米国防産業の新サイバーセキュリティ規則、中小企業に高い壁

ミシガン州の小さな金属加工会社、ジョンソン・プレシジョンの社長ジム・ウィルソン氏は、30年間にわたって米軍向けの精密部品を製造してきた。しかし今、彼の会社は存続の危機に立たされている。理由は戦争でも景気悪化でもない。新しいサイバーセキュリティ規則だ。

新規則の衝撃：中小企業が直面する現実

米国防総省は2026年から、すべての防衛契約業者に対してCMMC（Cybersecurity Maturity Model Certification）の取得を義務付けると発表した。この認証取得には10万ドルから50万ドル（約1,500万円から7,500万円）の費用がかかり、年間数十万ドルの維持費用も必要となる。

ウィルソン氏のような年商500万ドル規模の中小企業にとって、これは売上の10%以上に相当する負担だ。「軍用ボルトを作るのに、なぜIBMと同じレベルのサイバーセキュリティが必要なのか」と彼は困惑を隠さない。

実際、米国防産業の60%を占める中小企業のうち、3分の1がこの新規則により契約継続が困難になると予測されている。国防産業協会の調査によると、従業員100人未満の企業の45%が「規則遵守は不可能」と回答している。

国防総省の論理：サイバー攻撃の現実

一方、国防総省の立場も理解できる。近年、中国やロシアからのサイバー攻撃が激化し、小さなサプライヤーが侵入口として狙われるケースが急増している。

2023年には、ペンタゴンのサプライチェーンを通じた攻撃が200件以上報告された。その80%が従業員50人未満の企業を起点としていた。国防次官補のジェニファー・アロイ氏は「一つの弱いリンクが全体のセキュリティを脅かす」と強調する。

実際、昨年発生したSolarWinds攻撃では、小規模なソフトウェア会社への侵入が1万8000社の顧客企業に影響を与えた。国防総省にとって、サプライチェーン全体のセキュリティ強化は喫緊の課題だ。

産業構造の変化：勝者と敗者

この規則変更は、国防産業の構造を根本的に変える可能性がある。レイセオンやロッキード・マーティンといった大手企業は既に高度なサイバーセキュリティ体制を整えており、競争上有利になる。

一方、中小企業の撤退により、大手企業への集中が進む懸念もある。国防政策研究所のマーク・カンシアン氏は「競争の減少により、調達コストが15-20%上昇する可能性がある」と警告する。

興味深いことに、この変化は新たなビジネス機会も生み出している。サイバーセキュリティ・コンサルティング業界は年率25%の成長を記録し、中小企業向けの「CMMC as a Service」を提供する企業が急増している。

日本企業への波及効果

この動きは日本の防衛関連企業にも大きな影響を与える可能性がある。三菱重工業や川崎重工業など、米軍と取引のある日本企業も、将来的に同様の要件を求められる可能性が高い。

防衛装備庁関係者によると、「米国の基準が事実上の国際標準になる傾向がある」という。日本政府も2025年から独自のサイバーセキュリティ認証制度の導入を検討しており、日本の中小企業も同様の課題に直面することになりそうだ。

特に、精密機械や電子部品を手がける日本の中小企業にとって、この動向は他人事ではない。既に一部の企業では、将来の認証取得に向けた準備を開始している。