Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > CMMCコンプライアンス > CMMC 2.0ガバナンス危機:防衛請負業者の62%が認証に不可欠な管理策を未整備
DoDサプライヤーの半数以上がガバナンス管理で不合格

CMMC 2.0ガバナンス危機:防衛請負業者の62%が認証に不可欠な管理策を未整備

by Danielle Barbour updated 9月 8, 2025 CMMCコンプライアンス
Reading Time: 9 minutes

サイバーセキュリティ成熟度モデル認証(CMMC)2.0レベル2認証を目指す防衛請負業者は、厳しい現実に直面しています。62%が認証成功と相関する包括的なガバナンス管理を持たずに運用しているのです。この事実は、Kiteworksが2025年に実施した、CMMC 2.0取得を積極的に進めている104組織を対象とした分析から明らかになりました。本調査は、世界中の461組織のデータセキュリティおよびコンプライアンス実践を調査した広範なサーベイの一部です。レポート:国防総省サプライヤーの半数以上がガバナンス管理で不合格。

ガバナンスの欠如は、防衛サプライチェーン全体に連鎖的な脆弱性を生み出します。効果測定指標を追跡している組織は、セキュリティ成果が大幅に良好であり、測定を行っていない組織の25%が低暗号化カテゴリーに該当するのに対し、測定を実施している組織では19%にとどまっています。機密データを扱う請負業者にとって、これらのギャップは重大な運用リスクおよびコンプライアンスリスクを意味します。

CMMC 2.0コンプライアンス DoD請負業者向けロードマップ

今すぐ読む

CMMC 2.0への準備状況に関するデータの示唆

CMMC 2.0レベル2認証を目指す104の防衛請負業者の中で、防衛産業基盤のあらゆる組織が注目すべき傾向が浮かび上がっています。2024年10月から2025年1月にかけて収集された調査データは、セキュリティ投資とガバナンス成熟度の間に根本的な断絶があることを示しています。

CMMCを目指す組織のうち、包括的なガバナンス管理および追跡システムを導入しているのはわずか38%で、調査対象全業界の40%よりもやや低い水準です。この2ポイントの差は、他のガバナンス上の欠陥と組み合わさることで、認証成功に対する複合的なリスクとなります。特に注目すべきは、効果測定の実施有無によるギャップです。何らかの効果測定を実施している組織は、明らかに優れた成果を挙げています。CMMC取得組織のうち指標を追跡している組織では、低暗号化カテゴリー(カバレッジ50%以下)に該当する割合が19%であるのに対し、測定していない組織では25%に上ります。また、CMMC組織の95%が何らかの指標を追跡しており、全業界の93%を上回っています。

さらに懸念されるのは、CMMC組織のうちサプライヤー契約にセキュリティ要件を組み込んでいるのはわずか22%で、調査対象全体の27%よりも5ポイント低いことです。このギャップは、サプライチェーンセキュリティの根本的な弱点を示しており、とりわけCMMCが防衛産業基盤全体にデータ保護のフローダウン要件を課していることを考えると、極めて重要です。

主なポイント

  1. 中堅企業はガバナンス重視戦略でCMMC暗号化成功をリード

    中堅企業(従業員5,000~9,999人)は、CMMC暗号化成功率が59%と最も高い水準を達成しています。ポリシーの更新やコンプライアンス予算の優先配分など、ガバナンス重視のアプローチが、純粋な技術対策を重視する小規模企業(52%)や大企業(38%)を上回る成果を生み出しています。これは、CMMCの最適な成果は組織規模やリソースよりも、バランスの取れたガバナンス投資から生まれることを示唆しています。

  2. 測定の徹底がセキュリティ成果を大きく改善

    効果測定の徹底により、セキュリティ成果が6ポイント向上します。効果測定指標を追跡している組織では、低暗号化率が19%にとどまるのに対し、測定システムを持たない組織では25%に上ります。このパフォーマンスギャップは、防衛サプライチェーン全体で数千にも及ぶ潜在的な脆弱性を意味し、認証準備に直接影響します。

  3. サプライヤー契約のセキュリティ要件はCMMCガバナンスの重大なギャップ

    CMMC組織でサプライヤーとの契約にセキュリティ要件を明記しているのはわずか22%です。これは業界平均の27%より5ポイント低く、最も重要かつ対処可能なガバナンスギャップを示しています。契約上の枠組みがなければ、サプライヤー監査を実施している48%の組織も、サプライチェーン全体でのコンプライアンスを担保できません。

  4. 北米企業がCMMC取得を主導、優位性とリスクの両面を生む

    CMMC取得を目指す組織の62%が北米に集中しており、一般調査の32%と比べて約2倍です。これは米国防衛産業基盤の強い圧力を反映すると同時に、海外サプライヤーが自らの義務を過小評価している可能性を示唆します。この地理的集中は、国内請負業者に競争上の優位性と同時にシステムリスクももたらします。

  5. 内部の測定徹底が外部コンサルタント活用の前提条件

    内部の測定徹底がなければ、外部コンサルタントを活用しても明確な効果は得られません。パートナーを利用する組織と独自に進める組織の双方が測定システムを維持している場合、成果はほぼ同等(トップレベル暗号化率45~46%)です。ガバナンス枠組みがなければ専門知識も成果向上につながらず、パートナー活用の成功には内部の規律が不可欠です。

地理的集中と規模のダイナミクス

地理的分布を見ると、米国防衛産業基盤内での強い圧力が浮き彫りになっています。CMMC回答者の62%が北米で事業を展開しており、一般調査の32%と比べて顕著です。アジア太平洋地域はCMMC回答者の20%、欧州は11%、中東・アフリカは7%を占めています。この集中は、海外サプライヤーがCMMC義務を過小評価しているか、準備が遅れている可能性を示唆します。

組織規模はセキュリティ成果と強く相関しますが、その傾向は必ずしも予想通りではありません。中堅企業(従業員5,000~9,999人)は最も高い成果を示し、59%がトップレベルの暗号化カバレッジ(76~100%)を達成しています。これは5,000人未満の小規模組織(52%)や、20,000人超の大企業(38%)を大きく上回ります。このパラドックスは、成功がリソースや規模ではなく、ガバナンスの徹底から生まれることを示しています。

中堅企業のアプローチは他の規模と大きく異なります。36%がポリシーやデータ保護契約の更新(コンプライアンス予算増加と同率)を優先し、小規模組織は新たな技術対策(37%)を重視、大企業も同様に技術ソリューション(38%)に重点を置いています。中堅企業のガバナンス重視の姿勢が、優れた成果に直結しています。

規制の進化とベンダーコンプライアンスが最大の課題

調査回答者は重み付けスコアリングシステムを用いて課題を順位付けし、2つの懸念が他を大きく上回ることが明らかになりました。「進化する規制への対応」は78ポイントを獲得し、23%が最重要課題、38%が上位2つの課題に挙げています。CMMC組織はこの課題を一般より6ポイント高く優先しており、防衛分野のコンプライアンス要件がいかに流動的かを反映しています。

続いて「ベンダーコンプライアンスとリスク」が73ポイントで、18%が最重要課題、38%が上位2つに挙げています。特にCMMC組織の39%がベンダーコンプライアンスを上位3つの課題に挙げており、全業界の32%を7ポイント上回っています。これは防衛契約におけるサプライチェーン特有のプレッシャーを浮き彫りにしています。

これらの規制およびサプライチェーン課題は、他の懸念を大きく上回っています。「コンプライアンスとデータアクセスのバランス」は59ポイント、「従業員教育・意識向上」は42ポイントです。予算制約はわずか5ポイントにとどまり、リソースは存在するものの、それを効果的に活用するガバナンス枠組みが不足していることを示唆しています。この傾向は組織規模を問わず一貫しており、ベンダーコンプライアンスが最も持続的な運用課題となっています。

ベンダーリスク管理のギャップ

ベンダーコンプライアンスの課題は、すべての組織規模で顕著であり、CMMC成功に不可欠な役割を果たすため、より深い検討が必要です。CMMC組織における現在のベンダーリスク管理は、成熟度にばらつきがあります。48%が定期的なサプライヤー監査を実施(全体44%)、38%がサードパーティリスク管理ツールを利用(全体37%)していますが、依然として重要なギャップが残っています。

CMMC組織で正式なサードパーティリスク評価を実施しているのは28%で、業界平均の25%をわずかに上回る程度です。特に懸念されるのは、契約上のセキュリティ要件を組み込んでいるのがわずか22%で、業界標準の27%より5ポイント低い点です。この契約上のギャップは、CMMCがサプライチェーン全体にデータ保護のフローダウン要件を課していることを踏まえると、極めて深刻です。契約義務がなければ、組織はサプライヤーが必要なセキュリティ管理を維持し、防衛機密情報を適切に取り扱っているかを担保できません。

この影響は防衛サプライチェーン全体に波及します。数百、数千のサプライヤーを管理する組織では、標準を強制する契約枠組みがなければ、複雑さが指数関数的に増大します。ベンダーコンプライアンスを主要課題に挙げる39%の組織は、自身のリスク全体像を過小評価している可能性が高く、多くがサプライヤーエコシステム全体を把握できていません。

戦略的実装パターンが成功要因を示す

従業員5,000人未満の小規模・中規模組織は、主に技術的ソリューションに注力しており、37%が新たな技術対策を優先しています。次いで、ポリシーやデータ保護契約の更新(33%)、サードパーティリスク管理の強化(28%)が続きます。課題も全体傾向と一致し、ベンダーコンプライアンスが41%、アクセスと要件のバランスが39%、進化する規制が37%を占めます。トップレベル暗号化を達成した割合は52%で、リソース制約がある中で中程度の成功を収めています。

従業員5,000~9,999人の中堅企業は、アプローチと成果が大きく異なります。36%がポリシー更新とコンプライアンス予算増加を同率で優先し、32%がサードパーティリスク管理を強化しています。課題もより深刻で、46%がベンダーコンプライアンス、41%が重複する規制を挙げています。しかし、このガバナンス重視のアプローチにより、トップレベル暗号化カバレッジを達成した割合は59%と最高です。

従業員20,000人超の大企業は、豊富なリソースにもかかわらず複雑性の課題に直面しています。新たな技術対策が38%と最も多く、次いで予算増加(33%)、ポリシー更新(24%)となっています。ベンダーコンプライアンスは38%で依然として課題であり、規制対象データの特定や進化する規制への対応もそれぞれ33%が懸念しています。リソースが豊富であっても、トップレベル暗号化を達成した割合はわずか38%で、全セグメント中最低です。このパラドックスは、組織規模だけではなく、ガバナンスの徹底がなければ脆弱性が増すことを裏付けています。

パートナーのパラドックスと測定の重要性

調査で最も直感に反する発見の一つは、外部コンサルタントに関するものです。パートナーを活用する組織と独自に認証取得を目指す組織の間で、測定の徹底があれば明確な優位性は見られません。測定システムを持つ組織では、パートナー活用・非活用のいずれも同等の成果(トップレベル暗号化率45~46%、低暗号化率19~20%)を挙げています。一方、測定もパートナー活用も行わない組織は、低暗号化カテゴリーに該当する割合が30%と著しく悪化します。

この傾向は、成功するCMMCプログラムがパートナーをガバナンス成熟の代替ではなく、内部規律の増幅装置として活用していることを示唆します。専門知識があっても測定がなければ改善効果は限定的であり、外部専門家がいなくても測定を徹底すれば成果は向上します。コンサルタント活用を検討する防衛請負業者にとって、まず測定枠組みを確立し、その上で外部専門知識を活用して進捗を加速させることが重要です。

CMMC成功のためのガバナンス基盤構築

調査結果に基づき、防衛請負業者は最も重要なギャップを解消するために、5つの相互に関連する優先事項に注力すべきです。まず最も急務なのは、契約上のセキュリティギャップの解消です。契約にセキュリティ要件を組み込んでいる割合が22%と業界平均より5ポイント低く、最も対処しやすい弱点です。すべてのサプライヤー関係に明確なデータ保護要件、フローダウン義務、監査権、侵害通知プロトコルを明記する必要があります。

次に、包括的な測定システムの導入が成功の鍵となります。測定を実施している組織はセキュリティ成果が6ポイント向上しており、各管理策ファミリーごとのKPI設定、自動化による指標収集、定期的なガバナンスレビュー、スナップショットではなくトレンド追跡が求められます。既に一部指標を追跡している組織は、カバレッジ拡大とレビュー手順の正式化を進めるべきです。

三つ目は、ベンダーリスク管理を基本的な監査にとどめず、体系的なリスク評価、技術プラットフォームの導入、継続的なモニタリング、定期的な再評価サイクルまで拡張することです。中堅企業の46%がベンダーコンプライアンスに苦慮していることからも、成功しているセグメントでもこの分野での課題が続いていることが分かります。

四つ目は、組織規模や能力に合わせて戦略を調整することです。中堅企業がガバナンス重視で59%のトップレベル暗号化を達成している事例は、再現可能なモデルとなります。ガバナンス投資と技術対策のバランスを取り、技術導入と並行してポリシーやプロセス開発を優先し、ガバナンス問題を技術だけで解決しようとする大企業の傾向を避けるべきです。

最後に、外部パートナー活用時は、彼らをガバナンス推進役として位置づけ、測定枠組みの確立、知識移転の要求、ガバナンスプロセスの内部所有、成果向上によるパートナー効果の測定を徹底してください。

防衛請負業者の今後の道筋

この示唆は、個々の請負業者の成功にとどまらず、防衛産業基盤全体に及びます。CMMC取得を目指す組織の62%が包括的なガバナンス管理を欠いている現状では、防衛サプライチェーン全体にシステミックな脆弱性が残存します。進化する規制が78ポイントの課題となっていることからも、脅威の進化や要件拡大に伴い今後さらに深刻化するでしょう。ベンダーコンプライアンスの課題(73ポイント)はサプライチェーン階層全体に波及し、複合的なリスクを生み出します。ガバナンスが成熟した組織は持続的な競争優位を獲得し、認証に失敗した組織は市場統合圧力に直面します。

成功パターンはあらゆる規模・業種で見られます。中堅企業がガバナンス重視で59%のトップレベル暗号化を達成している事例は、適切な優先順位付けがあれば十分実現可能であることを示しています。リソースが限られた小規模組織でも、測定の徹底や契約上の厳格さを重視すれば、技術投資だけに頼るよりも成功できます。明るい材料として、CMMC組織は既に効果測定(95%対93%)、サプライヤー監査(48%対44%)、リスク評価(28%対25%)で業界平均を上回っています。足りないのは、これらの活動を一貫したセキュリティ成果に結びつける契約上の規律と包括的なガバナンスです。

結論:CMMC成功の基盤としてのガバナンス

データが示すメッセージは明確です。CMMC 2.0の成功は、技術的な高度さや組織リソースよりも、ガバナンスの成熟度に大きく依存しています。防衛請負業者の約3分の2が包括的なガバナンス管理なしで運用している現状では、認証取得には漸進的な改善ではなく、根本的なアプローチの転換が必要です。

一貫した測定、契約上の要件明記、適切な規模に応じたアプローチを実践する組織は、明らかに優れた成果を挙げています。測定実施と非実施組織の間で低暗号化率に6ポイントの差が生じており、防衛産業基盤全体で数千もの潜在的な脆弱性を意味します。25%の低暗号化率に苦しむ組織がある一方で、ガバナンスが整った組織は19%に抑えており、これはサプライチェーン全体で見れば大きな違いです。

防衛請負業者にとって、ガバナンスは単なる官僚主義ではなく、他のすべての投資を効果的にする基盤です。今この基盤を構築する組織は、認証取得だけでなく、セキュリティ意識が高まる防衛市場で持続的な競争優位を確立できます。104のCMMC取得組織の実証分析によりパターンは証明され、461の全回答者との比較分析でギャップも明確になりました。残る課題は、貴社が成熟したガバナンスを持つ成功組織38%に加わるのか、それとも技術対策だけで十分と考える62%にとどまるのかという点です。

CMMC 2.0レベル2要件が進展し、防衛契約がますます認証取得を条件とする中で、適切なガバナンス基盤を構築する猶予は狭まり続けています。データは「何が有効か」「何が有効でないか」「なぜか」を示しています。残りは、これらの知見を行動に移す組織のコミットメント次第です。

本分析はKiteworksの2025年データセキュリティ&コンプライアンスリスク年次調査レポートに基づいています。CMMC 2.0レベル2認証を積極的に目指す104組織を中心に、2025年4月に実施された全461組織の調査の一部です。

よくある質問

CMMC 2.0レベル2認証を目指す104組織を対象としたKiteworksの2025年調査では、62%が包括的なガバナンス管理を欠いていることが判明しました。ガバナンス管理および追跡システムを導入しているのはわずか38%で、これは全業界の40%よりやや低い水準です。ガバナンスの欠如はセキュリティ成果の悪化と直結しており、測定を行っていない組織では低暗号化率が25%に上る一方、効果測定指標を追跡している組織では19%にとどまっています。

従業員5,000~9,999人の中堅企業が最も高い成功率を示しており、59%がトップレベルの暗号化カバレッジ(76~100%)を達成しています。これは5,000人未満の小規模組織(52%)や、20,000人超の大企業(38%)を大きく上回ります。最大の違いはアプローチにあり、中堅企業はポリシー更新やガバナンス(36%)を優先し、他の規模のように技術対策だけに注力していません。

調査で用いられた重み付けスコアリングシステムによると、「進化する規制への対応」が78ポイントで1位、続いて「ベンダーコンプライアンスとリスク」が73ポイントで2位となっています。特にCMMC組織の39%がベンダーコンプライアンスを上位3つの課題に挙げており、全業界の32%を上回っています。これは防衛契約におけるサプライチェーン特有のプレッシャーを示しています。予算制約はわずか5ポイントで、リソースは存在するもののガバナンス枠組みが不足していることが伺えます。

調査データは直感に反する結果を示しています。外部コンサルタントを活用する組織と独自に認証取得を進める組織の間で、測定の徹底があれば明確な優位性は見られません。測定システムを持つ組織では、パートナー活用・非活用のいずれもトップレベル暗号化率が45~46%で同等です。重要なのは測定の徹底であり、測定もパートナー活用も行わない組織は低暗号化率が30%と最も悪化します。

最も対処しやすいガバナンスの弱点は、契約上のセキュリティ要件です。CMMC組織でこれをサプライヤー契約に組み込んでいるのはわずか22%で、全業界の27%より5ポイント低い水準です。このギャップはCMMCの必須フローダウン要件を踏まえると特に深刻です。48%が定期的なサプライヤー監査を実施しているものの、契約枠組みがなければ、サプライヤーが必要なセキュリティ管理を維持し、防衛機密情報を適切に取り扱っているかを担保できません。

追加リソース

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks