政府向けDSPM:機密データと重要情報を大規模に管理
政府機関は、ますます複雑化するクラウドおよびハイブリッド環境において、機密情報や制御されていない分類情報(CUI)の管理に独自の課題を抱えています。公共部門のデータ侵害による平均損失額は286万ドルにのぼり、FISMA非準拠の連邦請負業者は契約喪失のリスクを抱えるため、従来のセキュリティアプローチでは政府の厳格なデータ保護要件を十分に満たすことができません。
本ガイドでは、データセキュリティポスチャー管理(DSPM)が、政府組織がマルチクラウドインフラ全体で機密・重要データを保護する上で直面する独自の課題にどのように対応するかを詳しく解説します。DSPMがFISMA、FedRAMP、CMMC要件への継続的な準拠を可能にし、市民サービスと業務効率を向上させる安全なデジタルトランスフォーメーションを支援する方法をご紹介します。
自社のセキュリティは万全だと信じていませんか。 その確証はありますか?
エグゼクティブサマリー
主なポイント:政府向けDSPMは、クラウド環境全体で機密情報およびCUIデータの自動検出、分類、保護を実現し、統合的なリスク管理とポリシー適用機能によってFISMA、FedRAMP、CMMC要件への継続的な準拠を確保します。
なぜ重要か:公共部門のデータ侵害は平均286万ドルの損失をもたらし、FISMA非準拠は契約解除や規制罰則につながるため、DSPMによる自動コンプライアンス監視と機密データ保護は、セキュリティクリアランスや政府業務維持に不可欠です。
主なポイント
- FISMA準拠には機密情報およびCUIデータの発見が必須。政府機関は、すべてのシステムにわたる機密情報およびCUIデータの包括的なインベントリを維持し、FISMAセキュリティルールの要件と継続的な監視義務を満たす必要があります。
- FedRAMP認証には継続的なデータセキュリティ監視が必要。クラウドサービスプロバイダーは、自動化された監視と評価を通じて継続的なデータ保護能力を証明する必要があり、FedRAMP運用認可(ATO)維持にはDSPMが不可欠です。
- CMMCレベル2認証にはCUI保護の自動化が求められる。防衛請負業者は、CMMCレベル2認証取得のために、CUIの自動識別・保護コントロールを実装する必要があり、DSPMが必要な可視性と制御機能を提供します。
- 政府のデータ侵害コストには契約解除やクリアランス喪失も含まれる。平均損失額286万ドルに加え、契約のキャンセル、セキュリティクリアランスの剥奪、将来の連邦案件からの除外などのリスクもあります。
- マルチクラウド環境には統合的なセキュリティポスチャー管理が不可欠。複数のクラウドプラットフォームを利用する政府機関は、機密・重要データを扱うすべての環境で一貫した保護ポリシーを確保するため、中央集約型の可視性と制御が必要です。
政府データセキュリティ要件
政府機関は、一般的なエンタープライズコンプライアンスをはるかに超える複雑なセキュリティ要件の枠組みの下で運用されています。機密情報、制御されていない分類情報(CUI)、そして公共の信頼が交差することで、特別なデータセキュリティアプローチが求められる独自の課題が生まれます。
政府データの分類理解
政府データには複数の分類レベルがあり、それぞれにデータライフサイクル全体を通じて維持すべき特定の取扱い、保管、伝送要件があります。
機密情報
機密情報は、大統領令13526に基づき「Confidential」「Secret」「Top Secret」と指定されたデータを含みます。これらの情報は、専門のシステム、クリアランスを持つ人員、厳格なアクセス制御が必要であり、従来の商用セキュリティツールでは十分に対応できません。
近年の政府業務では、クラウド環境での機密データ処理が増加しており、必要なコラボレーションや分析機能を維持しつつ、適切なセキュリティ境界を確保する新たな課題が生じています。
制御されていない分類情報(CUI)
制御されていない分類情報(CUI)は、該当する法律、規制、政府全体のポリシーに従い保護や配布制御が必要な情報ですが、大統領令13526や原子力法の下で機密指定されていない情報を指します。
CUIプログラムは大統領令13556により設立され、法律や連邦規則、政府全体のポリシーに従い保護や配布制御が必要な非機密情報の取り扱いを標準化しました。この標準化により、100以上存在した省庁固有のマーキングが統一されました。
規制コンプライアンスフレームワーク
政府データセキュリティは、複数の規制や標準が相互に関連し、重複する要件や継続的な監視義務を生み出す枠組みの中で運用されています。
FISMA要件
連邦情報セキュリティ近代化法(FISMA)は、連邦機関に包括的な情報セキュリティプログラムの確立を義務付けています。機密性、完全性、可用性を重視し、年次レビューを義務付け、監督責任をDHSとOMBに割り当てています。
FISMA準拠には、継続的なリスク評価、セキュリティコントロールの実装、そして複雑かつ分散した政府IT環境全体での継続的な監視機能が必要であり、従来型のポイントソリューションでは対応しきれません。
FedRAMP認証
FedRAMPは、クラウド向けのFISMAです。FedRAMPとFISMAは共にNIST SP 800-53のセキュリティコントロールを使用しています。FedRAMPのセキュリティコントロールはNIST SP 800-53のベースラインを基に、クラウドコンピューティング特有の要素に対応するため、NISTベースラインを超えるコントロールやパラメータ、ガイダンスが含まれています。
FedRAMP認証により、複数の機関が同じセキュリティ評価を活用できますが、各機関は自らのリスク許容度やデータ保護要件を満たしているかを個別に確認する必要があります。
CMMC実装
サイバーセキュリティ成熟度モデル認証(CMMC)プログラムは、防衛請負業者が連邦契約情報(FCI)および制御されていない分類情報(CUI)を保護するために必要なセキュリティ対策を実装していることを検証する要件を定めています。
防衛請負業者は、取り扱う情報の機密性に応じて適切なCMMC認証レベルを取得する必要があり、CMMCレベル2では、NIST 800-171の全コントロールに加え、追加の実践事項の実装が求められます。
政府データ保護のためのDSPM機能
政府向けDSPMソリューションは、商用データ保護を超えた独自要件、すなわち機密データの取扱い、CUI管理、複雑な規制枠組みにおける継続的なコンプライアンス監視に対応する必要があります。
| 機能 | 従来のセキュリティツール | 政府向けDSPM | コンプライアンスへの影響 | ミッションへの効果 |
|---|---|---|---|---|
| 機密データの発見 | ネットワーク境界に限定 | マルチ環境での自動スキャン | FISMA継続的監視 | リスク低減 |
| CUI分類 | 手作業プロセス | CUIカテゴリ自動識別 | CMMCレベル2認証 | 業務効率化 |
| マルチクラウド可視化 | 断片的な監視 | 統合的なセキュリティポスチャービュー | FedRAMP継続的監視 | 中央集約型の監督 |
| リスク評価 | 時点評価 | 継続的リスク分析 | NIST 800-53実装 | プロアクティブなセキュリティ |
| 監査レポート | 手作業による集計 | 自動コンプライアンス文書化 | 複数フレームワーク対応 | 監査負担の軽減 |
自動分類と発見
政府機関は、政府業務を支えるクラウドプラットフォームを含む、すべての認可システムにわたる機密・重要データの包括的な可視化が求められます。
多層セキュリティ統合
政府向けに設計されたDSPMソリューションは、セキュリティ情報イベント管理(SIEM)システム、ID管理プラットフォーム、分類ガイダンスシステムなど、既存のセキュリティインフラと統合する必要があります。
高度な政府向けDSPMプラットフォームは、コンテンツ分析、メタデータ検査、権威ある分類ソースとの連携により、情報ライフサイクル全体で正確なデータ取扱いを実現します。
CUIカテゴリ認識
自動CUI識別機能により、CMMC要件で定義されたCUIレジストリ内の特定データタイプをスキャンし、組織がCMMC要件を満たすことを支援します。DSPM設定内で利用可能な標準またはカスタムデータ分類ルールを活用することで、クラウド環境内のCUIを迅速に特定し、クラウドリソース間の関連付けも可視化できます。
この自動可視化により、組織はCMMC監査境界の確立と正当化を迅速に行い、監査範囲を縮小し、認証取得に向けた文書化プロセスを加速できます。
継続的なコンプライアンス監視
政府のコンプライアンス要件は、定期的な評価ではなく継続的な評価と文書化を求めるため、継続的監視機能が不可欠です。
FISMA継続的監視
DSPMプラットフォームは、FISMAで求められる継続的監視に対応する自動機能を提供し、設定変更やアクセスパターンの異常、セキュリティコントロールの潜在的な失敗をコンプライアンス違反に至る前に特定します。
政府の変更管理プロセスとの統合により、すべてのシステム変更が適切に文書化・評価され、FISMA準拠に必要な包括的なドキュメントが維持されます。
FedRAMP継続的評価
クラウドサービスプロバイダーは、継続的監視機能を通じて、セキュリティコントロールの有効性や認証ステータスに影響するシステム変更をリアルタイムで可視化し、継続的なセキュリティを証明する必要があります。
DSPMソリューションは、セキュリティコントロールの自動評価、不正な変更の特定、すべてのデータアクセス・変更活動の包括的なログ記録により、FedRAMP継続的監視要件をサポートします。
政府向けDSPM導入戦略
政府向けDSPM導入を成功させるには、既存のセキュリティインフラ、コンプライアンス要件、政府特有の業務手順との綿密な連携が必要です。
| フェーズ | 期間 | 主な活動 | コンプライアンスのマイルストーン | セキュリティ成果 |
|---|---|---|---|---|
| アセスメント | 4-6週間 | 現状分析、ギャップ特定 | FISMAリスク評価の更新 | ベースライン確立 |
| 分類 | 6-8週間 | 機密・CUIデータの発見 | データインベントリ完了 | 可視化達成 |
| 統合 | 8-12週間 | セキュリティツール統合、ポリシーマッピング | 継続的監視の有効化 | 統合的な監督 |
| 自動化 | 10-16週間 | 自動コントロール、ワークフロー統合 | コントロール実装の検証 | 業務効率化 |
| 最適化 | 継続 | パフォーマンス調整、範囲拡大 | 年次評価準備 | 継続的改善 |
機関ごとの導入アプローチ
政府機関ごとに、ミッション、データの機密性、業務要件が異なり、DSPM導入戦略にも影響を与えます。
防衛・情報機関
機密情報を扱う機関では、Cross Domain Solutions(CDS)、High Assurance Internet Protocol Encryptor(HAIPE)ネットワーク、専門のID管理システムなど、既存のセキュリティインフラと統合できるDSPMソリューションが必要です。
導入時には、区分管理された情報の取扱い要件、必要最小限のアクセス制御、既存のSecurity Technical Implementation Guides(STIGs)やセキュリティコントロールオーバーレイとの統合を考慮する必要があります。
民間機関
民間機関は、CUI保護、FISMA準拠、市民サービスの質とセキュリティのバランスに重点を置いています。
DSPM導入では、既存のエンタープライズアーキテクチャとの統合、共有サービスの推進、州や地方自治体パートナーとの安全な情報共有が求められます。
政府ITインフラとの統合
政府向けDSMPソリューションは、レガシーシステム、専門セキュリティツール、必須技術プラットフォームなど、既存インフラとの効果的な統合が必要です。
エンタープライズアーキテクチャとの整合
DSPM導入は、共有サービスや共通プラットフォーム、標準化されたインターフェースの活用など、政府全体の相互運用性目標を支える機関のエンタープライズアーキテクチャ原則と整合させる必要があります。
既存のITサービス管理プラットフォームとの統合により、DSPMの検出結果が標準的な変更管理、インシデント対応、リスク管理プロセスに組み込まれます。
ID・アクセス管理との統合
政府のIAMシステムは、PIVカードやFICAM要件、機密・非機密両方の業務を支える専門のアクセス制御システムとの統合が一般的です。
DSPMソリューションは、ユーザー属性とデータの機密性レベルの両方に基づくコンテキスト認識型アクセス判断を提供できるよう、これらのシステムと統合する必要があります。
政府特有のDSPM課題の克服
政府機関は、DSPM導入と運用管理において、独自の業務・セキュリティ課題に対応する特別なアプローチが求められます。
多層セキュリティ環境
政府業務では、複数の分類レベルで情報を処理する必要があり、商用ソリューションでは十分に対応できない複雑なセキュリティ要件が生じます。
クロスドメイン情報共有
機関は、異なる分類レベルやセキュリティドメイン間で情報を安全に共有しつつ、すべての取引に対して適切なアクセス制御と監査証跡を維持しなければなりません。
DSPMソリューションは、分類の整合性維持、ガード・フィルタ技術のサポート、セキュリティ監督要件を満たす包括的な監査機能により、クロスドメイン共有要件をサポートする必要があります。
区分管理情報の取扱い
特別なプログラムや区分管理情報には、標準的な分類レベルを超える追加のアクセス制御や取扱い手順が必要です。
政府向けDSPM導入では、特別アクセスプログラム、外国開示制限、その他の区分管理要件を考慮し、データ取扱いや共有判断に反映させる必要があります。
省庁間連携要件
政府業務では、異なるセキュリティポリシーや技術基盤、運用手順を持つ機関間での情報共有が頻繁に求められます。
フェデレーテッドID・アクセス
省庁間連携には、異なる認証システムをサポートしつつ、適切なセキュリティ制御と監査機能を維持できるIDフェデレーション機能が必要です。
DSPMソリューションは、アクセスユーザーの所属機関やセキュリティクリアランスレベルに関わらず、データ保護ポリシーが維持されるよう、フェデレーテッドアクセスシナリオをサポートする必要があります。
ミッションパートナー統合
政府機関は、請負業者、州・地方自治体、国際パートナーと連携し、厳格なセキュリティ境界を維持しながら特定情報へのアクセスを提供する必要があります。
高度なDSPM機能は、外部との連携を支援しつつ、機密情報の適切な保護とすべてのアクセスの適切な記録・監視を確保する必要があります。
政府向けDSPMの有効性評価
政府機関は、コンプライアンスプログラムの成熟度を示し、継続的な改善活動を支援するための具体的な指標や成功要因が必要です。
コンプライアンス指標
定量的なコンプライアンス指標により、政府機関は複数の規制フレームワークへの準拠を証明し、追加対応が必要な領域を特定できます。
データインベントリの完全性
機関は、機密・CUIデータが発見・適切に分類されたIT環境の割合を測定し、すべての認可システムでの包括的な可視化を目指すべきです。
新たに発見された機密データリポジトリの定期報告により、データスプロールの傾向を把握し、セキュリティポリシーがシステム変更やミッション進化に追従しているかを確認できます。
コントロール実装状況
すべてのシステム・プラットフォームにおける必要なセキュリティコントロールの実装状況を追跡することで、全体的なコンプライアンス状況を把握し、是正対応の優先順位付けに役立ちます。
コントロール有効性の自動評価により、FISMAで求められる継続的監視を維持しつつ、従来手作業で必要だったコンプライアンス報告作業を削減できます。
業務影響評価
DSPM導入は、政府業務を妨げるのではなく強化するべきであり、業務影響の測定は長期的なプログラム成功に不可欠です。
ミッション支援の強化
機関は、情報共有能力、意思決定の迅速化、データ可視化と保護による全体的なミッション有効性の向上を測定するべきです。
セキュリティ関連の業務遅延削減を追跡することで、包括的なデータ保護がミッション達成を妨げるのではなく支援することを示せます。
DSPMで政府データを守る
政府機関は、現代のクラウド環境で機密・重要データを管理する際、従来のセキュリティアプローチに頼ることはできません。DSPMは、FISMA、FedRAMP、CMMC要件を満たし、市民サービスと業務効率を向上させるデジタルトランスフォーメーションを支援するために必要な、包括的な発見・分類・保護機能を提供します。
政府データ保護が不十分な場合の影響は、財務的損失を超え、契約解除、セキュリティクリアランスの剥奪、国家安全保障や公共の安全に影響するミッションインパクトにまで及びます。DSPMは、単なる事後対応ではなく、セキュリティインシデントを未然に防ぐプロアクティブなリスク管理を実現します。
DSPMを効果的に導入した政府機関は、セキュリティポスチャーの向上、コンプライアンスプロセスの効率化、ミッションパートナーとの安全なコラボレーション能力の強化を通じて、公共の信頼と規制コンプライアンスを維持しながら大きな優位性を獲得できます。
KiteworksでDSPM投資を強化
DSMPソリューションは政府システム全体で機密・CUIデータの発見に優れていますが、請負業者やミッションパートナー、機関間連携時の情報共有では保護が及ばず、実際に40%の侵害がこの領域で発生しています。
Kiteworksは、DSPMへの多大な投資にもかかわらず政府機関が脆弱になりがちな重要な適用ギャップを解消します。KiteworksのFedRAMP High認証済みプライベートデータネットワークは、DSPMの分類情報を自動的に取り込み、機密データが機関外に移動する際にFISMA準拠の保護ポリシーを強制適用し、政府ワークフロー全体で継続的な保護を実現します。
政府機関は、DSPMによる発見とKiteworksによる適用を組み合わせることで、画期的なセキュリティ成果を実現します。DSPMで「CUI」と分類されたデータは、防衛請負業者と共有される際に自動的にCMMC準拠の暗号化とアクセス制御が適用され、機密情報も認可されたクロスドメイン共有時に適切な保護レベルを維持します。
公共部門の侵害平均損失額が286万ドル、コンプライアンス違反による契約解除リスクがある中、KiteworksはDSPM投資をインベントリ管理からミッションを支える完全なセキュリティ戦略へと変革します。DSPM分類に基づく自動ポリシー適用により、メール、マネージドファイル転送、ウェブフォームなど、すべての外部コラボレーションチャネルでコンプライアンスを確保し、安全な機関間コミュニケーション機能により、運用セキュリティを損なうことなく保護されたデータ共有を実現します。継続的なコンプライアンス監視はFISMAの継続的要件を満たし、緊急時アクセスプロトコルは重要な政府業務中もセキュリティ境界を維持しつつミッション継続性を確保します。
さらに、連邦・中央政府、州および州・州政府、地方自治体が、DSPM保護の上でCUI、CJI、その他の機密データをどのように守っているかについては、カスタムデモを今すぐご予約 してご確認ください。
よくある質問
DSPMを活用することで、すべてのシステムにわたる自動データ発見、継続的なリスク評価監視、包括的なセキュリティコントロール検証を実現し、FISMA準拠を強化できます。DSPMは、NIST 800-53要件への継続的な準拠を示すための可視性と文書化を提供し、手作業による監査準備を削減しつつ、クラウドやハイブリッド環境全体で一貫したポリシー適用を実現します。
DSPMをCMMCレベル2認証取得を見据えて導入する場合、自動CUI識別機能、既存セキュリティツールとの統合、包括的な監査証跡生成を重視すべきです。ソリューションは、すべての環境でCUIを自動的に発見・分類し、110項目のNIST 800-171セキュリティ要件をサポートし、C3PAO評価に必要な文書化を提供する必要があります。
DSPM導入によるROIとしては、侵害コストの削減(公共部門平均286万ドル)、契約解除ペナルティの回避、業務効率化が期待できます。DSPMは、コンプライアンス不履行による連邦契約喪失を防ぎ、監査準備コストを削減し、セキュリティ要件を維持しながら市民サービスを向上させるデジタルトランスフォーメーションを実現します。
追加リソース