国内完結のCMMC Level 2 対応支援体制を構築
株式会社okicomとRyukyu Cyber Initiative (RCI)は業務提携し、2026年5月より米国戦争省のセキュリティ基準「CMMC Level 2」対応支援サービスを共同提供する。国内でコンサルティングから運用まで一貫サポートする。
📋 記事の処理履歴
- 📰 発表: 2026年5月19日 01:25
- 🔍 収集: 2026年5月18日 17:01
- 🤖 AI分析完了: 2026年5月18日 17:04(収集から2分後)
株式会社okicom(本社:沖縄県宜野湾市/代表取締役:小渡 玠/以下「okicom」)は、Ryukyu Cyber Initiative, LLC(本社:沖縄県中頭郡読谷村/代表者:Dr. Aaron M. Ramey/以下「RCI」)と業務提携契約を締結し、米国戦争省(DoW)が定めるサイバーセキュリティ調達基準「Cybersecurity Maturity Model Certification(CMMC)」の Level 2 対応支援サービスを、2026年5月より共同で提供開始します。
okicom が国内事業者の顧客窓口および主導コンサルタントを務め、米国 Cyber AB に登録された RPO(Registered Practitioner Organization)であるRCIと連携し、CCA(Certified CMMC Assessor)資格を有する Dr. Ramey の専門知見をアーキテクチャ助言・ SSP ( System Security Plan ) 作成支援・モック評価・知識移転を通じて取り込みます。これにより、コンサルティングからセキュリティ環境の実装、認証取得後の継続運用までを国内で一貫してサポートする体制を構築します。
■ 背景
2025年11月10日、米国 DFARS 改正により CMMC は DoW との契約における正式な調達要件として施行されました。2026年11月10日からの Phase 2 では CMMC の要求水準が段階的に引き上げられ、Level 2 への対応が求められる DoW 契約が広がっていく見込みです。準備には規模・業態によって6〜12か月程度を要し、米軍関連調達に関わる国内事業者にとって、早期の体制整備が現実的な課題となっています。
一方、規格文書(DFARS 252.204-7012/NIST SP 800-171 Rev.2)は英文であり、CMMC 審査基準を熟知する CCA や認定第三者評価機関(C3PAO:Certified Third-Party Assessor Organization)関係者は国内では限られています。コンサルティングから技術的な実装、その後の継続運用までを国内で完結できる体制は、これまで十分に整っていませんでした。okicom と RCI は、この構造的なギャップを補う形で本サービスを共同提供します。
■ CCA(Certified CMMC Assessor)について
CCA は、米国 Cyber AB(CMMC Accreditation Body)が認定する個人資格で、CMMC 公式審査において C3PAO の審査チームの一員として Level 2 のコントロールを評価できる立場を指します。CMMC エコシステムの中で最も実務に近く、最も審査基準を熟知している人材です。
国内に登録された CCA は現時点で限られた数にとどまっており、その1人が RCI 代表の Dr. Aaron M. Ramey(保有資格:CCA/CCP/CISSP/CompTIA Security+/CMMC RPA/RP、サイバーセキュリティマネジメント博士号(PhD))です。
CMMC関連用語の早見
- Level 1: FAR 52.204-21の15要件、年次自己評価
- Level 2: DFARS 252.204-7012, NIST SP 800-171 Rev.2 の110要件、原則 C3PAOの第三者審査
- C3PAO: CMMC公式評価を実施する認定第三者機関
- CCA: C3PAOの審査チームの一員として Level 2の評価を行える個人資格
- CUI: 管理対象非機密情報
- RPO: 防衛サプライチェーンにおいて、CMMC対応に関する助言・支援、またはMSPとしてのサービスを提供する、Cyber ABに登録された組織
okicom が国内事業者の顧客窓口および主導コンサルタントを務め、米国 Cyber AB に登録された RPO(Registered Practitioner Organization)であるRCIと連携し、CCA(Certified CMMC Assessor)資格を有する Dr. Ramey の専門知見をアーキテクチャ助言・ SSP ( System Security Plan ) 作成支援・モック評価・知識移転を通じて取り込みます。これにより、コンサルティングからセキュリティ環境の実装、認証取得後の継続運用までを国内で一貫してサポートする体制を構築します。
■ 背景
2025年11月10日、米国 DFARS 改正により CMMC は DoW との契約における正式な調達要件として施行されました。2026年11月10日からの Phase 2 では CMMC の要求水準が段階的に引き上げられ、Level 2 への対応が求められる DoW 契約が広がっていく見込みです。準備には規模・業態によって6〜12か月程度を要し、米軍関連調達に関わる国内事業者にとって、早期の体制整備が現実的な課題となっています。
一方、規格文書(DFARS 252.204-7012/NIST SP 800-171 Rev.2)は英文であり、CMMC 審査基準を熟知する CCA や認定第三者評価機関(C3PAO:Certified Third-Party Assessor Organization)関係者は国内では限られています。コンサルティングから技術的な実装、その後の継続運用までを国内で完結できる体制は、これまで十分に整っていませんでした。okicom と RCI は、この構造的なギャップを補う形で本サービスを共同提供します。
■ CCA(Certified CMMC Assessor)について
CCA は、米国 Cyber AB(CMMC Accreditation Body)が認定する個人資格で、CMMC 公式審査において C3PAO の審査チームの一員として Level 2 のコントロールを評価できる立場を指します。CMMC エコシステムの中で最も実務に近く、最も審査基準を熟知している人材です。
国内に登録された CCA は現時点で限られた数にとどまっており、その1人が RCI 代表の Dr. Aaron M. Ramey(保有資格:CCA/CCP/CISSP/CompTIA Security+/CMMC RPA/RP、サイバーセキュリティマネジメント博士号(PhD))です。
CMMC関連用語の早見
- Level 1: FAR 52.204-21の15要件、年次自己評価
- Level 2: DFARS 252.204-7012, NIST SP 800-171 Rev.2 の110要件、原則 C3PAOの第三者審査
- C3PAO: CMMC公式評価を実施する認定第三者機関
- CCA: C3PAOの審査チームの一員として Level 2の評価を行える個人資格
- CUI: 管理対象非機密情報
- RPO: 防衛サプライチェーンにおいて、CMMC対応に関する助言・支援、またはMSPとしてのサービスを提供する、Cyber ABに登録された組織
よくある質問
okicomとRCIが共同提供するサービスは何ですか?
米国戦争省(DoW)が定めるサイバーセキュリティ調達基準「CMMC Level 2」への対応を支援するサービスです。コンサルティングから実装、運用まで国内で一貫してサポートします。
CMMC Level 2の対応支援サービスはいつから始まりますか?
2026年5月より提供が開始されます。
CMMCとは何ですか?
米国戦争省(DoW)との契約における正式なサイバーセキュリティ調達要件です。2026年11月10日からのPhase 2では要求水準が引き上げられ、Level 2への対応が求められる契約が広がります。
CCA(Certified CMMC Assessor)とはどのような資格ですか?
米国Cyber ABが認定する個人資格で、CMMC公式審査においてC3PAOの審査チームの一員としてLevel 2のコントロールを評価できる立場を指します。
なぜCMMC Level 2の対応支援体制が必要とされているのですか?
準備に6〜12ヶ月を要する一方、規格文書が英文であり、国内にはCCAや認定第三者評価機関関係者が限られているため、国内完結で支援できる体制が不足していたからです。