Home > セキュリティとコンプライアンスブログ > CMMCコンプライアンス > CMMCとITARの違い：防衛請負業者はどちら、または両方に準拠する必要があるのか？

CMMCとITARの違い：防衛請負業者はどちら、または両方に準拠する必要があるのか？

by Bob Ertl updated 3月 19, 2025 CMMCコンプライアンス

Reading Time: < 1 minutes

防衛契約において、規制遵守はビジネス遂行の上で極めて重要です。サイバーセキュリティ成熟度モデル認証（CMMC） 2.0と国際武器取引規則（ITAR）は、業界に大きな影響を与える重要な規制フレームワークです。これらの規制は、機密情報や国家安全保障を保護するために設計されていますが、どのフレームワークが自社の業務に適用されるのかを理解しようとする防衛請負業者にとっては、分かりづらい場合があります。本ブログでは、CMMC 2.0とITARの概要を示し、その根本的な違いを比較し、どの防衛請負業者がどちらか、または両方に準拠する必要があるかについての指針を提供します。

CMMC認証プロセスは厳格ですが、当社のCMMC 2.0コンプライアンスロードマップが支援します。

Table of Contents

CMMC 2.0：防衛産業向け統一サイバーセキュリティ基準

サイバーセキュリティ成熟度モデル認証（CMMC）は、米国国防総省（DoD）が、防衛産業基盤（DIB）内の機密情報のセキュリティを確保するために策定した統一サイバーセキュリティ基準です。CMMCコンプライアンスは、DoDと取引し、制御されていない分類情報（CUI）を扱うすべての防衛請負業者に求められます。この情報には、技術データ、研究・開発データ、その他防衛業務に関連する機密性の高い未分類データが含まれます。

CMMC 2.0コンプライアンスのためのDoD請負業者向けロードマップ

今すぐ読む

2021年11月、DoDはCMMC 2.0を導入し、認証プロセスの簡素化と中小企業への負担軽減を図りました。CMMC 2.0は3つのレベルで構成されており、それぞれにコンプライアンス達成のために必要な手順と実践が定められています：

CMMC 2.0 レベル1：FCI向け基礎サイバーセキュリティ

このレベルは、米国国立標準技術研究所（NIST）特別出版物800-171で定められた実践を中心に、いくつかの追加要件を含む基本的なサイバーセキュリティ衛生に焦点を当てています。防衛請負業者が連邦契約情報（FCI）を取り扱う際の最低基準です。

CMMC 2.0 レベル2：CUI向け高度な保護

CUIを取り扱う防衛請負業者は、レベル2に準拠する必要があり、NIST SP 800-171で定められた内容を超える追加のセキュリティ実践が求められます。このレベルは、高度なサイバー脅威から機密情報を保護することを目的としています。

CMMC 2.0 レベル3：重要プログラム向けエキスパートレベルの防御

このレベルは、最高レベルのサイバーセキュリティ保護が必要な重要プログラムや技術に適用されます。レベル3では、継続的な監視や高度な脅威検知機能など、より厳格なセキュリティ要件が組み込まれています。

ITAR：防衛技術をグローバルな脅威から守る

国際武器取引規則（ITAR）は、防衛関連品目・サービスおよび関連技術データの輸出・輸入・仲介を規制する一連の規則です。ITARは米国国務省防衛貿易管理局（DDTC）によって施行され、機密性の高い防衛技術が無許可で外国勢力に移転されるのを防ぐことを目的としています。

米国武器リスト（USML）に記載された品目の製造、輸出、または関連サービスを提供する防衛請負業者は、DDTCに登録し、ITARに準拠する必要があります。USMLは、兵器システム、軍用電子機器、防護装備など、さまざまな防衛関連品目をカバーしています。

CMMC 2.0とITAR：重要な違いを理解する

CMMC 2.0とITARはいずれも防衛請負業者にとって重要ですが、目的や要件が異なります。以下のセクションでは、両規制フレームワークの比較を行います。

CMMCとITARの適用範囲：サイバーセキュリティ対輸出管理

CMMC 2.0はサイバーセキュリティに特化しており、DoDと取引しFCIまたはCUIを扱う防衛請負業者を対象としています。一方、ITARはより広範で、防衛関連品目・サービスおよび関連技術データの輸出・輸入・仲介をカバーしています。

適用性：各規制に準拠が必要となる請負業者の役割と活動

CMMC 2.0は、事業規模や業務内容に関係なく、DoDと取引するすべての防衛請負業者に適用されます。ITARは、USMLに記載された品目の製造、輸出、または関連サービスを提供する防衛請負業者に適用されます。

施行と罰則：何が問われるのか

CMMC 2.0はDoDによって施行され、防衛請負業者は第三者による評価を受け、コンプライアンスを証明する必要があります。認証は契約期間中維持しなければなりません。国務省DDTCがITARを施行し、違反した場合は、罰金、禁錮、将来の契約からの排除など、重大な民事・刑事罰が科される可能性があります。

コンプライアンス要件：管理策対登録・ライセンス

CMMC 2.0は、FCIまたはCUIの取扱いレベルに応じて、3つのレベルにわたるサイバーセキュリティ実践とプロセスを規定しています。ITARコンプライアンスには、DDTCへの登録、輸出管理コンプライアンスプログラムの実施、防衛関連品目・サービスおよび関連技術データの輸出・輸入・仲介に必要なライセンスの取得が含まれます。

主なポイント

コンプライアンスは防衛請負業者にとって不可欠

CMMC 2.0およびITARへの準拠は、政府契約の適格性を左右するため、その要件を理解することが重要です。
CMMC 2.0の概要

CMMC 2.0は、DoDが策定した3層構造のサイバーセキュリティ基準で、CUIを取り扱う防衛請負業者のサイバーセキュリティ実践の強化を目的としています。
ITARの概要

ITARは国務省が施行し、防衛関連品目や技術データの輸出・輸入・仲介を規制することで、無許可の移転を防ぎます。
CMMC 2.0とITARの違い

CMMCとITARは、適用範囲・適用性・要件が異なります。CMMCはサイバーセキュリティに特化し、ITARは輸出管理をカバーします。
両規制への対応

防衛請負業者は、事業内容によってCMMC 2.0とITARの両方に準拠する必要がある場合があります。両規制対応には統合的なコンプライアンス戦略が求められます。

CMMCまたはITAR：自社業務に基づく適用規制の判断方法

CMMC 2.0およびITARへの準拠の必要性は、防衛請負業者が提供する具体的な業務やサービス内容によって異なります。事業内容によっては、いずれか一方または両方の規制に準拠する必要が生じます。

DoD請負業者向けCMMC 2.0コンプライアンス

DoDと取引し、FCIまたはCUIを取り扱うすべての防衛請負業者は、CMMC 2.0に準拠しなければなりません。どのレベルに準拠するかは、取り扱う情報の種類によって決まります：

CMMC 2.0 レベル1：FCIを取り扱う請負業者向け

CMMC 2.0の第一レベルである基礎サイバーセキュリティは、FCIを取り扱う防衛請負業者のために、基本的なサイバーセキュリティ衛生の確立に焦点を当てています。FCIとは、政府が契約に基づき提供または生成した、一般公開を意図しない情報を指します。

レベル1に準拠することで、防衛請負業者はサイバーセキュリティリスク管理とFCIの不正アクセス・漏洩防止のための基盤を構築していることを示します。このレベルでは、NIST SP 800-171で定められたサイバーセキュリティ実践といくつかの追加要件を遵守する必要があります。これには、情報システムへのアクセス制御、セキュアなパスワードポリシーの導入、アンチウイルスソフトウェアの最新状態維持などが含まれます。

CMMC 2.0 レベル2：CUIを取り扱う請負業者向け

CMMC 2.0の第二レベルである高度サイバーセキュリティは、CUIを取り扱う防衛請負業者向けに設計されています。CUIは、保護や配布制御が必要な機密性の高い情報であり、不正アクセスされた場合、国家安全保障に損害を与える可能性があります。

レベル1の要件に加え、このレベルでは、より高度なサイバーセキュリティ実践を実装し、CUIを高度なサイバー脅威から保護する必要があります。これらの実践はNIST SP 800-171を超え、多要素認証、二重暗号化技術、侵入検知システムなどが含まれます。レベル2に準拠することで、防衛請負業者はCUIの保護と国家安全保障に重大な影響を及ぼすサイバーインシデントリスクの低減に取り組んでいることを示します。

CMMC 2.0 レベル3：高インパクトプログラムを支援する請負業者向け

CMMC 2.0の第三かつ最高レベルであるエキスパートサイバーセキュリティは、最高度のサイバーセキュリティ保護が求められる重要プログラムや技術を担当する防衛請負業者向けです。これらのプログラムや技術には、漏洩した場合に国家安全保障へ深刻な損害をもたらす機密情報や能力が含まれます。

このレベルでは、厳格なセキュリティ要件と高度な機能を組み込んだ包括的かつ堅牢なサイバーセキュリティプログラムを実装する必要があります。これには、継続的な監視、高度な脅威検知・対応、新たなサイバー脅威の特定と対策などが含まれます。レベル3に準拠することで、防衛産業基盤の最も機密性・重要性の高い資産を保護し、国家の先端技術と能力の安全性を確保します。

防衛輸出業者・サービス提供者向けITARコンプライアンス

USMLに記載された品目の製造、輸出、または関連サービスを提供する防衛請負業者は、ITARに準拠する必要があります。これには、防衛関連品目の開発・製造・保守に関与する企業や、防衛品目に関するトレーニング、技術支援、コンサルティングサービスを提供する企業が含まれます。

CMMC 2.0とITAR：両規制への対応管理

両規制への対応を理解し管理することは、DoD契約の適格性維持や違反時の罰則回避のために不可欠です。場合によっては、防衛請負業者がCMMC 2.0とITARの両方への準拠が求められることがあります。このようなケースは、両規制の対象となる活動に従事する場合に発生します。以下の状況では、CMMC 2.0とITARの両方への準拠が必要となることが多いです：

DoD契約におけるFCIまたはCUI：CMMCが適用される場合

DoDと取引し、FCIまたはCUIを管理する防衛請負業者は、情報取扱要件に応じて適切なCMMC 2.0レベル（基礎・高度・エキスパートサイバーセキュリティ）を遵守する必要があります。

USML品目とITAR：準拠が求められる条件

USMLに記載された品目の製造、輸出、または関連サービスを提供する請負業者は、ITAR規制に準拠する必要があります。これには、必要なライセンスの取得や有効な輸出管理コンプライアンスプログラムの実施が含まれます。

例えば、USMLに記載された先進レーダーシステムを開発・製造し、DoD契約の一環としてCUIも取り扱い、さらにそのレーダーシステムを同盟国に輸出する防衛請負業者の場合、CMMC 2.0とITARの両規制に準拠する必要があります。

請負業者のための統合コンプライアンス戦略

両規制への対応を効果的に管理するには、CMMC 2.0とITARの両方の要件を満たす統合コンプライアンス戦略を実施することが重要です。この戦略には、次のような取り組みが含まれます：

CMMC 2.0フレームワークに準拠しつつ、輸出管理要件も取り入れた包括的なサイバーセキュリティプログラムの構築
既存のサイバーセキュリティ基盤とシームレスに統合された輸出管理コンプライアンスプログラムの策定・維持
CMMC 2.0およびITAR要件への準拠を確保するための定期的な評価、監査、トレーニングの実施

このような一貫したコンプライアンスアプローチを採用することで、防衛請負業者はCMMC 2.0およびITAR規制への対応の複雑さを乗り越え、機密情報を保護し、DoDやその他の政府機関との取引継続を実現できます。

CMMC 2.0とITARコンプライアンス：実際のユースケース

以下のユースケースは、CMMC 2.0またはITARへの準拠の必要性を示しています。

ユースケース1：DoD向けサイバーセキュリティサービス

ある防衛請負業者がDoDにサイバーセキュリティサービスを提供し、CUIを取り扱っています。この場合、請負業者はCMMC 2.0レベル2（高度サイバーセキュリティ）に準拠する必要があります。USML品目の製造・輸出・サービス提供は行っていないため、ITAR準拠は不要です。

ユースケース2：防衛用電子機器の製造・輸出

ある防衛請負業者がUSMLに記載された防衛用電子機器を製造し、同盟国に輸出しています。この場合、USML品目の輸出によりITAR準拠が必要です。加えて、DoD契約の一環でCUIも取り扱う場合、CMMC 2.0レベル2（高度サイバーセキュリティ）にも準拠しなければなりません。

ユースケース3：機密防衛技術の研究開発

ある防衛請負業者が、軍事用途の先端材料に関する研究開発サービスをDoDに提供しています。この請負業者は、業務の一環としてFCIとCUIの両方を取り扱っています。この場合、CMMC 2.0レベル2（高度サイバーセキュリティ）への準拠が必要です。研究内容がUSML品目に該当し、輸出・輸入・関連サービスを行う場合は、ITAR準拠も必要となります。

ユースケース4：軍事訓練・サポート

ある防衛請負業者が、USMLに記載された防衛品目を含む軍事訓練・サポートサービスを提供しています。この請負業者は、業務の一環としてFCIまたはCUIを取り扱う必要があります。この場合、USML品目の取り扱いによりITAR準拠が必要です。一方、FCIまたはCUIを取り扱わないため、CMMC 2.0準拠は不要です。

KiteworksでCMMC 2.0レベル2コンプライアンスを効率化

CMMC 2.0フレームワークの対応は、特にレベル2コンプライアンスを目指すDoD請負業者やサブコントラクターにとって複雑なプロセスとなりがちです。CMMCの専門家と連携することで、スムーズなコンプライアンス達成が可能になります。

Optivのような専門コンサルティング会社は、既存の管理策や技術をレベル2の実践要件に合わせて調整する支援を行います。これらの専門家は、行動計画とマイルストーン（POA&M）の是正や、認定CMMC第三者評価認定機関（C3PAO）との評価・認証プロセスもサポートします。

専門家による支援に加え、適切な機密コンテンツ通信プラットフォームを選定することで、CMMC 2.0レベル2コンプライアンスのプロセスを大幅に加速できます。CUIやFCIなどの機密情報の送信・共有・受信・保存に複数のツールを使うのではなく、統合ソリューションを活用することで、複雑さ・非効率・リスクを低減できます。

3,800社以上の組織がKiteworksプラットフォームを選択しています。Kiteworksは、FedRAMP中程度インパクトレベルで6年連続認証を取得したソリューションです。FedRAMPコンプライアンスや強化された仮想アプライアンスなどにより、KiteworksはDoDサプライヤーがファイル・メールデータ通信に活用する他のソリューションと差別化されています。FedRAMP準拠と堅牢な仮想アプライアンスにより、KiteworksはCMMC 2.0レベル2の110の実践管理策のうち約90%をサポートしており、これは市場の他の同等ソリューションを上回ります。

CMMC 2.0レベル2コンプライアンスへの道のりを加速し、競争優位を確立する方法については、ぜひカスタムデモをご予約ください。

CMMCとITARに関するよくある質問

いいえ、DoD請負業者が必ずしもCMMCとITARの両方に準拠する必要があるわけではありません。コンプライアンスの必要性は、防衛産業基盤（DIB）における防衛請負業者の具体的な業務内容やサービスによって異なります。そのため、事業内容によっては、いずれか一方または両方の規制に準拠する必要が生じます。

DoDと取引し、FCIまたはCUIを取り扱うすべての防衛請負業者は、CMMC 2.0に準拠する必要があります。どのレベルに準拠するかは、取り扱う情報の種類によって決まります。USMLに記載された品目の製造・輸出・関連サービスを提供する防衛請負業者は、ITARに準拠する必要があります。場合によっては、両規制の対象となる活動に従事する際、CMMC 2.0とITARの両方への対応が求められることがあります。

CMMC 2.0はサイバーセキュリティに特化しており、DoDと取引しFCIまたはCUIを取り扱う防衛請負業者を対象としています。ITARはより広範で、防衛関連品目・サービスおよび関連技術データの輸出・輸入・仲介をカバーしています。CMMC 2.0はDoDと取引するすべての防衛請負業者に適用され、ITARはUSML品目の製造・輸出・関連サービスを提供する防衛請負業者に適用されます。

いいえ。CMMC 2.0とITARは目的や要件が異なります。CMMC 2.0は、DoDと取引しFCIまたはCUIを取り扱う防衛請負業者向けのサイバーセキュリティ基準で、3つのレベルにわたる具体的なサイバーセキュリティ実践が求められます。ITAR準拠は、DDTCへの登録、輸出管理コンプライアンスプログラムの実施、防衛関連品目の輸出・輸入・仲介に必要なライセンス取得が含まれます。ITAR準拠のみではCMMC要件を満たしません。

いいえ。両規制への対応が必要な請負業者は、両フレームワークの具体的要件を満たす統合戦略が必要です。これには、CMMCに準拠した包括的なサイバーセキュリティプログラムの構築と輸出管理要件の組み込み、サイバーセキュリティ基盤と統合された輸出管理コンプライアンスプログラムの維持、両フレームワークに対する定期的な評価の実施などが含まれます。CMMC準拠のみでは、ITARの輸出管理要件を満たしません。

追加リソース

ブリーフ KiteworksがITAR重要コンテンツを政府請負業者向けに保護する5つの方法
ブログ記事 ITARコンプライアンス規制・基準・罰則
機能紹介 Kiteworksは政府請負業者向けにITAR重要コンテンツを保護
ウェビナー CMMCセキュアファイル転送要件への対応
ホワイトペーパー CMMC 2.0に向けたコンテンツ通信のセキュリティ確保