CMMCとは？

サイバーセキュリティの成熟度モデル認定（Cybersecurity Maturity Model Certification 、以下CMMC）とは、米国国防省（Department of Defense、以下DoD）が定めたサイバーセキュリティ調達基準です。

Level 1は、Federal Contract Information（FCI）の基本的保護を対象とし、FAR clause 52.204-21に規定された15のセキュリティ要件への準拠が求められます。

年1回の自己評価と自己宣誓（affirmation）を実施し、結果をSPRS（Supplier Performance Risk System）に登録することが必須となります。

米軍関連の契約で2025年11月10日以降、セキュリティ水準を求められる対象案件に限り、元請はもちろんのこと下請業者にもCMMC Level 1の取得が求められています。

これにより、

・米国国防省関連案件への入札に参加できない

・米国防省および関連企業との契約を締結できない

といった明確な制限を受ける可能性があります。

okicomのCMMC Level 1 取得支援サービスとは

okicomの支援は、CMMC Level 1（FAR 52.204-21）に範囲を限定し、現実的かつ実行可能な形での対応を重視しています。

※CMMC Level 2以上は対象外となります。

本支援業務の4つの目的

1．各種登録・申請の実施体制確立

NCAGE、UEI、PIEE、SPRS等を自社で運用できる状態を構築

2．準拠状況の可視化

15要件を51項目に分解し、ギャップを明確化

3．基盤整備の完遂

ツール・規程・台帳・運用ルールを整備

4．継続的な準拠維持
年次自己評価・ログ管理を継続できる体制を確立

5つの支援領域（サービス全体像）

• 申請支援
  　NCAGE／UEI取得、PIEE／SPRS登録、Self-Assessment入力支援

• ギャップ調査
  　15要件を51項目に分解し、現状とリスクを分析

• ツール導入支援（技術的対策）
  　UTM、EDR、ログ管理ツールの選定・設定・運用支援

• 規程整備支援（非技術的対策）
  　社内規程・台帳・手順書の整備（日英併記対応）

• CMMC対応保守サービス
  　定期的なログ確認・評価、従業員向けセキュリティ研修