【CrowdStrike】Falconと米国国防総省（DoD）の取り組みとセキュリティ基準について

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。CrowdStrike Falconがなぜ米国国防総省（DoD）のセキュリティ基準をクリアできるのか、本記事では、最高レベルの認可『IL5』の内容や、『CMMC 2.0』との関係、ISMAPとの違いを調査したのでご紹介します。

CrowdStrike Falconとは

CrowdStrike Falcon は統合・構築されたエージェント型セキュリティプラットフォームです。単一のFalconセンサーを端末にインストールするだけで保護が開始できます。エンドポイント保護以外にもIDや資産、AI利用、SaaS、クラウドといったセキュリティの可視化・保護可能なカバー範囲は広く、ユーザーのセキュリティ管理者も単一のテナントでこれらの機能を管理できます。

（CrowdStrike公式ページ）

※CrowdStrikeの各機能について弊社ブログでもいくつかご紹介しておりますので、必要に応じてご確認ください。また、詳細についてのお問い合わせにつきましても弊社までお気軽にお問合せください。

米国国防総省（DoD）とサイバーセキュリティの取り組みについて

Department of Defense（DoD） はアメリカ合衆国の軍隊を管理・運営し、国家の安全を守るための巨大な役所です。日本語では一般的に 米国国防総省（べいこくこくぼうそうしょう）と訳されます。アメリカの軍事力を一手に引き受ける組織なので、その規模と影響力は世界最大級となります。

バージニア州にある五角形の巨大な建物ペンタゴンでは組織そのものを指して「ペンタゴン」と呼ぶこともあります。構成としては、陸軍、海軍、空軍、宇宙軍、海兵隊のすべてを統括しています。

主な任務は戦争の抑止と国家の安全保障となります。軍の運用は世界各地に展開する米軍の活動をコントロールします。予算は毎年、数千億ドル（日本円で100兆円規模）という膨大な国家予算を使い、最新兵器の開発や兵士の育成を行っています。

現実空間における安全保障対応・対策のみならず、サイバー攻撃から国を守ることも重要な役割となり、その最前線ではCrowdStrikeなどの高度な技術が活用されています

2026年度の予算案（FY2026 Budget Request）では、サイバー空間での活動（Cyberspace Activities）全体に対して、前年度比 4.1% 増の約151億ドルとなっています。

• 2025年度（推定）: 約145億ドル

• 2026年度（要求）: 約151億ドル（前年度比 4.1% 増）

（FY2026 Department of Defense Cyber Budget Request）

Falconと米国国防総省（DoD）の取り組みの概要

CrowdStrike Falcon は、米国国防総省（DoD）のミッションクリティカルな資産を保護するため、AWS GovCloud上で動作するAIネイティブなクラウドプラットフォームを提供しています。

CrowdStrike Falcon は2023年5月、米国国防総省（DoD）から「インパクト・レベル5（IL5）」の暫定認可（P-ATO）を取得しました。これにより、管理された非機密情報（CUI）の中でも、国家安全保障システム（NSS）に関わる極めて機密性の高いデータの処理を保護することが可能になりました。

米国国防総省（DoD）は2027年までの完了を目指している「ゼロトラスト・アーキテクチャ」の実現において、デバイス、アイデンティティ、ワークロードの保護を担う中心的なパートナーとしてCrowdStrike Falcon は位置づけられています。

複雑な米国国防総省（DoD）のIT環境において、CrowdStrike Falcon は1つの軽量なエージェントでエンドポイント保護（EDR/XDR）から脅威ハンティングまでを一元化しています。

非機密IPルーターネットワーク（NIPRNet）上のデバイスやワークロードを、24時間365日体制で監視・保護しています。攻撃者の「ブレイクアウト・タイム（侵入から横展開までの時間）」が短縮される中、AIと専門家による24時間の監視により、高度な国家レベルのサイバー攻撃を検知・阻止しています。

また、管理対象および未管理のデバイスを可視化し、米国国防総省（DoD）のコンプライアンス基準を満たしているかリアルタイムで検証・制御する仕組みを提供しています。

米国国防総省（DoD）のセキュリティ基準とCrowdStrike Falconが取得したDoDの「インパクトレベル5 (IL5)」とは

米国国防総省（DoD）のセキュリティ基準は、世界で最も厳格なIT基準の一つとして知られています。これには主に、クラウド製品向けの「インパクトレベル（IL）」と、民間企業（サプライチェーン）向けの「CMMC」という2つの大きな枠組みがあります。

クラウドサービスの格付け - インパクトレベル（IL）

DoDはクラウドサービスを、扱う情報の機密性に応じて4段階（IL2, 4, 5, 6）に分類しています。

IL6は完全に隔離された専用環境となるため、前述の CrowdStrike Falcon が取得した「IL5」は、非機密の中では最高レベルであり、国家安全保障に直結する重要なシステムを保護できることを意味します。

民間企業向けの認証制度 - CMMC 2.0

CMMC（Cybersecurity Maturity Model Certification）はサイバーセキュリティ成熟度モデル認証と訳されていますが、米国国防総省（DoD）と取引を行うすべての企業（下請け含む）に求められる認証です。2025年以降、段階的に完全義務化される予定となっています。

• レベル1（基礎）: 基本的なサイバー対策（15項目）。自己評価でOK。

• レベル2（高度）: NIST SP 800-171（110項目）に準拠。第三者機関の監査が必要。

• レベル3（エキスパート）: 政府による直接監査。高度な標的型攻撃（APT）対策が必須。

米国国防総省のセキュリティ基準（IL/CMMC）と日本基準（ISMAP）の比較

米国国防総省（DoD）基準と日本国内の基準との違いについて、以下の3点が挙げられています。

日本の ISMAPと、違いについて

日本にも政府クラウド認証制度ISMAP（イスマップ：Information System Security Management and Assessment Program）がありますが、米国国防総省（DoD）基準とはデータの種類に応じた細分化に差があります。

• ISMAP: 「基本的に政府が使えるサービスか」の一律の審査
• 米国国防総省（DoD） IL: 「どのレベルの機密データまで入れて良いか」を明確にランク分け

米国国防総省（DoD）のIL5やIL6は、物理的なサーバーの設置場所が米軍基地内や米国本土に限定されるなど、ISMAPよりも遥かに厳しい物理・人的制約があります。

NIST SP 800-171 への準拠が必須

米国では、米国国防総省（DoD）に関わる民間企業は NIST SP 800-171 への準拠が必須です。一方日本の防衛省もこれに準じた基準を採用し始めていますが、米国のCMMCは「認証がなければ入札すらできない」という強力な強制力を持っている点が異なります。

セキュリティ・クリアランス（適格性評価）

米国国防総省（DoD）の基準では、システムだけでなく扱う人間も審査されます。

• 米国: 技術者の国籍や犯罪歴などを厳格に調査する「セキュリティ・クリアランス」が制度として確立されている
• 日本: 2024年に「重要経済安保情報の保護及び活用に関する法律（セキュリティ・クリアランス法）」が成立し、米国に近い水準の制度整備が始まった段階

比較表

参考

• CrowdStrike for Department of Defense
• CrowdStrike Achieves IL5 Authorization to Secure U.S. Department of Defense
• Falcon Complete GovCloud

さいごに

今回はFalconと米国国防総省（DoD）の取り組みについてご紹介しました。調べていくなかで、米国国防総省（DoD）のセキュリティ基準の高さ、その基準を満たすCrowdStrike Falcon の優秀性について改めて確認ができました。

日本国内においても、今後アメリカに寄せたセキュリティ強化が行われていくといったこともあり、CrowdStrikeの取り組みや、機能については引き続き調査を行っていこうと思っております。

この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike運用の一助となれば幸いです。

CrowdStrike についてのお問い合わせ

ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください！