一般社団法人日本セキュリティ格付機構(JaSRO、東京都中央区)は2026年3月18日、米国防総省(DoD)基準「CMMC 2.0 Level 2」準拠を支援する中堅中小企業向けサービスを開始し、セルフ/アドバイザリー/フルサポートの3プランを用意しました。C3PAO第三者審査の準備期間は6〜12か月としています。
背景には、2025年11月10日〜2026年11月9日のPhase 1でLevel 1・2の年次自己評価とSPRS登録が新規DoD契約の条件になったことがあります。さらに2026年11月10日〜2027年11月9日のPhase 2では、CUI(管理対象非機密情報)を扱う新規契約でLevel 2のC3PAO審査が義務化されます。
対象は米軍基地内の工事・設備メンテナンス業者、エンジニアリング会社、工場を持つ製造業などです。自己評価準拠対策(ギャップ分析〜SPRS登録)に加え、SSP(システムセキュリティ計画)やPOA&M(改善計画)の作成、NIST SP 800-171に沿った規程・運用手順書整備、OT/IT分離やエンクレーブ化設計、エビデンス収集・内部監査、サプライチェーン対応、模擬評価や本審査同席などを支援します。
JaSROはCyber-AB公認C3PAOのKompleye社(米国バージニア州)と提携し、本審査が必要な場合は分担体制で対応します。今後は2026年11月10日のPhase 2開始に向け、自己評価から第三者審査までの体制構築を早期に進める企業が増える可能性があります。
【関連リンク】
詳細URL(Kompleye社のCMMCサービス詳細):https://www.kompleye.com/cmmc
関連資料(米国基準(NIST SP 800-171/172等)情報セキュリティ格付け):https://www.jasro.org/news/pdf/JaSRO_NewsRelease_20260115.pdf
関連資料(ISMAP登録支援):http://jasro.org/news/pdf/JaSRO_NewsRelease_20221026.pdf
関連資料(経済安全保障推進法「特定重要設備」向け支援):https://www.jasro.org/news/pdf/JaSRO_NewsRelease_20260121.pdf
関連資料(Kompleye社との提携によるCMMC 2.0対策支援サービス開始(2023年10月)):https://www.jasro.org/news/pdf/JaSRO_NewsRelease_J_20231030.pdf