複雑さなくCPCSCコンプライアンスを達成:防衛サプライチェーンの認証をシンプルに
CPCSCは、機密性の高い非分類政府情報を取り扱う防衛サプライヤー向けにカナダで義務付けられているサイバーセキュリティ認証です。カナダ公共サービス・調達省が運営しており、認証は3つのレベルに分かれています。レベル1(13の管理策、自己評価、2026年夏以降一部防衛契約で必須)、レベル2(98の管理策、3年ごとの第三者評価と年次確認)、レベル3(200の管理策、3年ごとのカナダ政府評価と年次確認)です。レベル2と3は現在開発中で、段階的に導入される予定です。基盤となる規格ITSP.10.171は、カナダサイバーセキュリティセンターが策定したNIST SP 800-171のカナダ版です。認証を取得できない防衛サプライヤーは調達から除外され、認証がなければ契約資格もありません。
Kiteworksのプライベートデータネットワークは、ITSP.10.171の管理策を事前にマッピングし、FIPS 140-3認証済みの暗号化、ゼロスロットルの監査ログ、指定情報がカナダ管轄外に出ないカナダ国内展開オプションにより、CPCSCコンプライアンスをサポートします。KiteworksはITSP.10.171レベル2の管理策の80%(98件中79件)に対応しています。残り19件は組織的、物理的、またはプロセスに関する要件です。
短期間での対応、複雑な管理策、そして他のフレームワークにはない主権の課題
カナダの防衛サプライヤーは、17の要件ファミリーにまたがる98の管理策、米国の同等プログラムにはない主権要件、すでに始まっている認証スケジュールという課題に直面しています。米国のCMMCプログラムの請負業者のうち、レベル2認証に備えていると考えるのはわずか46%、62%が十分なガバナンス管理策を欠いています。
17の要件ファミリーにわたる98のセキュリティ管理策を満たす
CPCSCレベル2では、アクセス制御、監査と説明責任、識別と認証、システムおよび通信保護、さらに13のファミリーを含む98の管理策について、3年ごとの第三者評価が求められます。各管理策には組織が定義し文書化すべきパラメータが含まれます。防衛サプライヤーは、指定情報が移動するすべてのチャネル—メール、ファイル共有、SFTP、マネージドファイル転送、Webフォーム—において管理策が有効に機能していることを証明する必要があります。ツールが分散していると証拠も分散し、評価負担が増大します。
指定情報を保護—カナダ管轄下での管理
ITSP.10.171は「指定情報」—カナダ政府当局が保護を要すると認定したあらゆるデータ—を保護します。このデータはカナダの法的管轄下にとどめる必要があります。しかし、カナダ企業の40%がカナダ・米国間のデータ共有の変化を最大の規制課題とし、21%がCLOUD法を主権への直接的な脅威と捉えています。米国本社のマルチテナント型クラウドサービスを利用する防衛サプライヤーは、契約では埋められないアーキテクチャ上の主権ギャップに直面しています。
認定認証機関向けに監査対応証拠を作成
CPCSCレベル2の評価者は、管理策の実施に関する文書化された証拠を求めます。これは方針文書ではなく、運用上の実証が必要です。組織は完全な監査証跡を作成し、アクセス制御の実施や継続的な監視の証拠を提示しなければなりません。分散したシステムから手作業で証拠を収集すると数ヶ月かかります。評価に失敗すると認証が遅れ、契約が危うくなり、再評価サイクルが発生します。
Kiteworksがカナダ防衛サプライヤーのCPCSC認証取得を支援
すべてのポリシーエンジンでセキュアなデータ交換を統合
Kiteworksは、セキュアメール、ファイル共有、マネージドファイル転送、SFTP、Webフォーム、API、AI連携を単一のガバナンスアーキテクチャで統合します。データポリシーエンジンが、すべてのチャネルでロールベースおよび属性ベースのアクセス制御を一貫して適用します。8つのデフォルト管理者ロールにより、最小権限の原則で職務分離を徹底。LDAP、Active Directory、SAML 2.0、Kerberosとの連携により、ID管理を一元化し自動プロビジョニングを実現します。多要素認証はRADIUS、PIV/CAC、時刻ベースOTP、エンタープライズ認証器に対応しています。
アーキテクチャでカナダのデータ主権を徹底
Kiteworksは、オンプレミス、カナダ国内データセンターのプライベートクラウド、またはハイブリッド導入に対応し、シングルテナント分離によってマルチテナントリスクを排除します。お客様所有の暗号化キーにより、Kiteworksや第三者が顧客の許可なく指定情報へアクセスすることはありません。設定可能なIP制御によるジオフェンシングで、インフラレベルで法域境界を徹底。データ主権コントロールにより、LDAPやSAML属性に基づき、指定情報をカナダ国内の割り当てられた法域のみでルーティングします。
数カ月ではなく数時間で監査対応証跡を生成
Kiteworksの包括的な監査ログは、すべてのファイルアクセス・転送・ポリシー決定をリアルタイムで記録し、スロットリングなし—ログの欠落や遅延、追加ライセンスも不要です。SIEM連携(syslogおよびSplunk Forwarderネイティブ対応)により、証跡をセキュリティオペレーションへ継続的に提供。あらかじめ用意されたコンプライアンスレポートで、フレームワークごとの証跡生成を自動化します。監査データへのアクセスはコンプライアンス管理者ロールのみに制限され、システム管理者であっても記録の改ざんは不可—改ざん検知可能な整合性を確保し、審査要件を満たします。
よくあるご質問
カナダのサイバーセキュリティ認証プログラム(CPCSC)は、機密性の高い非分類政府情報を取り扱う防衛サプライヤー向けのカナダの義務的サイバーセキュリティ認証です。指定情報を含む防衛契約に入札または実行するすべての企業が対象となります。レベル1(自己評価、13コントロール)は2026年夏から一部の防衛契約で必須となります。レベル2(三年ごとの第三者評価、98コントロール)とレベル3(三年ごとのカナダ政府評価、200コントロール)は現在開発中で、段階的に導入される予定です。認証がなければ契約資格はありません。
ITSP.10.171は、カナダサイバーセキュリティセンターが策定したCPCSCの基盤となるカナダのサイバーセキュリティ規格です。NIST SP 800-171を直接適用したもので、技術的な変更はなく、カナダ独自の規制環境を反映した用語(「指定情報」など)や異なる管轄機関(NIST指令ではなく財務委員会事務局のポリシー)への修正のみが加えられています。米国のCMMC認証取得を目指している組織にとって、コントロール要件は実質的に同一です。
はい。ITSP.10.171は技術的にNIST SP 800-171と同等であるため、Kiteworksの単一導入でカナダ契約向けCPCSCと米国DoD契約向けCMMCの両認証に対応できます。KiteworksはFedRAMP認証済みで、あらかじめマッピングされたNIST 800-171コントロールを備え、CMMC 2.0コンプライアンスレポートと110項目すべてを網羅したコントロール補足資料を提供します。同じインフラでCPCSC認証機関向けの証拠も生成可能です。
Kiteworksは、オンプレミス、カナダ国内ホスト型プライベートクラウド、またはハイブリッド展開によるシングルテナント分離でアーキテクチャレベルの主権を提供します。顧客所有の暗号化鍵により、指定情報は顧客のみが管理する鍵で暗号化され、Kiteworksは顧客データを復号できません。ジオフェンシングで地理的なアクセス制限を行い、データ主権コントロールにより、LDAPまたはSAML属性に基づき指定情報をカナダ国内の割り当てられた管轄区域のみでルーティングします。