CMMCコンプライアンスとMFT:防衛請負業者がファイル転送時にCUIを保護するために必要な対策
防衛請負業者および国防総省(DoD)のサプライチェーン組織は、制御されていない分類情報(CUI)の保護に関して厳格な規制要件に直面しています。CMMC(サイバーセキュリティ成熟度モデル認証)レベル2またはレベル3の認証を目指す組織にとって、CMMC準拠のMFT(マネージドファイル転送)機能の導入は不可欠な要件です。従来のファイル共有方法、一般消費者向けクラウドストレージ、レガシーFTPサーバーには、CMMCフレームワークで求められる暗号化検証、きめ細かなアクセス制御、不変の監査ログが根本的に欠如しています。
DoD契約を維持し、虚偽請求防止法(False Claims Act)による責任を回避するために、防衛請負業者は、NIST SP 800-171およびNIST SP 800-172のセキュリティ管理策をすべての内部・外部データ交換に適用できるように設計されたエンタープライズグレードのマネージドファイル転送アーキテクチャを導入しなければなりません。
エグゼクティブサマリー
本ガイドでは、防衛請負業者がCUIを保護し、CMMCコンプライアンスを達成するために、どのようにマネージドファイル転送システムを設計すべきかを詳述します。サイバーセキュリティおよびGRCリーダーは、CMMCの具体的な管理策をMFT機能にどのようにマッピングするか、異なるCUIカテゴリの取り扱い方法、FedRAMPおよびFIPS 140-3認証済みソリューションを活用してDoDの要件を満たす方法を学ぶことができます。
主なポイント
- CMMCレベル2では、転送中および保存中のCUIの包括的な保護が求められます。 防衛請負業者は、NIST SP 800-171に基づく110の管理策を満たすため、厳格なアクセス制御、暗号化、監査ログを強制するマネージドファイル転送ソリューションを導入しなければなりません。
- 異なるCUIカテゴリには、特定の取り扱いプロトコルが必要です。 制御技術情報(CTI)やプライバシーCUIは、外部ファイル共有時の不正開示を防ぐため、きめ細かなデータ損失防止、エンドツーエンド暗号化、厳格なアクセスガバナンスが求められます。
- FIPS 140-3認証は必須の暗号化基準です。 CMMC準拠のファイル転送システムは、FIPS認証済み暗号モジュールを使用してCUIを保護しなければなりません。非認証の暗号化は、System and Communications ProtectionドメインにおけるCMMC評価要件を自動的に満たさないことになります。
- FedRAMP認証はDFARS 7012のクラウド要件を満たします。 CUIを扱うクラウド型MFTソリューションは、DFARS 252.204-7012がクラウドサービスプロバイダーに求める要件を満たすため、FedRAMP Moderate認証以上を取得する必要があります。
- 集中型監査ログが評価時のコンプライアンス証明となります。 MFTプラットフォームは、すべてのファイル転送活動、認証イベント、管理操作の不変かつ詳細な監査証跡を生成し、CMMCの監査およびアカウンタビリティ(AU)管理策を満たす必要があります。
CMMC準拠MFT要件がCUI保護プロトコルの厳格な適用を指示
防衛請負業者は、転送される制御されていない分類情報(CUI)のカテゴリに基づき、自動的にセキュリティポリシーを適用するCMMC準拠のファイル転送システムを実装しなければなりません。DoD CUIレジストリは、複数の機密情報カテゴリを定義しており、それぞれに異なる取り扱い、保護、配布の管理策が課せられています。エンドユーザーの裁量にこれらの管理策の適用を任せると、データ漏洩やコンプライアンス違反につながります。したがって、組織はマネージドファイル転送アーキテクチャを通じてこれらの要件をプログラム的に強制し、アップロード、ダウンロード、外部共有されるすべてのファイルに厳格なセキュリティチェックを適用する必要があります。
制御技術情報(CTI)にはエンドツーエンド暗号化とアクセスガバナンスが必須
制御技術情報(CTI)は、防衛産業基盤(DIB)内で最も標的にされやすいデータカテゴリの一つです。CTIには、エンジニアリングデータ、仕様書、マニュアル、技術報告書、設計図、軍事・宇宙用途のソースコードなどが含まれます。CTIの漏洩は国家安全保障に直結するため、防衛サプライチェーン全体でこのデータを転送する際には、MFTシステムによるエンドツーエンド暗号化と厳格なアクセスガバナンスが必須となります。
組織は、認証済みの「知る必要がある」ユーザーのみにCTIアクセスを限定しなければなりません。CMMC準拠のファイル転送プラットフォームは、エンタープライズのIDおよびアクセス管理(IAM)システムと連携し、ロールベースアクセス制御(RBAC)を適用することでこれを実現します。さらに、MFTシステムは、外部の下請業者による技術データパッケージの不正なダウンロード、転送、印刷を防止しなければなりません。これにはデジタル著作権管理(DRM)の適用、閲覧専用アクセスの強制、受信者の識別情報によるドキュメントの透かし挿入、安全なアクセスリンクの厳格な有効期限設定などが含まれます。CTIがMFTプラットフォームに投入される前にデータ分類ラベルを付与することで、機密度に応じた自動ポリシー適用が可能となり、ユーザーの手動判断への依存を排除できます。
プライバシーCUIにはきめ細かなデータ損失防止と監査証跡が必須
プライバシーCUIは、DoD職員、請負業者、その家族の個人識別情報(PII)や保護対象保健情報(PHI)を含み、厳格なデータ損失防止(DLP)と継続的な監視が求められます。CTIが国家レベルのスパイ活動の標的となりやすい一方、プライバシーCUIは、なりすまし、恐喝、ソーシャルエンジニアリング攻撃の標的となることが多いです。
CMMC準拠のファイル共有ソリューションは、ICAP(Internet Content Adaptation Protocol)経由でエンタープライズDLPエンジンとシームレスに統合し、すべての外部送信ファイルをプライバシーCUIの有無でスキャンする必要があります。機密性の高いプライバシーデータが不正な転送で検出された場合、MFTシステムは自動的に送信をブロックし、ファイルを隔離し、セキュリティオペレーションセンター(SOC)にアラートを送信しなければなりません。さらに、プライバシーCUIとのすべてのやり取りは、送信者、受信者、タイムスタンプ、IPアドレス、アクセスした正確なデータ内容を詳細に記録した不変の監査ログを生成する必要があります。これらの監査証跡は、DFARS 252.204-7012で定められたCUI関連のサイバーインシデントを発見から72時間以内に報告する義務を満たすためにも不可欠です。
CMMC管理策とマネージドファイル転送機能のマッピング
CMMCレベル2認証を取得するには、NIST SP 800-171の110の管理策を自社の技術インフラおよび運用手順に直接マッピングする必要があります。CMMC評価時には、認定第三者評価認定機関(C3PAO)が、これらの管理策が効果的に実装され、継続的に監視されていることを示す文書証拠を求めます。堅牢なマネージドファイル転送プラットフォームは、特にアクセス制御(AC)、監査およびアカウンタビリティ(AU)、システムおよび通信の保護(SC)、識別および認証(IA)といった複数の重要ドメインにおける主要な強制手段となります。
以下の表は、エンタープライズMFT機能が、ファイル転送時のCUI保護に必要なCMMCレベル2の特定管理策をどのように直接満たすかを示しています。
| CMMC管理策ID | 要件の説明 | MFTによる対応方法 |
|---|---|---|
| AC.1.001 | システムアクセスを認可されたユーザー、認可されたユーザーの代理で動作するプロセス、またはデバイスに限定する。 | MFTはロールベースアクセス制御(RBAC)を強制し、明示的な権限を持つ認証済みユーザーのみが特定のフォルダーやワークスペース内でCUIにアクセス、アップロード、ダウンロードできるようにします。 |
| AU.2.042 | 不正または未承認のシステム活動の監視、分析、調査、報告を可能にするために必要な範囲で、システム監査ログおよび記録を作成・保持する。 | MFTは、すべてのファイル転送、管理変更、認証試行の不変かつ集中管理されたログを生成し、Syslog経由でSIEMツールにエクスポートして継続的な監視を実現します。 |
| SC.3.177 | CUIの機密性を保護する際には、FIPS認証済み暗号技術を使用する。 | MFTは、FIPS 140-3認証済み暗号モジュールを使用して、保存時(AES-256)および転送時(TLS 1.2/1.3)にCUIを暗号化し、厳格なDoD暗号要件を満たします。 |
| IA.3.083 | 特権アカウントへのローカルおよびネットワークアクセス、および非特権アカウントへのネットワークアクセスに多要素認証を使用する。 | MFTは、SAML/OIDC経由でエンタープライズIDプロバイダー(IdP)と連携し、ファイル共有ポータルにアクセスするすべての内部および外部ユーザーに多要素認証(MFA)を強制します。 |
| SC.1.175 | 情報システムの外部境界および主要な内部境界で通信を監視、制御、保護する。 | MFTはセキュアゲートウェイとして機能し、すべての入出力ファイル転送を検査し、AV/ATPと連携してマルウェアをブロックし、不正なCUI流出を防止します。 |
FedRAMPおよびFIPS 140-3認証がCMMC準拠ファイル転送の基準を確立
防衛請負業者は、CUIを保護するために、商用グレードのファイル共有ツールや標準的なエンタープライズソフトウェアに依存することはできません。国防総省は、MFTアーキテクチャに本質的に組み込まれているべき特定の暗号化規格およびクラウドセキュリティ認証を義務付けています。FedRAMP認証およびFIPS 140-3認証済みソリューションの利用は、C3PAO監査に合格するための基本要件です。Kiteworksのようなプラットフォームは、FIPS 140-3認証を取得し、FedRAMP Moderate認証(Secure Gov CloudではFedRAMP High In Process)を保持しており、DoDが求める正確な暗号化およびクラウドセキュリティ基準を満たします。
FIPS 140-3認証済み暗号化が合法的なCUI暗号化を保証
CMMC管理策SC.3.177は、CUIの機密性を保護するためにFIPS認証済み暗号技術の使用を明確に要求しています。「FIPS準拠」と「FIPS認証済み」には重要な違いがあります。FIPS準拠とは、ベンダーがAES-256などのアルゴリズムを使用していると主張するだけであり、CMMCには不十分です。FIPS認証済みとは、ソフトウェアが使用する特定の暗号モジュールがNISTの暗号モジュール認証プログラム(CMVP)によって厳格にテストされ、正式に認証されていることを意味します。
MFTシステムは、保存データおよび転送データのすべてにFIPS 140-3認証済み暗号化を導入しなければなりません。これにより、技術データやプライバシー情報の保護に使用されるアルゴリズム、鍵管理プロセス、乱数生成器が、連邦政府が要求する厳格な数学的・運用的基準を満たしていることが保証されます。MFTプラットフォームが非認証の暗号技術を利用している場合、CMMC評価時にSystem and Communications Protectionドメインで自動的に不合格となります。
FedRAMP認証がDFARS 7012クラウドセキュリティ要件を満たす
DFARS 252.204-7012に基づき、CUIの保存・処理・転送にクラウドサービスプロバイダー(CSP)を利用する防衛請負業者は、CSPがFedRAMP Moderate基準と同等のセキュリティ要件を満たしていることを保証しなければなりません。さらに、CSPはDFARS条項の(c)~(g)項に従い、サイバーインシデント報告、悪意あるソフトウェア提出、メディア保存等の厳格な要件を遵守する必要があります。
クラウドで導入されるCMMC準拠のファイル転送プラットフォームは、DoDデータを合法的に処理するためにFedRAMP Moderate認証以上を取得していなければなりません。特に高度な機密CUIやITAR制限データ、より厳格な要件(CMMCレベル3など)に対応する組織では、FedRAMP High In Processのプラットフォームを利用することで、防衛産業基盤を狙う持続的標的型攻撃(APT)から保護するために必要なセキュリティ管理策を確保できます。この認証は、クラウド環境が連邦当局によって独立監査され、継続的に監視されていることの証明となります。
CMMC準拠ファイル共有エコシステムの設計
単体のセキュアファイル転送ツールを導入するだけでは、CMMC認証の取得・維持には不十分です。GRCおよびサイバーセキュリティリーダーは、MFT機能を既存のエンタープライズセキュリティインフラと統合した包括的なファイル共有エコシステムを設計しなければなりません。この多層防御アプローチにより、アドホックなファイル共有、セキュアメール、自動システム間転送、ウェブフォームなど、あらゆる通信チャネルでCUIが保護されます。
堅牢かつコンプライアンスを満たすアーキテクチャを構築するため、防衛請負業者は以下の構造要件を実装する必要があります:
- 集中型ポリシー適用: すべての外部ファイル共有、セキュアメール、自動システム間転送を単一のMFTプラットフォームに統合します。これによりシャドーITを排除し、従業員による未承認の消費者向けクラウドストレージ利用を防止し、組織全体で一貫したCUIポリシー適用を実現します。
- アイデンティティおよびアクセス管理(IAM)統合: MFTシステムをSAMLまたはOpenID Connect経由でエンタープライズディレクトリ(Active DirectoryやEntra IDなど)と接続します。これによりMFAの強制、グループ所属に基づくユーザー自動プロビジョニング、従業員の退職や役割変更時の即時アクセス剥奪が可能となります。
- 高度な脅威対策(ATP)およびアンチウイルス: すべての受信ファイル転送をICAP連携でエンタープライズATPおよびアンチウイルスソリューション経由でルーティングします。これにより、外部下請業者からセキュアエンクレーブに入るファイルが、内部担当者によるアクセス前にマルウェア、ランサムウェア、ゼロデイ脅威のスキャンを受けることが保証されます。
- データ損失防止(DLP)統合: すべての送信ペイロードを検査し、マーキング済み・未マーキングのCUIを特定します。MFTプラットフォームとエンタープライズDLPエンジンを統合することで、不正な送信のブロック、自動暗号化の強制、インサイダー脅威や偶発的なデータ漏洩のセキュリティチームへのアラートが可能となります。
- 自動ライフサイクル管理: 運用要件終了後にMFTシステムからCUIを削除する自動ファイル保持・削除ポリシーを実装します。指定期間後の自動削除により、組織の攻撃対象領域を最小化し、NIST SP 800-171のメディア消去管理策に基づくデータ最小化要件を満たします。
- 包括的なSIEM統合: すべてのMFT監査ログを組織のセキュリティ情報イベント管理(SIEM)システムにエクスポートします。これにより、継続的な監視、迅速なインシデント対応、C3PAO監査人がAU管理策のコンプライアンスを検証するための集中かつ不変の証拠が提供されます。
KiteworksでCUIを保護し、CMMCコンプライアンスを達成
CMMCコンプライアンスを達成するには、防衛産業基盤の厳格なセキュリティ要件に特化して設計されたマネージドファイル転送プラットフォームが必要です。Kiteworksプライベートデータネットワークは、防衛請負業者に対し、制御されていない分類情報(CUI)を保護し、NIST SP 800-171コンプライアンス要件を満たすために設計された包括的かつセキュアなファイル共有・MFTソリューションを提供します。
KiteworksはFIPS 140-3認証を取得しており、すべてのCUIがNISTによって正式に認証された暗号モジュールで保存時・転送時ともに暗号化されることを保証します。クラウド導入の場合も、KiteworksはFedRAMP Moderate認証およびFedRAMP High In Process(Secure Gov Cloud)を取得しており、クラウドサービスプロバイダーに求められるDFARS 252.204-7012要件を完全に満たします。セキュアメール、自動ファイル転送、外部ファイル共有を単一かつ厳格に監査されたプラットフォームに集約することで、KiteworksはGRCおよびサイバーセキュリティリーダーが厳格なアクセス制御を強制し、エンタープライズDLPやATPシステムと統合し、C3PAO評価に必要な不変の監査証跡を生成できるようにします。CISOダッシュボードは、すべてのCUIデータフローをリアルタイムで可視化し、コンプライアンスチームにCMMC評価に必要な統合証拠を提供します。
KiteworksがCMMCレベル2またはレベル3認証取得への道のりをどのように効率化できるかについては、カスタムデモを今すぐご予約ください。
よくあるご質問
CUIを扱う防衛請負業者として、自動ファイル転送がCMMC要件を満たすには、FIPS認証済み暗号化と厳格なアクセス制御を強制するMFTソリューションの導入が必要です。システム間接続のすべてを認証し、転送時・保存時のペイロードを暗号化し、すべての取引に対して不変のログを生成するよう設定してください。自動マネージドファイル転送機能により、手動介入なしでCUIが保護され、CMMCレベル2のコンプライアンス要件を満たします。また、組織はCMMCコンプライアンスチェックリストを常に最新に保ち、自動転送ワークフローが該当するNIST SP 800-171管理策にマッピングされていることを確認しましょう。
C3PAO評価を控えたGRCリーダーとして、ファイル共有がCMMC監査管理策に準拠していることを証明するには、MFTプラットフォームからSIEMへ集中管理された不変のログをエクスポートします。これらのログには、すべての認証イベント、ファイルのアップロード・ダウンロード、管理変更が記録されている必要があります。包括的なセキュアファイル共有監査証跡を維持することで、継続的な監視を実証し、CMMC評価合格に必要な監査およびアカウンタビリティ(AU)管理策を満たします。GRCリーダーは、CMMCドキュメントのベストプラクティスガイドも参照し、監査証拠パッケージがC3PAOの証拠基準を満たしていることを確認しましょう。
DoDサプライヤーとして、CMMC準拠のファイル共有に標準的な商用クラウドストレージを利用することは禁止されています。プロバイダーが特定の連邦要件を満たしていない限り、DFARS 7012の下では、CUIを処理するクラウドサービスは少なくともFedRAMP Moderate相当の基準を取得している必要があります。防衛データの合法的な処理・保存のためには、FedRAMP認証済みのマネージドファイル転送プラットフォームを利用しなければなりません。現在利用中のCSPが基準を満たしているか不明な場合は、FedRAMP Moderate相当性の基準を確認し、マーケットプレイスのステータスを評価前に必ず確認してください。
サイバーセキュリティディレクターとして、下請業者とファイル共有する際に制御技術情報(CTI)を保護するには、きめ細かなアクセスガバナンスとエンドツーエンド暗号化を強制する必要があります。デジタル著作権管理を適用し、ダウンロード制限、多要素認証をすべての外部受信者に要求するMFTプラットフォームを導入してください。DLP統合済みのセキュアメールやファイル共有ツールを活用することで、不正な拡散を防ぎ、サプライチェーン全体でCUIデータ保護を維持できます。サプライチェーンリスク管理プログラムには、下請業者のMFT設定が元請けと同じCMMC管理策を満たしていることを定期的に検証する手順も含めましょう。
防衛サプライチェーンのIT管理者として、MFTにFIPS 140-3認証が必要なのは、CMMC管理策SC.3.177がCUIの機密性保護にFIPS認証済み暗号技術を義務付けているためです。単にAESやTLSを使うだけでは不十分で、使用する暗号モジュールがNISTによって認証されている必要があります。FIPS 140-3認証済みファイル転送ソリューションを導入することで、データ暗号化プロトコルが国防総省の厳格な数学的基準を満たしていることが保証されます。IT管理者は、すべてのMFTベンダーからNIST CMVPの正式な証明書を取得し、C3PAO評価時のSCドメイン証拠としてシステムセキュリティ計画に記録しましょう。
追加リソース
- ブログ記事 マネージドファイル転送がFTPより優れている6つの理由
- ブリーフ マネージドファイル転送のガバナンス、コンプライアンス、コンテンツ保護の最適化
- ブログ記事 マネージドファイル転送ソフトウェア購入ガイド
- ブログ記事 セキュアなマネージドファイル転送に必要な11の要件
- ブログ記事 エンタープライズ向けセキュアマネージドファイル転送ソリューションのベスト