米国 国防総省 サイバーセキュリティ成熟度モデル認証（CMMC）自己アセスメントが本日より開始 (2025.11.10)

こんにちは、丸山満彦です。

米国の国防総省（通称戦争省 (Department of War) ）がサイバーセキュリティ成熟度モデル認証（CMMC）のフェーズ１である自己アセスメント実施（Level1、Level2対象）が本日（2025.11.10）から開始されますね...

フェーズ２の認定第三者監査組織（C3PAO）による認証の開始は1年後の2026.11.10からとなります。そして、フェーズ３の政府の国防産業基盤サイバーセキュリティ評価センター（DIBCAC）によるLevel3認証は2年後の2027.11.10からとなり、最終のフェーズ４の完全実施が2028.11.10ということになっていますね...

2010年代の第二期オバマ政権くらいから中国への脅威論が高まります。2015年にほぼ全てのDoD契約にNIST SP800-171の要件の義務付けを行う（自己評価）。トランプ政権となった2018年にDoDのサプライチェーン・セキュリティ強化の必要性が高まり自己評価だけではなく、第三者認証が必要という議論に傾いて行ったように思います。そして、2019年にCMMC1.0のドラフトが公開され、2020年にCMMC1.0の正式版がリリースされました。（この時はLevel1-5の5段階）

2020年にバイデン政権が発足するとCMMC1.0は制度が複雑な上、中小企業も含めて全体を考えると実装が困難で評価コストもかかりすぎるということから、2021年にCMMC1.0の暫定規則の発効が停止され、プログラムの再検討が始まります。2021年11月にCMMC2.0が発表される（Levelが5段階から3段階に簡素化）。

この結果、Level1は15項目の基礎的な事項（サイバーハイジーン）の自己評価、Level2はSP800-171の準拠性に対する民間第三者機関（C3PAO）による第三者評価、Level3はSP800-171+172の一部の準拠性に対する政府評価センター（DIBCAC）による評価という現在の形に落ち着いていますね...

で今日からはLevel1が開始...

 

● U.S. Department of War - Chief Information Office - CMMC

制度説明...

・about

 

 

リソース

・Resources

 

国防総省による規則...とても長いです...

● Federal Register

・2024.10.15 Cybersecurity Maturity Model Certification (CMMC) Program (32 CFR Part 170 [Docket ID: DoD-2023-OS-0063] RIN 0790-AL49)

過去の私のブログに書いているのでそちらも参考に...

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

国防総省の委託先の管理の話...

・2024.11.24 米国 国防総省 サイバーセキュリティ成熟度モデル認証プログラムの最終規則 (2024.10.15)

 

・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.10 米国 CMMC Ver.2.0

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証（CMMC）プログラムの戦略的方向性 - CMMC2.0

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

 

SP800-53, 171, 172関係...

・2024.11.17 米国 NIST SP 800-172 Rev.3（初公開ドラフト） 管理対象非機密情報保護のための拡張セキュリティ要件

・2024.05.20 米国 NIST SP 800-171 改訂 3 版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護とNIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価 (2024.05.14)

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3（最終ドラフト） 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版（初期公開ドラフト） 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3（ドラフト） 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第４版の更新分析、ISO／IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報