国防総省、暫定サイバーセキュリティ規則を公表

国防総省(Department of Defense)は、契約企業が主要なサイバーセキュリティ措置を維持していることを証明するために求められる「サイバーセキュリティ成熟モデル認証(Cybersecurity Maturity Model Certification: CMMC)」プログラムの暫定規則を公表した。本暫定規則は9月29日付けの連邦広報(Federal Register)で発表され、11月30日に施行される。同日までパブコメ受付が行われ、最終規則を策定する際に検討される予定である。国防総省によれば、同省の契約企業は全て、2025年10月21日までに、各契約においてCMMCの何らかの水準を有していることが義務付けられる。暫定規則は実質的に、サイバーセキュリティ評価に3つの水準(基本、中、高)を設けている。今回の発表を受け、政府・国防契約企業を代表する業界団体は、CMMCの枠組みは称賛しているものの、その実践と規則策定プロセスに批判を示している。

FCW “DOD releases interim cybersecurity rule” (9/29/20)