Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > CMMCコンプライアンス > CMMCとITARの比較: 防衛請負業者はどちらか一方、または両方に準拠する必要があるのか?
Blog Banner - CMMC vs. ITAR Do Defense Contractors Need to Comply With One or Both

CMMCとITARの比較: 防衛請負業者はどちらか一方、または両方に準拠する必要があるのか?

by Bob Ertl updated 1月 17, 2025 CMMCコンプライアンス
Reading Time: < 1 minutes

防衛契約において、規制へのコンプライアンスはビジネスを行う上で重要な要素です。サイバーセキュリティ成熟度モデル認証(CMMC) 2.0と国際武器取引規則(ITAR)は、業界に影響を与える重要な規制フレームワークです。これらの規制は機密情報と国家安全保障を保護するために設計されていますが、防衛請負業者がどのフレームワークが自社の業務に適用されるかを理解しようとする際には明確化が必要です。このブログ記事では、CMMC 2.0とITARの概要を提供し、それらの基本的な違いを比較し、どの防衛請負業者が一方または両方に準拠する必要があるかについてのガイダンスを示します。

CMMC認証プロセスは厳しいものですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。

CMMC 2.0: 概要

サイバーセキュリティ成熟度モデル認証、またはCMMCは、米国国防総省(DoD)によって開発された統一されたサイバーセキュリティ標準で、防衛産業基盤(DIB)内の機密情報のセキュリティを確保するためのものです。CMMCコンプライアンスは、DoDと協力し、制御されていない分類情報(CUI)を扱うすべての防衛請負業者に必要です。この情報には、技術データ、研究および工学データ、または防衛作戦に関連するその他の機密だが未分類のデータが含まれることがあります。

2021年11月、DoDはCMMC 2.0を導入し、元のモデルを更新して認証プロセスを簡素化し、中小企業への負担を軽減しました。CMMC 2.0は3つのレベルで構成されており、それぞれのレベルでコンプライアンスを達成するために必要な特定の手順と実践が求められます:

CMMC 2.0 レベル1: 基礎的なサイバーセキュリティ

このレベルは、国家標準技術研究所(NIST)特別出版物800-171に記載された実践を含む基本的なサイバーセキュリティの衛生に焦点を当てており、いくつかの追加要件があります。このレベルは、連邦契約情報(FCI)を扱う防衛請負業者の最低基準です。

CMMC 2.0 レベル2: 高度なサイバーセキュリティ

CUIを扱う防衛請負業者は、レベル2に準拠する必要があり、NIST SP 800-171に記載されたものを超える追加のセキュリティ実践を組み込んでいます。このレベルは、高度なサイバー脅威から機密情報を保護することを目的としています。

CMMC 2.0 レベル3: エキスパートサイバーセキュリティ

このレベルは、最高のサイバーセキュリティ保護を必要とする重要なプログラムと技術に適用されます。レベル3は、継続的な監視と高度な脅威検出機能を含む、より厳格なセキュリティ要件を組み込んでいます。

ITAR: 概要

国際武器取引規則、またはITARは、防衛品、防衛サービス、および関連する技術データの輸出、輸入、および仲介を管理する一連の規則です。ITARは、米国国務省防衛貿易管理局(DDTC)によって施行され、機密防衛技術の外国への不正な移転を防ぐことを目的としています。

米国武器リスト(USML)に記載されたアイテムに関連する製造、輸出、またはサービスを提供する防衛請負業者は、DDTCに登録し、ITARに準拠する必要があります。USMLは、兵器システム、軍用電子機器、防護装備など、さまざまな防衛関連アイテムをカバーしています。

CMMC 2.0 vs. ITAR

CMMC 2.0とITARは防衛請負業者にとって重要ですが、それぞれ異なる目的と要件を持っています。以下のセクションでは、これら2つの規制フレームワークを比較します。

CMMC 2.0 vs. ITAR: 範囲

CMMC 2.0はサイバーセキュリティに焦点を当てており、特にDoDと協力し、FCIまたはCUIを扱う防衛請負業者を対象としています。一方、ITARはより広範囲で、防衛品、防衛サービス、および関連する技術データの輸出、輸入、および仲介をカバーしています。

CMMC 2.0 vs. ITAR: 適用性

CMMC 2.0は、DoDと協力するすべての防衛請負業者に適用され、その業務の規模や性質に関係なく適用されます。ITARは、USMLに記載されたアイテムに関連する製造、輸出、またはサービスを提供する防衛請負業者に適用されます。

CMMC 2.0 vs. ITAR: 施行

CMMC 2.0はDoDによって施行され、防衛請負業者はコンプライアンスを確認するために第三者評価を受ける必要があります。認証は契約期間中に維持されなければなりません。国務省のDDTCはITARを施行し、違反は罰金、禁固刑、将来の契約からの除外を含む厳しい民事および刑事罰をもたらす可能性があります。

CMMC 2.0 vs. ITAR: 要件

CMMC 2.0は、FCIまたはCUIとの関与のレベルに応じて特定の要件を持つ3つのレベルにわたるサイバーセキュリティの実践とプロセスを概説しています。ITARコンプライアンスには、DDTCへの登録、輸出管理コンプライアンスプログラムの実施、および防衛品、防衛サービス、および関連する技術データの輸出、輸入、または仲介のための適切なライセンスの取得が含まれます。

CMMC 2.0とITARの選択

CMMC 2.0とITARのコンプライアンスの必要性は、防衛請負業者が提供する特定の業務とサービスに依存します。防衛請負業者の中には、ビジネスの性質に応じて、一方または両方の規制に準拠する必要がある場合があります。

CMMC 2.0コンプライアンス

DoDと協力し、FCIまたはCUIを扱うすべての防衛請負業者は、CMMC 2.0に準拠する必要があります。コンプライアンスの具体的なレベルは、扱う情報の種類に依存します:

CMMC 2.0 レベル1: FCIを扱う請負業者向け

CMMC 2.0の最初のレベルである基礎的なサイバーセキュリティは、FCIを扱う防衛請負業者を保護するために基本的なサイバーセキュリティの衛生を確立することに焦点を当てています。FCIは、契約の下で政府によって提供または生成された情報であり、公開を意図していないものを指します。

レベル1に準拠することで、防衛請負業者はサイバーセキュリティリスクを管理し、FCIを不正アクセスや開示から保護するための堅固な基盤を確立していることを示します。このレベルでは、防衛請負業者はNIST SP 800-171に記載されたサイバーセキュリティの実践といくつかの追加要件に従う必要があります。これらの実践には、情報システムへのアクセスの保護、セキュアなパスワードポリシーの実施、最新のアンチウイルスソフトウェアの維持が含まれます。

CMMC 2.0 レベル2: CUIを扱う請負業者向け

CMMC 2.0の第二レベルである高度なサイバーセキュリティは、CUIを扱う防衛請負業者向けに設計されています。CUIは、国家安全保障に損害を与える可能性があるため、保護または配布制御が必要な機密情報のカテゴリです。

レベル1の要件に加えて、このレベルの防衛請負業者は、高度なサイバー脅威からCUIを保護するために、より高度なサイバーセキュリティの実践を実施する必要があります。これらの実践はNIST SP 800-171を超えており、多要素認証二重暗号化技術、侵入検知システムを含む場合があります。レベル2に準拠することで、防衛請負業者はCUIを保護し、国家安全保障に重大な影響を与える可能性のあるサイバーインシデントのリスクを軽減することへのコミットメントを示します。

CMMC 2.0 レベル3: 重要なプログラムと技術に関与する請負業者向け

CMMC 2.0の第三で最高のレベルであるエキスパートサイバーセキュリティは、最高のサイバーセキュリティ保護を必要とする重要なプログラムと技術に関与する防衛請負業者向けに適用されます。これらのプログラムと技術は、機密情報や能力を含む可能性があり、侵害された場合、国家安全保障に深刻な損害を与える可能性があります。

このレベルでは、防衛請負業者は、厳格なセキュリティ要件と高度な能力を組み込んだ包括的で堅牢なサイバーセキュリティプログラムを実施する必要があります。これらの要件には、継続的な監視、高度な脅威検出と対応、出現するサイバー脅威を特定し軽減するための積極的な対策が含まれる場合があります。レベル3に準拠することで、防衛請負業者は、防衛産業基盤の最も機密性が高く重要な資産を保護し、国家の最先端技術と能力が安全で侵害されないことを保証する能力を示します。

ITARコンプライアンス

USMLに記載されたアイテムに関連する製造、輸出、またはサービスを提供する防衛請負業者は、ITARに準拠する必要があります。これには、防衛品の開発、製造、または維持に関与する企業や、防衛アイテムに関連するトレーニング、技術支援、またはコンサルティングサービスを提供する企業が含まれます。

CMMC 2.0とITARのデュアルコンプライアンスのナビゲート

デュアルコンプライアンスを理解し管理することは、DoD契約の資格を維持し、非コンプライアンスに関連する潜在的な罰則を回避するために重要です。場合によっては、防衛請負業者がCMMC 2.0とITARの両方に準拠する複雑さをナビゲートする必要がある場合があります。このようなシナリオは通常、請負業者が両方の規制の範囲内で活動を行う場合に発生します。以下の状況では、CMMC 2.0とITARのデュアルコンプライアンスが必要になることがよくあります:

DoD契約のためのFCIまたはCUIの取り扱い

DoDと協力し、FCIまたはCUIを管理する防衛請負業者は、情報取り扱い要件に応じて、基礎的、高度、またはエキスパートサイバーセキュリティの適切なCMMC 2.0レベルに従う必要があります。

USMLアイテムへの関与

USMLに記載されたアイテムに関連する製造、輸出、またはサービスを提供する請負業者は、ITAR規制に準拠する必要があります。これには、必要なライセンスの取得と効果的な輸出管理コンプライアンスプログラムの実施が含まれます。

例えば、USMLに記載された先進的なレーダーシステムを開発および製造する防衛請負業者を考えてみましょう。この請負業者は、DoD契約の一環としてCUIを扱うだけでなく、レーダーシステムを外国の同盟国に輸出しています。この場合、請負業者はCMMC 2.0とITARの両方の規制に準拠する必要があります。

デュアルコンプライアンスを効果的に管理するために、防衛請負業者はCMMC 2.0とITARの両方の特定の要件に対応する統合コンプライアンス戦略を実施する必要があります。この戦略には以下が含まれる場合があります:

  • CMMC 2.0フレームワークと整合しながら輸出管理要件を組み込んだ包括的なサイバーセキュリティプログラム
  • 請負業者の既存のサイバーセキュリティインフラストラクチャとシームレスに統合された輸出管理コンプライアンスプログラムの開発と維持
  • CMMC 2.0とITARの要件に準拠するための定期的な評価、監査、およびトレーニング

コンプライアンスへの一貫したアプローチを採用することで、防衛請負業者はCMMC 2.0とITARの規制に準拠する複雑さを効果的にナビゲートし、機密情報を保護し、DoDやその他の政府機関と協力する能力を維持できます。

CMMC 2.0 vs. ITARコンプライアンス: ユースケース

以下のユースケースは、CMMC 2.0またはITARへのコンプライアンスの必要性を示しています。

ユースケース1: サイバーセキュリティサービス

防衛請負業者がDoDにサイバーセキュリティサービスを提供し、CUIを扱う場合、この請負業者はCMMC 2.0レベル2: 高度なサイバーセキュリティに準拠する必要があります。この請負業者がUSMLに記載されたアイテムに関連する製造、輸出、またはサービスを提供していない場合、ITARコンプライアンスは必要ありません。

ユースケース2: 防衛電子機器の製造

防衛請負業者がUSMLに記載された防衛電子機器を製造し、これらのアイテムを外国の同盟国に輸出する場合、USMLアイテムの輸出によりITARに準拠する必要があります。請負業者がDoD契約の一環としてCUIを扱う場合、CMMC 2.0レベル2: 高度なサイバーセキュリティに従う必要があります。

ユースケース3: 研究開発サービス

防衛請負業者が軍事用途の先進材料に関する研究開発サービスをDoDに提供する場合、この請負業者はその業務の一環としてFCIとCUIの両方を扱います。この場合、請負業者はCMMC 2.0レベル2: 高度なサイバーセキュリティに準拠する必要があります。研究がUSMLに記載されたアイテムを含み、請負業者がこれらのアイテムを輸出、輸入、または関連するサービスを提供する場合、ITARコンプライアンスも必要です。

ユースケース4: 軍事訓練および支援サービス

防衛請負業者がUSMLに記載された防衛品を扱う軍事訓練および支援サービスを提供する場合、この請負業者はその業務の一環としてFCIまたはCUIを扱う必要があります。この場合、USMLアイテムへの関与によりITARに準拠する必要があります。CMMC 2.0コンプライアンスは、FCIまたはCUIを扱わないため必要ありません。

KiteworksでCMMC 2.0レベル2コンプライアンスの旅を簡素化

CMMC 2.0フレームワークをナビゲートすることは、特にレベル2コンプライアンスを達成する必要があるDoD請負業者および下請け業者にとって複雑なプロセスです。CMMCの専門家と提携することは、スムーズなコンプライアンスの旅を確保するための賢明な決定です。

Optivのような専門的なコンサルティングプラクティスは、既存のコントロールと技術をレベル2の実践要件に合わせるのを支援できます。これらの専門家は、行動計画とマイルストーン(POA&M)の修正を通じてガイドし、認定されたCMMC第三者評価認定機関(C3PAO)と協力して評価と認定を行います。

専門家のガイダンスに加えて、適切な機密コンテンツ通信プラットフォームを選択することで、CMMC 2.0レベル2コンプライアンスプロセスを大幅に加速できます。CUIやFCIのような機密情報の送信、共有、受信、保存に複数のツールを使用するのではなく、統一されたソリューションが複雑さ、非効率性、リスクを軽減します。

3,800以上の組織がKiteworksプラットフォームを選択しており、6年連続で中程度の影響レベルに対してFedRAMP認定を受けています。KiteworksのFedRAMPコンプライアンスは、ファイルおよびメールデータ通信のためにDoDサプライヤーが活用する他のソリューションと差別化されています。FedRAMPコンプライアンスと強化された仮想アプライアンスにより、Kiteworksは市場で他のどの比較可能なソリューションよりも多くのCMMC 2.0レベル2の110の実践コントロールのほぼ90%をサポートしています。

競争に先んじて、CMMC 2.0レベル2コンプライアンスへの旅を加速する方法を学ぶために、今日Kiteworksのカスタムデモをスケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks