、またはサービスを評価する際は、以下の設問を順番に確認してください:

1: CUIを保存・送信・処理するか?

CUI資産。管理策がすべて適用されます。

2: CUI資産のセキュリティ機能を提供するか?

セキュリティ保護資産。管理策がすべて適用されます。

3: CUIから物理的または論理的に分離されているか?

スコープ外資産。管理策の適用なし。

4: IoTデバイス、OTシステム、政府財産、またはテスト機器か?

特殊資産。企業ポリシーで管理。

5: ネットワーク内にあるが、CUIの保有を意図していないか?

請負業者リスク管理資産。自社ポリシーで文書化・管理。

外部パートナーについての重要な注意点: ベンダー、マネージドサービスプロバイダー(MSP)、またはサブコントラクターが、自社のシステム環境に対してセキュリティ機能を提供するか、CUIを受け取る場合、その事業者もスコープ内となります。セキュリティ上の責任を明記した書面による契約が必要です。

実際のスコーピング事例

事例1:フラットネットワーク(難しいケース)

セグメント化されていない単一のネットワークを使用する小規模な防衛サブコントラクターを例に考えます。すべてのデバイスが同一ネットワークを共有しているため、CUIを必要としないデバイスも含め、すべてがスコープに含まれます。会社のファイアウォール、すべての従業員のワークステーション、リモートワーカー、パッチ管理を行うMSP、さらにVPN経由で接続する外部の経理担当者までがアセスメント境界に含まれることになります。その結果、より多くのコストと管理策の適用が必要になります。

教訓: ネットワークのセグメント化がなければ、スコープは急速に拡大します。

事例2:セグメント化されたネットワーク(スマートなケース)

CUIを専用のネットワークエンクレーブ(区画)に隔離している防衛エンジニアリング企業は、まったく異なる結果になります。コーポレートLAN、ゲストWi-Fi、汎用サーバーはスコープ外となります。スコープに含まれるのは、CUIエンクレーブ、それを保護するセキュリティツール、工場フロアのCNC工作機械、そしてCUIを受け取る外部委託先だけです。

教訓: ネットワークのセグメント化は、CMMCアセスメントのスコープとコストを削減するための最も効果的な手段の一つです。

まず何をすべきか?

CMMCへの準拠は複雑に感じるかもしれませんが、明確なステップに沿って進めることができます:



 必要なCMMCレベルの確認 — 契約書のDFARS条項252.204-7021を確認する


アセスメント範囲の定義 — 人、システム、データフロー、外部パートナーを棚卸しする


システムセキュリティ計画(SSP)の作成 — 自社環境の構成と保護策を文書化する


必要な管理策の実施 — ポリシー、手続き、技術的セーフガードを整備する


SPRSへのスコア登録 — 自己評価・C3PAOアセスメントいずれも、契約交付の条件として


必要な場合はC3PAOへの依頼 — 早めに動くこと。リードタイムは9〜12か月以上かかります


継続的なプログラム維持 — 全レベルで年次申告が必要。レベル2・3では3年ごとに再アセスメントが必要

ご相談はFFI Systemsへ

FFI Systemsは、防衛関連事業者のCMMC対応を全工程でサポートします。環境のスコーピングから第三者アセスメントの準備まで、CMMCが自社にとって何を意味するのかを把握し始めた段階でも、すでに是正措置の途中にある段階でも、私たちがお力になります。

お問い合わせ