国防総省、サイバーセキュリティ認証基準の導入を停止 中小企業参加推進へ

国防総省(Department of Defense)は7月13日、11月10日に発効予定だったサイバーセキュリティ成熟度モデル認証(Cybersecurity Maturity Model Certification: CMMC)基準導入を即時停止し、事業全体の見直しに着手したと発表した。同省は、法外な準拠コストや煩雑な事務手続きを生み出している現行基準が中小企業への負担となり、防衛産業基盤からの離脱を招いている現状を指摘し、戦力化へのスピードを最優先する戦時体制への移行方針を改めて示した。一方で、サイバーセキュリティ強化方針は維持し、第1段階で提示した自己評価基準や連邦データ保護義務は厳格に継続する。また、CMMC改革に向けたタスクフォース新設について、現場の戦闘員が必要とする装備の迅速確保に向け、同産業基盤体制を整備する必要性を強調した。これに伴い、運用回復力に関する知見や情報を民間企業から集約し、新興・中小企業の参入障壁を下げる現実的かつ拡張可能なセキュリティ評価基準提言を60日以内に同省最高情報責任者(CIO)に提出する計画である。

Department of Defense “War Department Changes Cybersecurity Maturity Model Certification Requirements” (07/13/26)
https://www.war.gov/News/News-Stories/Article/Article/4542849/war-department-changes-cybersecurity-maturity-model-certification-requirements/