米国のAIプラットフォーム企業が、国防総省のサプライチェーンに求められるサイバーセキュリティ認証「CMMC」を取得しました。一見、遠い国の話に聞こえるかもしれませんが、この動きはサプライチェーンを通じて、日本の製造業にも決して無関係ではありません。本稿では、CMMCの概要と、それが我々の事業に与える影響について解説します。
米国防総省が導入する新たな認証制度「CMMC」
CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)とは、米国国防総省(DoD)が、その広範なサプライチェーンに関わる企業をサイバー攻撃から守るために策定した統一的なセキュリティ基準です。国防総省との契約を希望する企業は、この認証を取得することが将来的に必須となります。
これまでもNIST(米国国立標準技術研究所)の定めるガイドライン等は存在しましたが、CMMCの大きな特徴は、自己評価だけでなく、第三者評価機関による客観的な監査と認証が求められる点にあります。これは、サプライチェーン全体で、より確実なセキュリティ水準を担保しようという国防総省の強い意志の表れと言えるでしょう。
ソフトウェア企業も対象 – Galorath社の事例が示すもの
元記事で報じられているのは、Galorath社というAIを活用したコスト見積もりプラットフォームを提供する企業が、CMMCのレベル2認証を取得したというニュースです。同社は、航空宇宙・防衛産業向けにサービスを提供しており、今回の認証取得は事業継続において不可欠なステップでした。
この事例が我々に示す重要な点は、CMMCの対象が、物理的な部品を製造・納入するメーカーだけに留まらないということです。設計データやコスト情報などを扱うソフトウェアやITサービスを提供する企業も、サプライチェーンの重要な一員として、同様のセキュリティレベルを求められます。これは、日本の製造現場で利用されているCAD/CAMソフトウェア、生産管理システム(MES)、あるいは製品に組み込まれるソフトウェアの開発元なども、将来的に対象となる可能性を示唆しています。
サプライチェーン全体に広がる影響
CMMCの最も注意すべき点は、その要求が元請け企業(プライムコントラクター)だけでなく、部品や素材を供給する下請け、孫請けの企業にまで及ぶことです。米国の元請け企業は、自社のサプライヤーに対してCMMC認証の取得を求めるようになります。つまり、日本の企業が米国の航空宇宙・防衛産業のサプライチェーンに組み込まれている場合、たとえ間接的な取引であっても、顧客からCMMCへの対応を要求される可能性があるのです。
これは、品質管理の世界でISO 9001やIATF 16949といった認証がサプライヤーに求められる構図と非常によく似ています。サイバーセキュリティが、品質や納期、コストと並ぶ、サプライヤー選定の重要な基準となりつつあるのです。
日本の製造業への示唆
今回のニュースは、対岸の火事ではありません。日本の製造業が留意すべき点を以下に整理します。
1. サプライチェーンにおける自社の立ち位置の確認
まず、自社の製品や技術が、最終的に米国の航空宇宙・防衛分野で使用されていないか、取引先を通じて確認することが重要です。もしサプライチェーンの一部であるならば、顧客からCMMCに関する情報収集を早期に開始し、対応計画を立てる必要があります。
2. セキュリティ対策を経営課題として捉える
サイバーセキュリティは、もはや情報システム部門だけの課題ではありません。事業継続を左右する重要な経営課題であり、工場運営や品質保証、調達部門とも連携した全社的な取り組みが不可欠です。特に、工場のスマート化(DX)を進める上で、セキュリティの確保は全ての土台となります。
3. 他産業への波及への備え
現在、CMMCは国防総省の案件が中心ですが、このようなサプライチェーン全体にセキュリティを求める枠組みは、今後、自動車、医療機器、エネルギーといった重要産業にも広がっていくと予想されます。今回の動きを、自社のセキュリティ体制を国際標準レベルに引き上げる好機と捉え、長期的な視点で対策を進めることが望ましいでしょう。
コメント