長らく待たれていた「サイバーセキュリティ成熟度モデル認証(CMMC)」の最終規則が発表されました。米国国防総省(DoD)は、連邦官報にて「48 CFR DFARS 7021」の最終規則を公開しました。
この最終規則の公表により、CMMC(サイバーセキュリティ成熟度モデル認証)は、もはや将来的な構想ではなく、正式な制度要件となりました。
知っておくべきポイント:
-
契約制度が大きく変わります: この規則は、2025年11月10日までに施行される予定です。
- 契約制度が大きく変わります: 2025年11月10日以降、DoD(米国国防総省)の新規契約には、CMMCレベル2の要件が盛り込まれる可能性があります。CMMCレベル1については、契約の更新や新規契約の締結時点から適用されます。
- 認証がなければ契約できません: この日以降、DoDのサプライチェーンに関わる請負業者や下請け業者が、必要なCMMC認証を取得していない場合、新規契約への入札資格を失う可能性があります。段階的な導入期間(36か月)が終了すると、CMMCに準拠していない企業は新たな契約を獲得できなくなります。
CMMCとは?
CMMC(サイバーセキュリティ成熟度モデル認証)は、米国国防総省(DoD)が、防衛関連の契約企業やその下請け企業と共有される機密情報を保護するために設計した制度です。この認証制度では、企業が連邦契約情報(FCI)および管理対象非分類情報(CUI)を守るために、適切なサイバーセキュリティ対策を導入しているかどうかが確認されます。CMMCレベル2の評価は、第三者機関によって実施され、認証取得のための適合性が審査されます。一方、CMMCレベル1は、企業の認定担当者による自己申告と署名によって対応します。
CMMC対応は、今すぐ始めるのが賢明です
入札に落ちてからCMMCへの対応を始めるのでは、手遅れになる可能性があります。LRQAでは、認定CMMCアセッサー(CCA)および認定CMMCプロフェッショナル(CCP)による専門チームが、防衛関連企業の皆様が複雑なCMMC準拠のプロセスをスムーズに進められるよう支援します。
LRQAの提供サービス:
- ギャップ分析: 現在の体制をCMMCの要件と照らし合わせて分析し、不足している点を明確にしたうえで、改善計画を立てます。
- アドバイザリーサービス: CMMCの基準全体について助言を行い、サイバーセキュリティ体制の整備に必要なツールや知識を提供します。CMMCが定める110の実施事項と320の目的に対応する方針や手順の策定を支援します。
- MSP/MSSPサービス: CMMCレベル1およびレベル2の認証取得に向けて、マネージドサービスおよびマネージドセキュリティサービスを提供します。
- 評価支援: LRQAの専門チームが、可能な範囲で評価プロセスに参加し、貴社の準拠を全面的にサポートします。LRQAは、CMMC評価における信頼できるアドバイザーであり、パートナーとして皆様を支援します。
DoDのサプライチェーンに加わるために、今すぐお問い合わせください。将来の契約は、この対応にかかっています。