建立日本國內首屈一指的 CMMC Level 2 合規支援體系
株式會社 okicom 與 Ryukyu Cyber Initiative, LLC (RCI) 結成業務聯盟,自 2026 年 5 月起共同提供符合美國戰爭部資安標準「CMMC Level 2」的合規支援服務。從顧問諮詢到維運管理,將完全在日本國內提供一條龍支援。
📋 文章處理履歷
- 📰 發表: 2026年5月19日 01:25
- 🔍 收集: 2026年5月18日 17:01
- 🤖 AI分析完成: 2026年5月18日 17:04(收集後2分鐘)
株式會社 okicom(總公司:沖繩縣宜野灣市/代表董事:小渡 玠/以下簡稱「okicom」)與 Ryukyu Cyber Initiative, LLC(總公司:沖繩縣中頭郡讀谷村/代表人:Dr. Aaron M. Ramey/以下簡稱「RCI」)締結業務合作協議,將自 2026 年 5 月起,共同提供美國戰爭部 (DoW) 制定的網路安全採購標準「網路安全成熟度模型認證 (Cybersecurity Maturity Model Certification, CMMC)」Level 2 合規支援服務。
okicom 將擔任日本國內業者的客戶窗口及主導顧問,並與已在美國 Cyber AB 註冊為 RPO(Registered Practitioner Organization)的 RCI 合作,藉由架構建議、SSP(系統安全計畫)建立支援、模擬評估與知識移轉,導入具備 CCA(Certified CMMC Assessor)資格的 Dr. Ramey 之專業知識。透過此合作,將建構出從顧問諮詢、安全環境實作,到取得認證後的持續營運,皆可在日本國內一條龍完成的支援體系。
■ 背景
2025 年 11 月 10 日,因美國 DFARS 修法,CMMC 正式成為與 DoW 簽約的採購要件。自 2026 年 11 月 10 日起的 Phase 2,CMMC 的要求水準將分階段提高,預計要求符合 Level 2 的 DoW 合約將會擴大。根據企業規模與業態,準備期約需 6 至 12 個月,對於參與美軍相關採購的國內業者而言,及早建立體制已成為現實的課題。
另一方面,規格文件(DFARS 252.204-7012/NIST SP 800-171 Rev.2)皆為英文,且熟知 CMMC 審查標準的 CCA 或認證第三方評估機構(C3PAO:Certified Third-Party Assessor Organization)相關人員在日本國內相當有限。過去,從顧問諮詢、技術實作到後續持續營運皆能在國內完成的體制尚未健全。okicom 與 RCI 將透過共同提供此服務,填補此一結構性落差。
■ 關於 CCA(Certified CMMC Assessor)
CCA 是由美國 Cyber AB(CMMC Accreditation Body)認證的個人資格,代表在 CMMC 官方審查中,能作為 C3PAO 審查團隊的一員,對 Level 2 控制項目進行評估的職位。他們是 CMMC 生態系統中最貼近實務運作,也最熟知審查標準的人才。
目前在日本國內註冊的 CCA 數量有限,其中一位即為 RCI 代表 Dr. Aaron M. Ramey(持有資格:CCA/CCP/CISSP/CompTIA Security+/CMMC RPA/RP,網路安全管理博士學位 (PhD))。
CMMC 相關術語速查
- Level 1:FAR 52.204-21 的 15 項要求,年度自我評估
- Level 2:DFARS 252.204-7012, NIST SP 800-171 Rev.2 的 110 項要求,原則上由 C3PAO 進行第三方審查
- C3PAO:執行 CMMC 官方評估的認證第三方機構
- CCA:能作為 C3PAO 審查團隊一員執行 Level 2 評估的個人資格
- CUI:受控非機密資訊
- RPO:在國防供應鏈中,提供 CMMC 合規相關建議與支援,或作為 MSP 提供服務,且在 Cyber AB 註冊的組織
okicom 將擔任日本國內業者的客戶窗口及主導顧問,並與已在美國 Cyber AB 註冊為 RPO(Registered Practitioner Organization)的 RCI 合作,藉由架構建議、SSP(系統安全計畫)建立支援、模擬評估與知識移轉,導入具備 CCA(Certified CMMC Assessor)資格的 Dr. Ramey 之專業知識。透過此合作,將建構出從顧問諮詢、安全環境實作,到取得認證後的持續營運,皆可在日本國內一條龍完成的支援體系。
■ 背景
2025 年 11 月 10 日,因美國 DFARS 修法,CMMC 正式成為與 DoW 簽約的採購要件。自 2026 年 11 月 10 日起的 Phase 2,CMMC 的要求水準將分階段提高,預計要求符合 Level 2 的 DoW 合約將會擴大。根據企業規模與業態,準備期約需 6 至 12 個月,對於參與美軍相關採購的國內業者而言,及早建立體制已成為現實的課題。
另一方面,規格文件(DFARS 252.204-7012/NIST SP 800-171 Rev.2)皆為英文,且熟知 CMMC 審查標準的 CCA 或認證第三方評估機構(C3PAO:Certified Third-Party Assessor Organization)相關人員在日本國內相當有限。過去,從顧問諮詢、技術實作到後續持續營運皆能在國內完成的體制尚未健全。okicom 與 RCI 將透過共同提供此服務,填補此一結構性落差。
■ 關於 CCA(Certified CMMC Assessor)
CCA 是由美國 Cyber AB(CMMC Accreditation Body)認證的個人資格,代表在 CMMC 官方審查中,能作為 C3PAO 審查團隊的一員,對 Level 2 控制項目進行評估的職位。他們是 CMMC 生態系統中最貼近實務運作,也最熟知審查標準的人才。
目前在日本國內註冊的 CCA 數量有限,其中一位即為 RCI 代表 Dr. Aaron M. Ramey(持有資格:CCA/CCP/CISSP/CompTIA Security+/CMMC RPA/RP,網路安全管理博士學位 (PhD))。
CMMC 相關術語速查
- Level 1:FAR 52.204-21 的 15 項要求,年度自我評估
- Level 2:DFARS 252.204-7012, NIST SP 800-171 Rev.2 的 110 項要求,原則上由 C3PAO 進行第三方審查
- C3PAO:執行 CMMC 官方評估的認證第三方機構
- CCA:能作為 C3PAO 審查團隊一員執行 Level 2 評估的個人資格
- CUI:受控非機密資訊
- RPO:在國防供應鏈中,提供 CMMC 合規相關建議與支援,或作為 MSP 提供服務,且在 Cyber AB 註冊的組織
常見問題
okicom 的 CMMC 支援服務有何優勢?
透過與擁有日本罕見 CCA 資格專家的 RCI 合作,能在日語環境下提供從顧問到建置、完全於國內完成的一條龍服務。
準備 CMMC Level 2 需要多長時間?
依據企業規模與業態而異,一般約需 6 至 12 個月的時間。
最晚何時需要完成 CMMC 合規?
自 2026 年 11 月 10 日起的 Phase 2 將提高要求,因此需要為此及早進行準備。