政府説明責任局（Government Accountability Office: GAO）は3月12日、国防総省（Department of Defense）が進める防衛産業基盤（Defense Industrial Base: DIB）企業向けのサイバーセキュリティ成熟度モデル認証（Cybersecurity Maturity Model Certification: CMMC）プログラムについて、その実施を阻害し得る外部要因を十分に特定し、対応策を講じていないと発表した。同省は武器システムから維持管理まで約20万社の民間企業に依存しており、これら企業が機密情報を扱うため、サイバー攻撃への対応が喫緊の課題となっている。2020年に設立された同プログラムは、2024年に企業がサイバーセキュリティ要件を満たすことを義務付けるなど改訂されたが、重大問題発生時はこの基準を免除とするなど、同局の対応策は不透明で、民間部門における認定評価者の不足といった外部要因を体系的に評価・文書化していないと指摘した。その上で同省に対し、課題となる主要な外部要因を評価・文書化して対応策を策定するよう勧告し、同省もこれに同意した。

GAO “Defense Contractor Cybersecurity: DOD Should Address External Factors That Could Impede Program Implementation” (03/12/26)
https://www.gao.gov/products/gao-26-107955