CMMCフェーズIIは一時停止中。DFARSの義務は継続しています。

国防省のたった一つの発表が、防衛請負業者の自己申告によるコンプライアンススコアと虚偽請求法(False Claims Act)調査の間に唯一存在していた外部チェックを停止させました。2026年7月13日、国防省はCMMCフェーズII(2026年11月10日に施行予定だった第三者評価要件)を停止し、業界メディアはこれを規制緩和と位置付けました。しかし、実際はそうではありません。これはリスクの再分配であり、これを「一時停止」と捉える組織こそ、審査期間終了時に最もリスクにさらされるのです。

国防省最高情報責任者(CIO)のカーステン・デイビス氏は、内部データにより解決策のないキャパシティ問題が明らかになったことを受けて停止を発表しました。10万社を超える防衛産業基盤(DIB)企業が認定第三者評価認定機関(C3PAO)による第三者評価を必要としている一方で、評価を実施できるC3PAOは約100社しか存在しませんでした。「計算がまったく合わない」とデイビス氏はBreaking Defenseの7月13日の報道で述べています。CMMCのフェーズ3とフェーズ4も同様に停止され、新設されたCMMC改革タスクフォースによる60日間の見直しが行われる予定であり、見直し終了後にプログラム自体の廃止も排除されていません。

DIB請負業者にとってCMMCフェーズII停止が実際に変えること

これらの動きは、防衛請負業者が現時点で法的に求められていることを何も変えません。DFARS条項252.204-7012は、CMMCがプログラムとして存在する以前から、請負業者および下請業者に対して対象防衛情報の保護を義務付けており、国防省自身の発表でも「企業が連邦データを保護する義務はなくならない」と明言されています。NIST 800-171 Rev 2の110の管理策も変更ありません。自己評価は継続されます。停止されたのは、第三者によるチェックだけです。コンプライアンス担当者にとって、これは見出しが示すような「安心」とはまったく異なる性質のものです。

Kiteworksは、まさにこのような規制の揺れ動きに直面する防衛産業基盤請負業者と協働しており、こうしたパターンはおなじみです。規制緩和の発表が、実際にはリスクが悪化しているにもかかわらず、誤った安心感を生み出すのです。

この違いは重要です。なぜなら、コンプライアンスチーム、契約担当者、経営層は今まさに同じ見出しを読んでおり、その多くは「安心」を強調してリスクを軽視しています。この発表から誤った教訓を得たCISOは、来週の経営会議で、本来なら加速すべきセキュリティ投資の優先度を下げるよう提案してしまうでしょう。既存のCMMC契約条項が密かに消えたと誤解した法務責任者は、依然として有効な下請契約のフローダウン義務を見落とすことになります。

このような発表後の最初の48時間で正しいフレーミングを行うことは、単なるコミュニケーション活動ではありません。60日間のウィンドウでコンプライアンスギャップを解消できる組織と、18か月後の虚偽請求法調査でギャップを発見する組織の分かれ道です。すべての現行下請契約のCMMCフローダウン条項をマッピングするサプライチェーンリスク管理レビューは、今週プライム請負業者の法務チームが最初に着手すべきアクションです。

CMMC 2.0コンプライアンス DoD請負業者向けロードマップ

今すぐ読む

主なポイント

1. CMMCフェーズIIは「停止」であり、「廃止」ではない。

国防省は2026年7月13日に第三者評価要件を停止しましたが、フェーズ1の自己評価およびDFARS 252.204-7012の義務は引き続き完全に有効です。

2. 停止の理由はキャパシティ不足であり、方針転換ではない。

10万社を超える防衛産業基盤企業が第三者評価を必要とし、評価を実施できるC3PAOは約100社しか存在しません。これは60日間の見直しでは解消できない構造的なボトルネックです。

3. 第三者チェックの削除は虚偽請求法リスクを高める。

C3PAOが自己申告のSPRSスコアの誤りを最初に発見できなくなったことで、その責任は完全に請負業者に移りました。現在、虚偽請求1件あたりの民事罰は約13,946ドルから27,894ドル、さらに三倍賠償が課される可能性があり、政府は2021年以降、サイバーセキュリティ関連の虚偽請求法案件をすでに15件和解しています。

4. フローダウン義務や既存の調達案件はリセットされない。

プライム請負業者は引き続き下請業者にCMMCレベル2要件を課す必要があり、レベル2を引用した契約は、個別に正式修正されるまで有効です。

5. パブリックコメント期間は2026年8月14日に終了。

国防省のRFIは、商用セキュリティツールが将来のフレームワークでどのようにカウントされるかを直接問うものであり、これは「待つ理由」ではなく「今しかない機会」です。評価者の行列が再開する前にCMMCギャップ分析手法を活用し、この期間中に解消できる技術的ギャップを特定しましょう。

原因はバックログ、60日間の見直しでは解決しない

なぜこの事態が起きたのかを最初に考えるべきです。理由こそが発表内容以上に重要だからです。CMMCレベル2は、対象防衛情報(CDI)制御されていない分類情報(CUI)を扱う請負業者に対し、C3PAOによる3年ごとの評価を求めています。しかし、その評価パイプラインは、国防省自身が認める現状のボリュームに対応できるよう設計されていませんでした。Washington Technologyの7月13日の報道によれば、DoWの停止はCMMCフェーズ3(2027年11月に予定されていたレベル3評価)およびフェーズ4にも及び、同日SAM.govで正式な情報提供依頼(RFI)が公開され、業界からの回答期限は2026年8月14日となっています。

このRFIは注意深く読む価値があります。なぜなら、今後の方向性が示されているからです。CMMCコンプライアンスに関連するコスト要因や管理負担、NIST 800-171のどの管理策が実際にリスク低減に寄与するか、そして何よりも、すべてに第三者評価を求めるのではなく、既存の商用サイバーセキュリティツールやマネージドサービスを将来のコンプライアンスフレームワークでどのように認めるかについて企業に意見を求めています。

これはプログラムの廃止ではありません。まさに、自己評価が単独で成立するような、実証可能な技術的準備体制を中心に再設計されているのです。

デイビス氏が指摘した10万対100の比率は、一時的な問題ではなく構造的な課題です。新たなC3PAOの育成と認定には数年単位の時間がかかり、今回の見直しに割り当てられた60日間では到底足りません。フェーズIIが再開された際(DoWはプログラム廃止も否定していませんが、再開も約束していません)、同じボトルネックが、タスクフォースが設定するどんな短期間にも圧縮されて残ります。

この停止期間を活用して実際の技術的準備を進めた組織が、その後のパイプラインを最初に通過できます。逆に、これを「関与しない理由」と捉えた組織は、再び他のすべての企業と同じ限られた評価者キャパシティを奪い合うことになります。CMMCコンプライアンスチェックリストは、「実際の技術的準備を構築する」という抽象的な意図を、文書化され優先順位付けされたアクションリストへと変換するための体系的なインベントリを提供します。

CMMCの延期はこれが初めてではなく、その歴史が重要

今回の停止を「CMMC自体が崩壊している証拠」と捉えたくなる人は、このプログラムがどのようにここまで来たかを振り返るべきです。国防省は2020年にCMMC 1.0を5段階の成熟度レベルと契約ごとの段階的導入で開始しました。

しかし、そのバージョンは2021年に廃止され、コストや複雑さに対する業界の反発を受けて、NIST 800-171に合わせた3段階構成のCMMC 2.0へと簡素化されました。2.0のルール策定自体も約3年かかり、32 CFRおよび48 CFRの両ルール策定プロセスを経て、2024年にCMMC最終規則が公表され、2025年11月にフェーズ1の自己評価要件が施行されました。

ここで注目すべきはこのパターンです。これまでのすべてのバージョンは、まさに今回のフェーズII停止を引き起こしたような実装上の問題に対応して改訂されてきました。CMMC 1.0の複雑さは廃止につながり、CMMC 2.0の評価者キャパシティ不足はフェーズIIの一時停止につながっています。しかし、根本的な目的(防衛サプライチェーンを流通する制御されていない分類情報の保護)は一度も消えていません。

仕組みは変わりましたが、義務は変わっていません。今回の停止を歴史的経緯と照らし合わせて読むことで、「第三者検証の終焉」ではなく「次のイテレーション」であることがより明確になるはずです。

第三者チェックの削除が自己評価の重要性を高める理由

この話で「CMMCは終わった」という見出しの陰に隠れてしまった重要な点がここです。第三者チェックを削除しても、システムからリスクが消えるわけではありません。リスクは完全に請負業者自身の申告の正確性に移ります。

CMMCレベル1および暫定フェーズ1要件は、常に自己評価に依拠しており、その結果はサプライヤーパフォーマンスリスクシステム(SPRS)に登録され、企業の経営幹部が認証します。

今回停止されたフェーズIIのもとでは、C3PAOが自己申告スコアを独立して検証し、そのスコアが契約受注の前提となる前に確認していました。このチェックが停止されたことで、不正確なSPRSスコアは、もはや第三者が評価サイクル中に発見するものではなく、請負業者が連邦政府に直接申告した内容となり、虚偽請求法調査で直接検証されることになります。

このリスクの仕組みはCMMC以前から確立されていました。司法省のシビルサイバーフロードイニシアチブは2021年10月に開始され、虚偽請求法を活用して、政府請負業者や助成金受給者によるサイバーセキュリティ関連の虚偽申告を追及しています。また、同法の内部告発者(qui tam)条項により、不満を持つ従業員や競合他社、元下請業者などが直接訴えを起こし、回収額の一部を受け取ることができます。

現在、虚偽請求1件あたりの民事罰は約13,946ドルから27,894ドル(インフレに応じて定期的に調整)、さらに三倍賠償が課されます。政府はこれを積極的に追及しており、2025年にはRaytheonおよびその後継企業Nightwingに対し、NIST 800-171のコンプライアンス虚偽申告で840万ドルの和解が成立しています。また、ジョージア工科大学に対する係争中の案件では、DoDに対して虚偽のサイバーセキュリティ評価スコアを提出したとされています。これはまさに、C3PAOチェックが停止されることで発生しうる典型的な失敗例です。

このリスクは、侵害が発生しなくても成立します。必要なのは、請負業者の自己申告スコアが精査に耐えられないことだけです。C3PAOが最初にギャップを発見できない今、請負業者自身が唯一の防御線となります。NIST 800-171管理策セットに基づき、C3PAOと同等の証拠力で文書化された正式なリスク評価は、自己申告SPRSスコアが外部の精査に耐えうることを最も直接的に検証する方法です。

このため、「プレッシャーが減った」としてこの停止を捉えるのは、リスク計算を逆転させることになります。書面上の第三者プレッシャーが減ることは、実務上の一次責任が増すことを意味します。7月12日時点で自らのリスクを理解していたコンプライアンス担当者は、7月14日にはより強くそのリスクを認識すべきです。

契約上のフローダウンは国防省のスケジュールでリセットされない

報道で見落とされたもう一つのポイントは、DoWのフェーズ停止は国防省自身の監査要件の変更であり、プライムが下請業者に課す義務や既存の調達案件の要件が変わるわけではないということです。CMMCレベル2のフローダウン条項が含まれる下請契約を持つプライムは、引き続きこれらの要件をサプライチェーン全体に適用する必要があります。国防省自身の第三者検証プロセスの停止は、プライムが下請業者に対して持つ契約上の義務を免除するものではなく、下請業者がプライムに対して持つ義務も同様です。

同じ論理は、すでにCMMCレベル2を受注・履行条件として明記している調達案件や契約にも当てはまります。Breaking Defenseの7月13日の報道によれば、デイビス氏はプログラムマネージャーや契約担当者に対し、停止されたフェーズII要件を含む現行の調達案件や契約を「できるだけ早く」修正・変更するよう指示しました。これは、これらの要件が単に消えるのではなく、国防省のスケジュールで1件ずつ正式に修正されることを意味しています。特定の契約について修正が行われるまでは、その契約内のCMMCレベル2条項は有効です。

法務責任者や契約担当副社長にとって、今週最優先で取り組むべきはこの点です。フェーズII要件を引用している現行の調達案件や下請契約をすべて監査し、国防省の全国的な発表があったからといって、いずれかが密かに免除されたと決めつけないことです。

サプライチェーンリスク管理の実践、特にすべての下請業者のコンプライアンス状況を最新かつ監査可能な記録として維持することが、数週間ではなく数日で監査を実現する鍵です。下位階層のコンプライアンスインベントリが文書化されていない組織は、契約文言の見直しと並行して、これを最優先事項として取り組むべきです。

DoWが停止を正当化するために用いた中小企業の視点

停止の公的な正当化は、中小規模の請負業者に大きく依拠しています。このフレーミングを理解することは、今後の展開を見極める上で重要です。中小企業庁(SBA)は発表当日、停止を公に称賛し、一部の中小企業でコンプライアンスコストが60万ドル近くに達していることを指摘、現行CMMCフレームワークが新規参入を促すどころか、防衛産業基盤から企業を排除していると警告しました。

これが停止の政治的根拠です。セキュリティの基準を維持しつつ、サプライチェーンを縮小させていたコスト障壁を取り除くことが目的です。

このフレーミングは、中小規模の下請業者が今後の対応を決める際に両刃の剣となります。一方で、RFIの「既存商用ツールの認定」に関する質問は、小規模企業の既存セキュリティスタックが将来のフレームワークで評価されるべきだと主張する絶好の機会です。

一方で、この停止を「セキュリティ投資を完全に後回しにしてよい」と解釈する企業は、評価者の行列が再開した際に、より競争力を失うだけです。NIST 800-171管理策にマッピングされたセキュアMFTやセキュアメールプラットフォームは、まさにRFIが問うている商用ツールであり、既存ツールのカバレッジを文書化できる中小企業は、改革タスクフォースが自社のコンプライアンス体制をどのように扱うかを左右する直接的な提案ルートを持つことになります。

「実質的なサイバー衛生>管理的負担」は後退ではなく再定義

国防省自身の発言は、今後の方向性を示しており、表面的な解釈ではなく、額面通りに受け取る価値があります。DoWの担当者は、CMMC改革タスクフォースの目標を「厳格なセキュリティ基準の維持」と「コスト障壁の除去」と繰り返し表明しており、特に「管理的負担よりも実質的なサイバー衛生」を重視しています。

これは、今後国防省がどのようなコンプライアンス証拠を重視するかを示す発言です。すなわち、評価書類よりも実証可能な技術的管理策です。

この再定義は、DIB請負業者がこの期間に何を優先すべきかを変えるはずです。文書化され運用されているセキュリティ管理策に基づく自己評価は、単なるチェックリストの完成よりも、虚偽請求法調査下でより防御力が高く、改革タスクフォースが最終的に提案する内容にも柔軟に対応でき、RFIの「商用ツール認定」にも最適な回答となります。

Kiteworksのセキュアデータ交換は、CUIやCDIを扱う組織向けに、まさにこのような実証可能な技術的準備体制を構築しています。同プラットフォームは、CMMCレベル2要件の約90%を標準でカバーし、アクセス制御構成管理監査およびアカウンタビリティ物理的保護などのドメインを網羅し、強化された仮想アプライアンスアーキテクチャ、FIPS 140-3レベル1認証暗号化FedRAMP中程度認証(セキュアGovクラウドはFedRAMP高レベルで現在申請中)で支えられています。

これらはC3PAO評価の代替ではなく、そのように主張すべきではありません。国防省のFedRAMP同等性ガイダンスは、そうした過剰な主張を取り締まるために存在します。しかし、監査ログアクセス制御を提供することで、自己申告SPRSスコアの裏付けとなる実証的な証拠を、次回のC3PAO評価時期に関係なく持つことができます。

このカバレッジの根拠となるNIST 800-171コンプライアンス文書こそ、RFIが改革タスクフォースに認めてほしいと示唆している証拠パッケージです。つまり、評価書類ではなく、技術的管理策の実装を証明する組織的かつ監査可能な証拠です。

60日間が終わる前にコンプライアンスチームが実際に取るべき行動

この期間を「一時停止」ではなく「作業ウィンドウ」として扱いましょう。今週、コンプライアンス担当者のリストに載せるべきアクションは以下の5つです:

  1. SPRSスコアを実際の証拠で再検証する。自己申告の精査が緩くなったと決めつけず、コントロール主張がログや構成記録、文書で実証できない場合は、コンプライアンス達成ではなくリスク要因です。これは虚偽請求法調査が最初に検証するため、見直し期間中に最も効果の高いアクションです。

  2. 正式に修正されていないCMMCレベル2条項を持つ全ての現行調達案件・下請契約を監査し、契約担当者やプライムにフローダウン義務が依然として適用されるか確認する。通知を待たずに行動しましょう。修正プロセスは契約ごとに進行しており、自社の契約がすでに変更された保証はありません。

  3. DoWのRFIへの回答案を作成する。提出期限は2026年8月14日です。自社がすでにNIST 800-171にマッピングされた商用セキュリティツールを利用している場合は特に、このRFIは自社ツールの扱いに直接影響を与える公式なチャンネルであり、約1か月で締切となります。

  4. 評価者の行列が停止している今のうちに技術的ギャップを解消する。フェーズII再開後に10万社が約100人の評価者を同時に争う状況を待つのではなく、今ギャップを解消すれば、コストもリスクも大幅に抑えられます。暗号化の強制、属性ベースアクセス制御、イミュータブルな監査ログは、自己評価で最も外部精査に耐えにくい3つの技術領域です。まずはここから着手しましょう。

  5. 監査証跡やアクセス制御の証拠を、虚偽請求法調査官や将来のC3PAOにそのまま提出できる形で文書化する。召喚状が届いてから証拠を集めるのではなく、事前に整備された証拠の方がはるかに強力です。NIST 800-171のIR管理策ごとに、具体的かつ検証済みの手順をマッピングしたインシデント対応計画を文書化することで、チェックリストだけでは得られない監査パッケージの信頼性が高まります。

この60日間のウィンドウで先行できる組織は、「緩めた」組織ではありません。発表の合間を活用してギャップを埋めた組織です。

第三者評価が停止している間にCMMC 2.0レベル2のコンプライアンスギャップを解消する方法について詳しく知りたい方は、今すぐカスタムデモをお申し込みください

よくあるご質問

いいえ。国防省はフェーズIIの第三者評価要件を停止しましたが、フェーズ1の自己評価義務は有効であり、DFARS条項252.204-7012は引き続き請負業者および下請業者に対象防衛情報の保護を法的に義務付けています。国防省自身の発表でも「企業が連邦データを保護する義務はなくならない」と明記されています。組織は、根本的な義務からの「救済」と捉えるのではなく、CMMC 2.0コンプライアンスに向けた取り組みを継続すべきです。NIST 800-171の全110管理策に基づき、C3PAOと同等の証拠力で文書化されたリスク評価は、停止期間中に最も防御力の高い体制であり、CMMC改革タスクフォースのRFIプロセスに最も有用なインプットとなります。

DoWのCIOカーステン・デイビス氏は、キャパシティのミスマッチを理由に挙げています。10万社を超える防衛産業基盤企業がC3PAOによる第三者評価を必要とする一方、評価を実施できるC3PAOは約100社しか存在せず、当初予定されていた2026年11月10日の期限は実現不可能でした。新設のCMMC改革タスクフォースが現在60日間のプログラム見直しを行っており、パブリックRFIは2026年8月14日まで受け付けています。RFIでは、商用セキュリティツールが将来のコンプライアンスフレームワークでカウントされる可能性についても具体的に問われており、NIST 800-171にマッピングされた既存ツールを持つ組織は、RFIをカバレッジを文書化・提出する直接的な機会と捉えるべきです。ツールの管理策カバレッジの根拠となるNIST 800-171コンプライアンスプラットフォーム文書は、改革タスクフォースが認めたいと示唆している証拠そのものです。

リスクが高まる可能性があります。C3PAOによる独立したSPRSスコア検証がなくなることで、不正確な自己申告が第三者によって発見される前に、請負業者が連邦政府に直接主張することになります。虚偽請求法の民事罰や内部告発者(qui tam)条項は、外部評価者の関与有無に関わらず虚偽申告に適用されるため、証拠に基づく正確な自己評価がこの停止期間中はこれまで以上に重要です。どの管理策がどの構成レベルで、どの証拠で実装されているかを記録するデータガバナンス文書を継続的に維持することが、外部チェックがない期間における虚偽請求法リスクを最も直接的に制限する組織的実践です。

自動的には必要ありません。DoWは、フェーズII要件が含まれる調達案件や契約について、プログラムマネージャーや契約担当者に修正・変更を指示していますが、これは国防省のスケジュールで契約ごとに進行します。特定の契約や下請契約が正式に修正されるまでは、既存のCMMCレベル2条項および関連するDFARSフローダウン義務は有効です。サプライチェーンリスク管理の実践、特にすべての下請業者のコンプライアンス状況や現行契約のCMMC文言を最新かつ監査可能な記録として維持することが、必要な監査を数週間ではなく数日で実現する鍵です。下位階層のコンプライアンスインベントリが文書化されていない組織は、契約文言の見直しと並行して、これを最優先事項として取り組むべきです。

フェーズIIの再開を待つのではなく、この期間を活用して技術的ギャップを解消しましょう。具体的には、実証的な証拠に基づくSPRSスコアの検証、未修正のCMMCレベル2条項を持つ現行契約の監査、監査証跡アクセス制御の証拠の文書化、8月14日締切のDoWのRFIへの対応検討などです。今、実証可能な準備体制を構築することで、第三者評価が再開した際に10万社のバックログと競合することを避けられます。NIST 800-171のIR管理策ごとに具体的かつ検証済みの手順をマッピングしたインシデント対応計画は、特に価値の高い監査証拠となります。これは、改革タスクフォースの「実質的なサイバー衛生」方針が目指す運用セキュリティ体制を示し、チェックリストの完成を優先してきたコンプライアンスプログラムで最も顕在化しやすいギャップでもあります。

追加リソース

  • ブログ記事
    中小企業向けCMMCコンプライアンス:課題と解決策
  • ブログ記事
    DIBサプライヤー向けCMMCコンプライアンスガイド
  • ブログ記事
    CMMC監査要件:評価者がCMMC準備状況で確認すべきポイント
  • ガイド
    機密コンテンツ通信のためのCMMC 2.0コンプライアンス・マッピング
  • ブログ記事
    CMMCコンプライアンスの真のコスト:防衛請負業者が予算化すべき項目

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

Table of Content
Share
Tweet
Share
Explore Kiteworks