CMMC 2.0が防衛サプライチェーンを変える：日本ベンダーが知るべき認証要件と対応ロードマップ

このテーマを取り上げる理由

米国防総省（DoD）が2024年12月16日に施行したCMMC 2.0¹（Cybersecurity Maturity Model Certification、サイバーセキュリティ成熟度モデル認証）は、米軍と取引するすべての防衛請負業者に対し、段階的なサイバーセキュリティ認証の取得を義務付けるものです。対象は米国企業だけではありません。FMS（対外有償軍事援助）や直接契約を通じて米DoD調達に参加する日本の防衛産業基盤も例外ではなく、対応が求められる局面が近づいています。国内では防衛省が推進するサプライチェーン強靭化指針と同じNIST SP 800-171を参照基準としており、CMMC対応の遅れは国内規制への準備遅れにも直結します。

海外で何が起きているか

CMMC 2.0の三段階構造

CMMC 2.0は認証レベルを3段階に整理しています。

• レベル1（基礎）: 17項目の実践。連邦契約情報（FCI）の基本的な保護が目的。自己評価で完結します。
• レベル2（詳細）: NIST SP 800-171の110項目を全網羅。契約の機密性に応じ、C3PAO⁶（CMMC認定第三者評価機関）による外部審査、または自己評価のいずれかが求められます。重要性の高いCUI（管理対象非機密情報）²を扱う契約には外部審査が必須です。
• レベル3（エキスパート）: NIST SP 800-172の追加要件を含む最上位。DoD主導の政府評価が義務付けられます。

最終規則は32 CFR Part 170として2024年10月15日に連邦官報に掲載され、12月16日に発効しました。ただし、CMMC を実際の契約条項として盛り込むには、別途 DFARS（48 CFR）の改正規則³の最終化が必要です。DFARS CMMC 改正案は2024年8月に提案規則として公表されたものの、2026年5月時点でなお最終化されていません。32 CFR が発効しても、DFARS 最終化までは契約担当官（PCO）が条項を契約書に挿入する法的根拠が整わない点に留意が必要です。

DoD は CMMC を Phase 1〜4 の段階で展開する計画を示しており、2028年頃までに既存契約を含む全契約への適用が完了する見通しです。ただし、2025年以降は産業界（NDIA・米商工会議所など）から中小サプライヤーのコスト負担を理由とした実施延期・要件緩和を求めるロビー活動が継続しており、政権・規則進捗によってスケジュールが変動する可能性があります。最新の DFARS 進捗と DoD CMMC プログラムオフィスの発表を定期モニタリングすることが必要です。

認証インフラと現状の課題

C3PAOの認定・監督を担う機関がCyber AB（The Cyber Accreditation Body）です。2026年5月時点で Cyber AB に登録された C3PAO は全世界で約70機関。日本国内に拠点を持つ認定機関はまだ限られており、審査待ち期間の長期化と審査費用の高騰が業界全体の懸念事項となっています。レベル2の外部審査にかかるコストは契約規模によって幅がありますが、米国内では準備コストも含め数十万〜数百万ドル規模が相場とされます（具体的な見積もりは Cyber AB Marketplace 経由で取得して確認してください）。中小の一次・二次サプライヤーにとっては重大な財務的障壁となり、NDIA は中小サプライヤーの調達離脱が DoD 産業基盤を細らせるとして批判的な意見を公表しています。

レベル2第三者評価の認証有効期間は3年です。初期取得コストだけでなく、3年ごとの更新審査と継続的な証跡管理（ログ保全・SSP 更新・変更管理記録）のランニングコストを並列で見積もる必要があります。レベル3評価の実施主体は DIBCAC（Defense Industrial Base Cybersecurity Assessment Center）です。

欧州・英国の平行動向

EUではNIS2指令（2022年12月発効、加盟国の国内法化期限は2024年10月17日。ただし移行状況は加盟国により異なり、ドイツ・フランスを含む複数国で国内法整備が遅延中）が供給網全体のサイバーセキュリティ義務を定めており、CMMC同様にサプライヤー側にも要件が及びます。英国は政府調達の前提条件としてCyber Essentialsを定めつつ、防衛分野では独自規格DEF STAN 05-138による要件強化を進めています。CMMCが今後NATOサプライチェーン全体の事実上の基準になる可能性があり、欧州防衛調達にも参加する日本企業は複数フレームワークへの重複対応が視野に入ります。

日本企業への含意

CMMC 2.0が日本企業に与える影響は、米DoD取引との関与度合いによって三層に整理できます。

• 直接適用: 米DoD契約を直接保有する日本法人または日本企業の米国子会社。DFARS条項が契約書に明記されるため、認証取得は契約継続の必須条件です。
• 間接的影響: 米系プライム（一次請負）のサプライヤーとして部品・ソフトウェア・サービスを納入する企業。プライム側からフロー・ダウン条項（DFARS 252.204-7021）の適用を求められるケースが増えており、2025年以降は契約交渉の場でCMMC準拠状況の開示が求められる場面も出てきます。
• 参考基準: 防衛省や経産省の防衛産業サイバーセキュリティ基準もNIST SP 800-171を参照しており、CMMC対応を先行させることで国内規制への準備を兼ねられます。

実務上まず確認すべきは、自社が扱う情報がCUIに該当するかどうかです。技術仕様書・試験データ・設計情報などがCUIに分類されると、レベル2以上の審査対象になる可能性が高まります。契約書・仕様書を法務・調達部門と合同でレビューするのが出発点です。

業種別影響

• 防衛・航空宇宙製造: FMS契約や米国防衛プログラムに参画する企業は、レベル2外部審査が不可避といえます。設計情報・試験データのCUI管理体制と、製造現場のOT（運用技術）ネットワークの分離が主要課題です。OT環境のパッチ管理・ログ収集はNIST SP 800-171の要件（3.3系）と直接衝突しやすく、対応コストが膨らみやすい領域です。
• IT・SaaS: 米DoD傘下プログラムへのソフトウェア・クラウドサービス提供を目指す企業は、FedRAMP（米連邦クラウド認定）との組み合わせ対応が求められます。CMMC の文脈では FedRAMP High 相当以上が必要で、Moderate では CUI 処理環境として認められないケースがあります。マルチテナント型 SaaS の場合、CMMC の要件がベンダーインフラ側にも及ぶため、データ分離設計の見直しが必要になります。
• 電機・通信インフラ: 通信装置・暗号機器の供給ルートで CMMC 要件が課される可能性があります。特に ITAR（国際武器取引規制）/ EAR（輸出管理規制）対象品目を扱う企業は、CMMC と輸出管理の両面での体制整備が求められます。商用デュアルユース製品は ITAR 対象外でも EAR の管理下に入るため、ECCN 分類の確認が前提です。

一枚要約

米DoD CMMC 2.0 の最終規則（32 CFR Part 170）は2024年12月に発効しましたが、契約条項に組み込むための DFARS 改正は2026年5月時点で未最終化です。それでも DFARS 252.204-7019/7020 に基づく SPRS スコア提出義務は既に有効で、未対応のまま入札すると契約違反・FCA リスクを抱えます。米軍と直接・間接的に取引する日本の防衛・製造ベンダーは、まず自社契約の CUI 該当性と DFARS 条項を確認し、NIST SP 800-171 Rev.2 のギャップ評価とスコアの SPRS 登録に着手することが現実的な第一歩です。

今日着手できる3アクション

• 契約書のDFARS条項確認: 自社が締結中の米DoD関連契約書・仕様書を法務・調達と合同でレビューし、DFARS 252.204-7012または252.204-7021条項の有無を確認します。CUIの定義概要はDoD CUI Registryのページ（archives.gov）で確認できます。
• NIST SP 800-171セルフ評価の実施: NIST SP 800-171 Rev.2 の自己評価スプレッドシートをNIST CSRC公式ページから入手し、現状のギャップをスコア化します。DoD 評価方法論ではスコアは 110 点からスタートし、各要件の重み（1・3・5 点のいずれか）に応じて減算する方式です。未達要件の数だけでなく重みを考慮する必要があり、スコアはマイナス（最低 −203 点）になりえます。スプレッドシートには重み列が含まれているため、その列に従って計算してください。Rev.3 の差分も併せて把握しておくと将来の再評価コストを抑えられます。
• SPRS へのスコア提出と C3PAO 候補のリストアップ: 自己評価スコアを算出したら、SPRS（Supplier Performance Risk System）ポータル（sprs.csd.disa.mil）に登録します（DFARS 252.204-7020 に基づく義務）。並行して Cyber AB の公式 Marketplace（cyberab.org）で C3PAO 認定機関を検索し、日本語対応またはアジア太平洋リソースを持つ機関を3〜5社ピックアップして見積もり依頼を開始します。

AI×セキュリティの観点

CMMC 2.0の準備コスト削減策として、NIST SP 800-171の110項目とSSP（システムセキュリティ計画）のマッピング自動化や、証跡文書の整合性チェックに生成AIを活用する動きが米国コンサルティング業界で広がっています。一方で、AIツール自体がCUI処理環境に組み込まれる場合は、そのAIベンダーのインフラがFedRAMP高位以上を取得しているかどうかの確認がCMMC要件上で必要になります。防御側のAI活用はコスト圧縮に有効ですが、ツール選定がそのままコンプライアンスリスクになる点は見落とされやすく、注意が必要です。

編集後記

「CMMC は米国内の話」という認識が日本の防衛関連企業でまだ根強いと感じます。しかし防衛産業のサプライチェーンは階層が深く、一次請負だけでなく三次・四次のサプライヤーにもフロー・ダウンが届く構造です。対応に数年を要する規制だからこそ、今からギャップ評価を始めておくことが、受注機会を守る最も合理的な手段といえます。

用語ミニ解説

1. CMMC 2.0（Cybersecurity Maturity Model Certification） — 米国防総省が防衛請負業者に課すサイバーセキュリティ成熟度認証制度。レベル1〜3の3段階で、レベル2以上は NIST SP 800-171 の110項目を全網羅する必要があります。32 CFR Part 170 が2024年12月に発効、契約条項への盛り込みは DFARS 改正の最終化を待つ段階です。 ↩
2. CUI（Controlled Unclassified Information：管理対象非機密情報） — 機密指定はされていないが連邦政府が保護を求める情報の総称。技術仕様書・試験データ・契約関連情報などが該当しえます。CUI を扱う契約はレベル2 以上の対応が必須となるケースが多く、自社情報の CUI 該当性確認が CMMC 対応の出発点です。 ↩
3. DFARS（Defense Federal Acquisition Regulation Supplement） — 米国防調達規則の補足規定。サイバー要件を契約に組み込む条項（252.204-7012 / 7019 / 7020 / 7021）が含まれ、CMMC を契約上発動させるには DFARS の最終改正規則が必要です。2024年8月に提案規則が公表されたものの、2026年5月時点で最終化されていません。 ↩
4. SPRS（Supplier Performance Risk System） — DoD が運用するサプライヤー評価ポータル。DFARS 252.204-7019/7020 に基づき、連邦契約者は NIST SP 800-171 自己評価スコアの登録が義務付けられています。CMMC 制度とは別に既に有効な義務であり、未提出は契約違反・FCA リスクに直結します。 ↩
5. FCA（False Claims Act：虚偽請求取締法） — 連邦政府への虚偽申告に対する米国の制裁法。DoJ の Civil Cyber-Fraud Initiative はサイバー要件の偽申告を積極的に追及しており、三倍額賠償と内部告発者報奨（qui tam 訴訟）の対象となります。 ↩
6. C3PAO（CMMC Third-Party Assessment Organization） — Cyber AB が認定する CMMC 第三者評価機関。レベル2の外部審査を実施し、認証の有効期間は3年です。レベル3 評価は DIBCAC（Defense Industrial Base Cybersecurity Assessment Center）が政府主導で実施します。 ↩

参考リンク

• CMMC Program（DoD CIO公式）
• 32 CFR Part 170 最終規則 — 連邦官報
• NIST SP 800-171 Rev.2 — NIST公式
• Cyber AB（CMMC認定機関）公式サイト
• SPRS（Supplier Performance Risk System）公式ポータル
• CUIカテゴリ定義 — National Archives
• 防衛省装備庁 装備政策（防衛産業サイバーセキュリティ基準は同サイト内検索を推奨）