米国サイバーセキュリティ成熟度モデル認証（CMMC）

米国国防総省（DoD）は現在、対象となるすべての防衛関連の請負業者と下請け業者に、NIST SP 800-171 に記載されているセキュリティ管理の実装を義務付けています。この要件は、対象となる事業体の DFARS 252.204-7012 契約条項の一環として、連邦契約情報（FCI）および管理対象の非機密情報（CUI）を保護することを目的としています。

国防総省は、この要件を形式化して NIST SP 800-171 の遵守状況を検証する仕組みを確立するために、サイバーセキュリティ成熟度モデル認証（CMMC）プログラムを策定しています。国防総省のすべての請負業者は、契約に DFARS 252.204-7012 条項が含まれる場合、このルールが成立した際には、契約締結の条件として国防総省の契約で要求される CMMC レベルを達成する必要があります。

CMMC 2.0 の背景

2023 年 12 月 26 日、国防総省は、パブリック コメントを求めるために、ルールの原案を公表しました。パブリック コメントの受付期間は 60 日間とされ、ルール作成者会による審査を経て、最終的なルールが成立、公開される予定です。業界のアナリストは、このタイムラインに基づくと、最終的なルールが発行されるのは 2025 年初頭になり、最初の請負業者が CMMC 認定を受けるのはそれ以降になると予測しています。この日程は、政府の意思決定のタイムラインによって変わる可能性があります。

CMMC と Google Cloud

CMMC 2.0 には、国防総省の要件に応じて、組織が追求できる 3 つのレベルがあります。最終的なルールの公開まで、組織が CMMC の公式評価を受けることはできませんが、Google Cloud は、Google Cloud サービスと Google Workspace の両方の FedRAMP 認定プロセスをサポートしている Google 専用の C3PAO を通じた模擬評価に参加することで CMMC レベル 2 に向けた準備を進めています。Google は、CMMC 2.0 の成立後ただちに、クラウド サービス プロバイダ（CSP）向けに定義されている正式な認証プロセスを開始する予定です。

これまでに CMMC 認証を取得した組織は存在しませんが、Google は CMMC 2.0 プログラムに対する準備として、NIST SP 800-171 の評価を進めてきました。この評価レポートは、NIST SP 800-171 のページでご確認いただけます。

CMMC の現時点の草案によると、CUI の保存にクラウド ソリューションを利用する請負業者は、少なくとも FedRAMP Moderate 認定を保持する CSP を使用する必要があります。CMMC に対する準備として、Google Cloud サービスを使用する Defense Industrial Base（DIB）の請負業者は、FedRAMP システム セキュリティ プラン（SSP）の一部である FedRAMP Customer Responsibility Matrix（CRM）を参照し、想定される CMMC コンプライアンスに関連した共有責任モデルを理解する必要があります。ご不明な点がございましたら、Google のセールスチームまたは Google Cloud の担当者までお問い合わせください。ご質問にお答えし、関連ドキュメントをご案内いたします。