Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > Test 2 – ルクセンブルクの医療機関が知っておくべき越境PHIのポイント

Test 2 – ルクセンブルクの医療機関が知っておくべき越境PHIのポイント

by Bob Ertl updated 4月 29, 2026 CMMCコンプライアンス
Reading Time: 12 minutes

サイバーセキュリティ成熟度モデル認証(CMMC)フレームワークは非常に複雑なため、政府請負業者や下請け業者がすべての要件を満たしていることを確認するには、包括的なCMMCコンプライアンスチェックリストが不可欠です。

CMMC認証プロセスは困難ですが、当社のCMMC 2.0コンプライアンスロードマップがサポートします。

本ブログでは、CMMC 2.0フレームワークにおけるCMMCコンプライアンス要件を解説し、包括的なCMMCコンプライアンスチェックリストを提供するとともに、国防総省(DoD)請負業者がCMMCコンプライアンスを達成するための実践的な知見を紹介します。

CMMCコンプライアンスとは

CMMCは、防衛産業基盤(Defense Industrial Base)に従事する製造請負業者を規制するサイバーセキュリティフレームワークであり、DoDサプライチェーンパートナーの広範なリストに適用されます。制御されていない分類情報(CUI)や連邦契約情報(FCI)を処理、送信、共有、または受信するすべての請負業者や下請け業者は、CMMCへの準拠を証明する必要があります。

CMMCフレームワークの目的は、さまざまな要件や規格、自己評価や証明の複数のモデルを、あらゆる企業が準拠できる信頼性が高く厳格かつ堅牢なセキュリティ実践へと統合・簡素化することです。

CMMCを、国際武器取引規則(ITAR)、連邦情報セキュリティマネジメント法(FISMA)、連邦リスク承認管理プログラム(FedRAMP)など他の連邦政府規制と差別化する要素には、以下が含まれます:

  • 制御されていない分類情報(CUI)および連邦契約情報(FCI):CMMCは、CUIの保存、処理、送信、破棄を明確にカバーします。CUIは、機密指定されていないものの、国家安全保障を維持するために特別な保護が必要な独自のデータ形態です。CUIの例としては、政府契約に関連する財務情報、政府職員の個人識別情報や保護対象保健情報(PII/PHI)、防衛システムに関連する機微な技術データなどが挙げられます。

    FCIは、請負業者と政府機関間の契約関係に関する情報の、より限定的な情報形態です。CMMCは両方のケースに対応できるよう設計されています。

  • NIST規格:CMMCは、他の連邦サイバーセキュリティフレームワークと同様に、米国国立標準技術研究所(NIST)が策定・維持する規格を基にしています。特に、CMMCはNIST 800-171「非連邦組織およびシステムにおける制御されていない分類情報の保護」に依拠しています。

    さらに、CMMCコンプライアンスのレベル3では、NIST SP 800-172「制御されていない分類情報の保護のための強化されたセキュリティ要件:NIST特別出版物800-171の補足」からも取り入れられています。

  • 成熟度レベル:請負業者と政府機関が業務上の関係を結ぶために必要なセキュリティ要件を一致させるために、CMMCはNIST SP 800-171(および場合によってはSP 800-172)の管理策の実施状況に基づき、コンプライアンスを3つの成熟度レベルに分けています。
  • 第三者評価:CMMCは、FedRAMPと同様に、こちらにリストされているような認定第三者評価機関(C3PAO)によって実施される第三者評価に依拠しています。

主なポイント

  1. 簡素化された成熟度レベル

    CMMC 2.0フレームワークでは、成熟度レベルが「基礎(レベル1)」「高度(レベル2)」「エキスパート(レベル3)」の3つのみとなっています。この削減により、防衛請負業者や下請け業者にとって要件構造がよりシンプルになりました。

  2. NIST規格との整合性

    CMMC 2.0は、既存のNIST規格との整合性をより重視しています。具体的には、レベル2のコンプライアンスはNIST SP 800-171と一致し、レベル3はNIST SP 800-172の要素を含み、確立されたサイバーセキュリティフレームワークとの一貫性向上を目指しています。

  3. 自己評価と第三者評価

    連邦契約情報(FCI)を取り扱うレベル1の防衛請負業者は、年次自己評価を実施でき、第三者認証は不要です。ただし、レベル2では、取り扱う制御されていない分類情報(CUI)の種類に応じて、自己評価と第三者評価の両方が求められます。

  4. コンプライアンスチェックリスト

    希望する成熟度レベルの評価、自己評価の実施、既存フレームワークの活用、POA&MとSSPの作成、C3PAOの選定、タイムラインと予算の設定が必要です。

CMMCコンプライアンスが必要となるタイミング

CMMC 2.0の施行予定日は2024年12月16日で、これは公示からちょうど60日後となります。

CMMCコンプライアンスの達成要件は、最終規則の公表後に始まった国防総省(DoD)の段階的な導入スケジュールに基づいており、32 CFR要件および48 CFR CMMC提案規則に影響を与えます。CFR CMMC規則がプログラムの法的基盤を確立したものの、CMMC要件の契約への実際の組み込みは数年かけて段階的に進行しています。

DoDは、プログラムの優先順位や取り扱う情報の機微性に基づき、情報提供依頼(RFI)や提案依頼(RFP)にCMMC条項を段階的に盛り込んでいます。請負業者は、新たな募集案件を注意深く監視し、特定のCMMCレベルが入札要件となるタイミングを見極める必要があります。

レベル1の場合、契約受注時に年次自己評価が必要です。

重要なCUIを含むレベル2の場合、契約受注前にC3PAOによる3年ごとの第三者評価が必要ですが、その他のレベル2契約では年次自己評価が認められる場合もあります。

レベル3では、政府主導による3年ごとの評価が必要です。既存契約には原則として自動的にCMMCコンプライアンスが求められることはありませんが、FCIやCUIを含む新規DoD契約には段階的な導入に伴い、最終的にこれらの要件が盛り込まれる予定です。

特に第三者認証など評価準備に時間を要するため、該当契約を見込む組織は早期からCMMCコンプライアンスへの取り組みを開始すべきです。

確実なC3PAO評価を実現したい方は、ぜひ当社のCMMCレベル2評価ガイドをご覧ください。

CMMC認証が必要な組織

DoDに製品やサービスを提供する場合、CMMC認証は事実上不可避です。以下の組織タイプは、レベル1・2・3のいずれであってもCMMCコンプライアンスを証明し、CMMC認証を取得する必要があります:

  • すべてのDoD請負業者および下請け業者:規模を問わず、DoD契約の一環として連邦契約情報(FCI)や制御されていない分類情報(CUI)を取り扱うすべての組織は、必要なCMMCコンプライアンスレベルを達成しなければなりません。これは防衛産業基盤(DIB)のサプライチェーン全体に適用されます。
  • 元請業者:DoDと直接契約する組織は、自社のコンプライアンスだけでなく、下請け業者のコンプライアンス確認も責任を持ちます。
  • 下請け業者(全階層):元請業者や他の下請け業者のために働く企業も、取り扱う情報(FCIまたはCUI)に基づき、流下されたCMMC要件を満たす必要があります。たとえば、CMMCレベル2が必要な契約に関連するCUIを取り扱う下請け業者は、レベル2のコンプライアンスまたは認証を取得しなければなりません。
  • サプライヤーおよびベンダー:市販のパッケージ製品(COTS)を提供する組織であっても、契約過程でFCIを取り扱う場合はCMMCレベル1が必要になることがあります。CUIを取り扱う場合は、より高いレベルが適用されます。
    ビジネスタイプ例:製造業者、エンジニアリング会社、ソフトウェア開発者、ITサービスプロバイダー、研究機関、コンサルタント、物流会社、その他DoDサプライチェーンで機微な契約情報を扱うすべての事業体が含まれます。
  • 要件の違い:必要なCMMCレベル(レベル1・2・3)は、取り扱う情報の種類と機微性に直接依存します。レベル1はFCIの保護(基本的なサイバー衛生と自己評価が必要)に焦点を当て、レベル2・3はCUIの保護に重点を置き、それぞれNIST SP 800-171およびNIST SP 800-172に沿った、より強固なセキュリティ実践が求められ、しばしば第三者または政府による評価がCMMC認証要件となります。

CMMC認証とCMMCコンプライアンスの違いを理解しましょう。

CMMC 2.0の要件

CMMC 1.0からCMMC 2.0への移行は、フレームワークおよびCMMC要件の簡素化と洗練を反映しており、防衛産業基盤(DIB)の防衛請負業者にとってCMMCコンプライアンスをより効率的かつ実践的にすることを目的としています。CMMC要件の主な変更点は以下の通りです:

1. CMMC成熟度レベルの削減

CMMC 1.0では、基本的なサイバー衛生(レベル1)から高度/進歩的(レベル5)まで5段階のレベルがありました。対してCMMC 2.0では、請負業者は「レベル1(基礎)」「レベル2(高度)」「レベル3(エキスパート)」の3つの成熟度レベルのいずれかを満たす必要があります。

2. NIST規格との整合性

CMMC 2.0は、認証要件を既存のNIST規格(レベル2はNIST SP 800-171、レベル3はNIST SP 800-172)とより強く整合させています。この整合性により、複雑さを軽減し、確立されたフレームワークとの一貫性を高めることを目指しています。

3. 自己評価

CMMC 2.0の下では、連邦契約情報(FCI)を取り扱う企業(レベル1)は、認定第三者評価機関(C3PAO)による第三者認証を必要とせず、年次自己評価のみが求められます。注:CMMCレベル2のコンプライアンスは、取り扱う情報の種類によって自己評価と第三者評価の組み合わせが必要です。

4. 一部の実践・プロセスの廃止

CMMC 2.0フレームワークでは、CMMC 1.0の各レベルに含まれていた成熟度プロセスがなくなり、サイバーセキュリティ実践に特化することでCMMC要件が簡素化されています。

最終的に、CMMC 1.0からCMMC 2.0への移行は、防衛請負業者向けサイバーセキュリティ要件のより簡素化され、整合性の取れたアプローチを反映しています。

レベルの削減や簡素化があったとしても、これらの要件を満たすことの重要性は変わりません。CMMCコンプライアンスは、既存契約の維持や新規DoD契約の獲得に不可欠であるだけでなく、機微な情報の保護や防衛サプライチェーンの信頼性・健全性の維持にも極めて重要です。

CMMC 1.0とCMMC 2.0の違い:主なポイント

CMMC 2.0は、初期のCMMC 1.0フレームワークから大きく進化しており、要件の簡素化、コスト削減、既存規格との整合性向上を目的としています。これらの違いを理解することは、効果的なCMMCコンプライアンス計画に不可欠です。主な違いは以下の通りです:

  • 成熟度レベル:CMMC 1.0は5段階の成熟度レベルでしたが、CMMC 2.0では「レベル1(基礎)」「レベル2(高度)」「レベル3(エキスパート)」の3段階に簡素化されました。この簡素化により、主要なサイバーセキュリティ規格への取り組みに集中できます。
  • NIST規格との整合性:CMMC 1.0ではNIST規格以外にも独自のCMMC実践や成熟度プロセスが含まれていましたが、CMMC 2.0ではレベル1はFAR 52.204-21の基本的な保護要件、レベル2はNIST SP 800-171の110項目すべて、レベル3はNIST SP 800-171に加えNIST SP 800-172の一部管理策と直接整合します。これによりCMMC独自の要件が排除され、確立されたサイバーセキュリティフレームワークが活用されます。
  • 評価要件:CMMC 1.0ではレベル3~5に第三者評価が必須でしたが、CMMC 2.0では大きく変更され、レベル1は年次自己評価、レベル2は重要なCUIを含む契約でC3PAOによる3年ごとの第三者評価が必要ですが、情報の機微性によっては一部レベル2契約で年次自己評価が認められます。レベル3はDIBCACによる3年ごとの政府主導評価が必要です。
  • 行動計画とマイルストーン(POA&M):CMMC 1.0では評価時点で全要件の完全準拠が求められましたが、CMMC 2.0では特定要件に限り厳格な条件下でPOA&Mの限定的な利用が認められています(例:180日以内の解消、最重要要件には適用不可、最低評価スコア要件など)。一定の柔軟性はあるものの、堅牢なCMMCコンプライアンスの必要性は変わりません。
  • コストへの影響:レベル数の削減、CMMC独自要件の廃止、レベル1および一部レベル2での自己評価の許容により、CMMC 2.0は特に中小企業のコンプライアンス負担とコスト削減を目指しています。
  • タイムラインの変更:CMMC 2.0の導入は、数年かけてDoD契約に段階的に統合されるフェーズド・ロールアウト方式となっており、CMMC 1.0の初期計画よりも緩やかな展開となっています。
  • コンプライアンス戦略への影響:CMMC 1.0に向けて準備を進めていた組織は、CMMC 2.0の構造下で目標レベルを再評価する必要があります。NIST SP 800-171要件の達成に向けた取り組みは、CMMC 2.0レベル2でも非常に重要です。今後はNIST規格とのギャップ解消、システムセキュリティ計画(SSP)の準備、適切な評価方法(自己評価またはC3PAO)の選定に注力すべきです。

CMMC 2.0が契約で必要となる時期

国防総省(DoD)契約におけるCMMC 2.0要件の導入は、最終的なCMMCプログラム規則が発効(タイトル32 CFRに明記)し、対応する調達規則が確定(タイトル48 CFRのDFARSに影響)した後に始まった、構造化された段階的実施アプローチで進行しています。

具体的な日程はこれらの規則の最終化・施行時期(2025年初頭が想定)に依存しますが、DoDは複数年にわたる段階的な展開戦略を示しています。つまり、CMMC 2.0要件はすべての契約に一斉に適用されるのではなく、契約の戦略的重要性や取り扱う情報の機微性(FCIまたはCUI)に応じて、新規募集案件(RFI、RFP)から徐々にCMMC条項が導入されていきます。まずは一部の契約から始まり、最終的には該当するすべてのDoD契約に拡大される見込みです。

この間、CMMC要件が契約に明記されるまでの暫定期間中も、CUIを取り扱う請負業者は既存のDFARS 252.204-7012条項の要件(NIST SP 800-171の実施とサプライヤーパフォーマンスリスクシステム(SPRS)への評価スコア報告)を遵守しなければなりません。

CMMC 2.0については、CMMC 1.0のような大規模なパイロットプログラムは発表されていませんが、CMMC条項が含まれる契約は、受注日(または指定日)までにコンプライアンスが必要と考えるべきです。

重要なのは、特にレベル2・3で評価が必要となるCMMCコンプライアンスの達成には多大な時間とリソースがかかるという点です。請負業者は、該当するCMMC 2.0要件(NIST SP 800-171/172)への自社の対応状況を評価し、システムセキュリティ計画(SSP)を策定し、必要な評価の計画を立てるなど、要件が募集案件に現れるのを待たずに、今から積極的に準備を進めるべきです。

成熟度レベル別CMMC要件

防衛請負業者は、CMMCコンプライアンスおよび認証プロセスを開始する前に、各CMMC成熟度レベルの具体的な要件(CMMC認証とCMMCコンプライアンスの違いも含む)を十分に理解することが極めて重要です。CMMC 2.0フレームワークの3つの成熟度レベル(基礎、高度、エキスパート)には、それぞれ独自の実践・プロセスが定められており、DoDと共有・処理する情報の機微性に応じて、防衛請負業者のサイバーセキュリティ体制を段階的に強化することを目的としています。各CMMC 2.0成熟度レベルの主な要件は以下の通りです:

CMMC 2.0レベル1要件:基礎的サイバーセキュリティ

CMMCレベル1は、連邦契約情報(FCI)を取り扱う組織向けの基礎的なサイバーセキュリティ実践に焦点を当てています。このレベルは、基本的なサイバー衛生の実践を証明したい組織を対象としています。主な要件は以下の通りです:

  1. 基本的な保護実践:組織は、連邦調達規則(FAR)52.204-21に準拠した17の実践を実施し、FCI保護のための基本的なセーフガード要件を満たす必要があります。
  2. アクセス制御:情報システムへのアクセスを認可されたユーザーおよびデバイスに限定します。
  3. 意識向上とトレーニング:組織の職員に対し、セキュリティ意識向上トレーニングを実施します。
  4. 構成管理:組織の情報システムのベースライン構成を確立・維持します。
  5. 識別と認証:情報システムのユーザー、プロセス、デバイスを識別し、アクセス許可前にその正当性を確認します。
  6. メディア保護:情報システムのメディアを使用中および使用後の両方で保護します。
  7. 物理的保護:情報システムおよびその構成要素への物理的アクセスを制限します。
  8. リスク評価組織運用に対するリスクを定期的に評価・見直します。
  9. セキュリティ評価:セキュリティ要件への準拠を確認するため、定期的なセキュリティ評価を実施します。
  10. システムおよび通信の保護:外部境界や主要な内部ポイントで組織の通信を監視・制御・保護します。
  11. システムおよび情報の完全性:情報および情報システムの欠陥を特定・報告・修正し、適時に対応します。

全体として、CMMC 2.0レベル1は、ほとんどの組織が実施しやすい基本的なサイバーセキュリティ実践を求めており、FCIを取り扱う際の基本的な保護を提供します。

CMMC 2.0レベル2要件:高度なサイバーセキュリティ

CMMCレベル2は、DoDとの契約で制御されていない分類情報(CUI)を取り扱う防衛請負業者向けです。CMMC 2.0レベル2を達成するための主な要件は以下の通りです:

  1. NIST SP 800-171との整合:レベル2は、米国国立標準技術研究所特別出版物800-171(NIST SP 800-171)で定められた110のセキュリティ実践に主に準拠しています。これにはアクセス制御、インシデント対応、リスク管理など、さまざまなドメインにわたる管理策が含まれます。
  2. 評価と認証:組織は、認定CMMC第三者評価認定機関(C3PAO)による第三者評価を受け、コンプライアンスを証明する必要があります。これはCUIを含む契約で必須です。
  3. 年次自己評価:組織は、サイバーセキュリティ実践の継続的な改善とコンプライアンス維持のため、年次自己評価も実施する必要があります。
  4. 文書化とポリシー策定:各セキュリティ実践を支える文書化されたポリシーや手順を整備する必要があります。これには定期的な記録更新や監査証跡の維持も含まれます。
  5. リスク管理:組織は、サイバーセキュリティリスクを継続的に特定・評価・管理するリスク管理アプローチを実施しなければなりません。
  6. インシデント報告:DoDへのインシデント報告手順を整備し、潜在的な侵害に対する迅速な連絡・対応を確保します。
  7. 継続的モニタリング:情報システムの継続的な監視体制を整備し、セキュリティ脅威を迅速に検知・対応できるようにします。
  8. セキュリティ意識向上とトレーニング:すべての従業員がサイバーセキュリティの責任とCUI保護の重要性を理解できるよう、セキュリティトレーニングプログラムを実施します。

これらの要件を満たすことで、組織は機微な情報の保護体制を整え、CUIを含むDoD契約の資格を維持できます。

CMMC 2.0レベル3要件:エキスパートサイバーセキュリティ

CMMCレベル3は、制御されていない分類情報(CUI)を取り扱う組織向けで、より高度なサイバーセキュリティ実践の実施が求められます。レベル3の要件はまだ公開資料では完全に詳細化されていませんが、現時点で判明している一般的な概要は以下の通りです:

  1. NIST規格との整合:レベル3はNIST SP 800-172と密接に整合し、NIST SP 800-171で定められた管理策を基盤に、より高度なサイバーセキュリティ実践と保護に重点を置いています。
  2. 高度なセキュリティ実践:下位レベル(レベル1・2)の要件を含む110以上の実践に加え、より高度な脅威検知・対応に焦点を当てた追加要件を遵守する必要があります。
  3. インシデント対応と管理:強固なインシデント対応体制を整備し、サイバーセキュリティインシデントの効果的な管理・報告能力を備える必要があります。
  4. 継続的モニタリング:サイバーセキュリティイベントの迅速な検知・対応・復旧のため、継続的な監視システムを導入しなければなりません。
  5. リスク管理:リスクの継続的な評価・優先順位付け・軽減を行う成熟したリスク管理フレームワークが求められます。
  6. エキスパートレベル評価:このレベルの組織は、認定第三者評価者による3年ごとの評価を受ける必要があります。
  7. 連邦契約情報(FCI)およびCUIの保護:FCIおよびCUIの両方を確実に保護する高度な能力を証明しなければなりません。

これらはあくまで高レベルのガイドラインであるため、CMMC 2.0レベル3コンプライアンスを目指す組織は、国防総省(DoD)の最新情報を随時確認し、サイバーセキュリティ専門家と連携して進化する要件を確実に満たすようにしてください。

CMMCコンプライアンスチェックリスト

CMMC認証は、CMMCコンプライアンスの前提となる厳格なプロセスです。CMMC認証を取得するには、DoDが定めた広範な要件を満たす必要があります。以下は、CMMC認証を目指す組織が取り組むべき項目のチェックリストです。

自組織に適したCMMC成熟度レベルの評価

CMMC 2.0コンプライアンス達成の第一歩は、自組織に最も適したCMMC成熟度レベルを特定することです。CMMC認証プロセスは階層的なアプローチであり、取り扱うデータの機微性に応じて適切なレベルを選択する必要があります。CMMC認証には3つのレベルがあります(上記参照)。

CMMCコンプライアンスの準備状況を把握するためのCMMC自己評価の実施

組織が目指す(または必要とする)成熟度レベルを特定したら、次に自組織のサイバーセキュリティ体制について自己評価を実施します。この評価には、ポリシーや手順、ネットワークセキュリティ、アクセス制御、インシデント対応能力など、組織のサイバーセキュリティ成熟度のレビューを含める必要があります。

他のサイバーセキュリティフレームワークを活用しCMMCコンプライアンスを効率化

CMMC認証の取得は複雑なプロセスとなり得ますが、CMMC要件と整合する既存のフレームワークや認証を活用することで、移行を容易にすることができます。CMMCは既存フレームワークを基に開発されており、CMMCと他の確立されたサイバーセキュリティフレームワークには、規制コンプライアンスのために活用される多くの共通点があります。

その一例が米国国立標準技術研究所サイバーセキュリティフレームワーク(NIST CSF)であり、サイバーセキュリティリスクの管理・軽減のためのガイドラインやベストプラクティスを提供しています。CSFを導入することで、組織のサイバーセキュリティ実践をCMMC要件と整合させることができ、認証プロセスの効率化や簡素化が期待できます。

CMMC認証取得に役立つ他のフレームワークや認証には、FedRAMP、FISMA、国際標準化機構27000規格(ISO 27001)、NIST特別出版物800-171などがあります。これらのフレームワークや認証を活用することで、CMMC要件への準拠だけでなく、組織全体のサイバーセキュリティ体制の強化やCMMCコンプライアンスの証明にもつながります。

CMMCコンプライアンスのための行動計画とマイルストーン(POA&M)の策定

行動計画とマイルストーン(POA&M)は、組織のサイバーセキュリティ対策における弱点や不備への対応方針を示す重要な文書であり、CMMCコンプライアンスの証明に大きな役割を果たします。POA&Mの策定には一連のステップが必要です。まず、適切なレベルを特定した後、現状のサイバーセキュリティ体制と必要な認証要件とのギャップを洗い出します。これには、組織の既存ポリシー、手順、技術的対策の徹底的な評価が必要です。

特定したギャップに基づき、優先的に対応すべき分野を決定します。その後、各タスクのタイムラインを策定し、各アクション項目の完了期限を設定します。担当者ごとに明確な責任を割り当て、進捗管理を徹底します。最後に、コンプライアンスに向けて実施したすべてのステップを文書化し、進捗を定期的に記録・更新しながら、必要に応じて行動計画とマイルストーンを見直します。このアプローチにより、CMMCコンプライアンスへの体系的かつ秩序だったアプローチが確保され、より効率的でタイムリーな結果につながります。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks