CMMC(Cybersecurity Maturity Model Certification)はサイバーセキュリティ成熟度モデル認証とも訳され、米国の国防総省(DoD:the Department of Defense)から、発表されている防衛産業基盤企業(DIB:defense industrial base’s)の機密非分類情報を、サイバー攻撃から保護する包括的な枠組みであり、現在の最新バージョンは CMMC 2.0である。
CMMCは、国防総省が請負業者や下請け業者などのサプライチェーン企業と共有する機密性の高い情報(CUI:Controlled Unclassified Information)などの保護を目的に開発された。CMMCとして特徴的なものとして成熟度モデルがあり、国家安全保障情報を預かる企業に対し、情報の種類と機密性に応じて、段階的に高度なレベルのサイバーセキュリティ基準を導入することを求めている。
具体的には、最新のCMMC 2.0で以下のレベル分け、プラクティス定義がされている。
- レベル3 (Expert) … 適用プラクティス数は110以上で、NIST SP 800-171、SP800-172に基づく
- レベル2 (Advanced) … 適用プラクティス数は 100で、NIS SP 800-171 に基づく
- レベル1 (Foundational) … 適用プラクティス数 15
またアセスメントの実施についても定義されており、レベル1は自己評価、レベル2は重要な国家安全保障情報に関する3年ごとの第三者評価、レベル3は3年毎の政府主導による評価が必要となる。
