Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > CMMC 2.0とAIエージェント:CUIに関わるワークフローにおける「認可されたアクセス」の意味

CMMC 2.0とAIエージェント:CUIに関わるワークフローにおける「認可されたアクセス」の意味

by Danielle Barbour updated 3月 25, 2026 CMMCコンプライアンス
Reading Time: 10 minutes

防衛請負業者は、提案書作成、プログラム文書管理、サプライチェーン管理、技術データのワークフローなど、さまざまな業務領域でAIエージェントを導入しています。これらの多くのワークフローは制御されていない分類情報(CUI)に関わっており、CMMC 2.0の適用範囲内に完全に含まれます。これは将来的な検討事項ではなく、第三者評価機関によってすでに評価されている現行のコンプライアンス義務です。

Table of Contents

CMMCのアクセス制御、監査、暗号化要件には、機械が操作するシステムに対する例外はありません。クリアランスを持つ従業員であれ、自律型AIエージェントであれ、CUI文書にアクセスする場合、コンプライアンス義務は同一です。すなわち、アクセスは認可され、役割とコンテキストに基づいて管理され、認証済みの暗号技術で暗号化され、人間の承認者に紐づく運用レベルの監査記録に記録されなければなりません。防衛産業基盤における多くのAI導入は、これらの要件を満たすように設計されていません。

本記事では、CMMC 2.0がCUIに関わるAIワークフローに具体的に求める要件、評価者が発見するコンプライアンスギャップ、C3PAOが来訪した際に説明ではなく証拠として提出できる形でAIエージェントによるCUIアクセスを管理するためのベストプラクティスについて解説します。

エグゼクティブサマリー

主旨:CMMC 2.0のアクセス制御、監査ログ、暗号化の実践は、AIエージェントを含むCUIに関わるすべてのシステムに適用されます。認証済みのエージェントID、ABACポリシーの強制、運用レベルの監査ログがないままCUIワークフローにAIを導入する防衛請負業者は、評価が始まった時点で遡及的に是正できないコンプライアンスリスクを蓄積しています。

重要性:CMMC認証は契約受注の必須要件であり、評価に不合格となった組織は国防総省契約へのアクセスを失います。評価者はモデル層ではなくデータアクセス層のコントロールを評価します。すべてのAIエージェントによるCUI操作が人間の承認者に紐づく委任チェーンで説明でき、運用レベルで最小限必要なアクセスが強制され、すべてのCUIデータ経路でFIPS 140-3認証済み暗号化が実施されていることを証明できなければ、重大な指摘事項となります。これらのギャップを埋めるのは、C3PAOが来訪する前でなければなりません。

主なポイント

  1. CMMC 2.0はCUIに関わるAIエージェントにも例外なく適用されます。AC.1.001は、アクセスする主体が人間か自動化されたプロセスかを問わず、CUIへのアクセスは認可されている必要があると定めています。CMMCは、クリアランスを持つ従業員と技術データパッケージを処理するAIエージェントを区別しません。人間のCUIアクセスを管理するコントロールは、エージェントアクセスにも直接かつ完全に適用されます。
  2. 評価者はモデル層ではなくデータ層のコントロールを評価します。C3PAOは、どのAIモデルを使っているかやシステムプロンプトの設定内容は問いません。評価されるのは、「どのCUIにエージェントがアクセスしたか」「どのような認可の下で」「どの暗号化で」「アクセスが人間の承認者に紐づいているか」です。これらの問いに対し、文書化された証拠パッケージ以外の回答しかできない場合、指摘事項となります。
  3. CUIの分離要件はAIが管理するフォルダ構造にも拡張されます。CMMCのアクセス制御実践では、CUIは分離され、認可された者のみがアクセスできる必要があります。AIエージェントがCUIを含むフォルダ階層を作成・移動・再構成する場合、それらの構造は手動で作成されたものと同じRBAC/ABACコントロールを自動的に継承しなければなりません。AI生成のフォルダ構造がポリシーコントロールを自動継承しない場合、分離ギャップが生じます。
  4. 委任チェーンがAIエージェントの行動と人間の責任を結びつけます。CMMCのACおよびAU実践では、CUIへのアクセスは認可された個人にトレースできる必要があります。AIエージェントの場合、認証記録はエージェントのIDがワークフローを委任した特定の人間に紐づいていなければなりません。サービスアカウントだけでは不十分です。この委任チェーンがなければ、監査記録は定義上不完全です。
  5. ランタイムガードレールやシステムプロンプトはCMMCのアクセス制御ではありません。ネットワークサンドボックス、ランタイムポリシーエンジン、AIセーフティフィルターはモデル層や実行層で動作します。これらは有用なセキュリティ機能ですが、CMMCのデータ層要件(認可アクセス、監査ログ、暗号化検証)を満たすものではありません。C3PAOはこれらをAC.1.001やAU.2.042の証拠として受け入れません。

CUIに関わるAIシステムに対するCMMC 2.0の要件

CMMC 2.0レベル2は、NIST SP 800-171の14分野・110のセキュリティ実践に対応しています。AIエージェントがCUIにアクセス・処理・管理する際に最も直接関係するのは、アクセス制御(AC)、監査と説明責任(AU)、識別と認証(IA)、システムおよび通信の保護(SC)の4分野です。

アクセス制御:AC.1.001およびAC.2.006

AC.1.001は、CUIへのアクセスを認可されたユーザー、その代理として動作するプロセス、およびデバイスに限定することを要求しています。「認可ユーザーの代理として動作するプロセス」にはAIエージェントも明確に含まれており、グレーゾーンではありません。AC.2.006は、アクセスを認可ユーザーが実行を許可された取引や機能の種類に限定することを求めています。AIエージェントの場合、最小限必要なアクセスは運用レベルで強制されなければなりません。たとえば、契約書フォルダの閲覧が許可されているエージェントが、すべてのファイルのダウンロードやレコードの移動、コンテンツの削除まで自動的に許可されるわけではありません。各操作ごとに個別のポリシー評価が必要です。

監査と説明責任:AU.2.042

AU.2.042は、個々のユーザー(およびその代理で動作するプロセス)の活動を追跡・記録し、定期的にレビューすることを求めています。監査記録には、エージェントの認証済みID、ワークフローを承認した人間、アクセスした具体的なCUI、実行した操作、タイムスタンプが記録されなければなりません。APIエンドポイントが呼び出されたというログだけではこの実践を満たしません。どのCUI文書に、どのエージェントIDが、どのポリシーの下で、どの人間に承認されてアクセスしたかを示すログが必要です。

識別と認証:IA実践

CMMCのIA実践では、ユーザーおよびプロセスがCUIにアクセスする前に一意に識別・認証されることを要求しています。共有サービスアカウントやAPIキーを通じて動作するAIエージェントはこの要件を満たしません。各エージェントには、特定のワークフローおよび委任した人間の承認者に紐づく一意のID認証情報が必要です。複数のエージェントが同じIDを共有していたり、認証記録が特定の人間の意思決定者にトレースできない場合、IA実践は満たされません。

システムおよび通信の保護:SC.3.177

SC.3.177は、CUIがオープンネットワーク経由で送信される場合や保存される場合に、FIPS認証済み暗号技術で暗号化されることを求めています。AIエージェントの場合、エージェントが関与するすべてのデータ経路(CUIリポジトリへのAPIコール、モデル推論パイプライン、一時ファイルキャッシュ、出力配信チャネルなど)でFIPS 140-3認証済み暗号モジュールを使用しなければなりません。FIPS 140-3認証が確認できない標準的なTLSやAES-256実装ではSC.3.177を満たしません。AI導入を評価する際、評価者はベンダーの設定資料ではなく暗号モジュールの認証証明書の提出を求めます。

CMMC 2.0コンプライアンスロードマップ for DoD請負業者

Read Now

AI導入がCMMC要件を満たさない主なポイント

DIBにおけるAIエージェント導入の標準的なアーキテクチャ(エージェントがAPI経由でドキュメントリポジトリに接続され、サービスアカウントとシステムプロンプトで管理される)は、CMMC評価において複数の観点で同時に不合格となります。これは、多くのAI導入の構造と評価者が検証すべき要件との根本的な不一致です。

委任チェーンがなければ責任ある承認者が存在しない

CMMC評価者がCUIアクセスイベントをレビューし、「誰が承認したのか」と問う際、回答は文書化された権限を持つ特定の個人でなければなりません。サービスアカウントではシステム名、APIキーではトークンしか示せません。エージェントの行動がワークフローを承認した人間に紐づく委任チェーンがなければ、そのアクセスイベントには責任ある承認者が存在せず、AC.1.001およびAU.2.042に対する直接的な指摘事項となります。これは遡及的に修正できません。委任チェーンはアクセス時に記録されていなければ、監査記録上存在しないのです。

運用レベルのアクセス範囲設定がアーキテクチャ上存在しない

多くのAI導入では、エージェントに広範なリポジトリ認証情報を与え、実際の操作範囲はシステムプロンプトで制限しようとします。しかしCMMC評価者は、エージェントが技術的に何を許可されていたかを評価します。サービスアカウントが1万件のCUI文書へのアクセス権を持ち、エージェントのタスクが3件しか必要としなかった場合でも、AC.2.006の最小限必要要件の観点では、9,997件への不正アクセスとなります(実際に取得したかどうかに関わらず)。

AIが作成したフォルダ構造に継承コントロールがない

AIエージェントは、提案書、プログラム納品物、技術データパッケージ用のフォルダ構造を作成するケースが増えています。CMMCは、これらのフォルダがCUIアクセス制御を自動的に継承することを要求します。しかし多くの導入では、AIが作成したフォルダ階層には人間が後から設定しない限りRBACやABACポリシーが適用されません。管理されていないAI作成フォルダに配置されたすべての文書は、CUI分離の指摘事項となります。

CMMC準拠のAIエージェントによるCUIアクセスのベストプラクティス

1. 人間の承認者に紐づくエージェント単位のID認証情報を確立

CUIにアクセスするすべてのAIエージェントには、ワークフロー単位で一意のID認証情報を付与する必要があります(共有サービスアカウントは不可)。この認証情報は、認証記録上、ワークフローを承認した特定の個人に紐づいていなければなりません。委任チェーン(人間の承認者→エージェントID→CUIアクセスイベント)は、すべての監査ログエントリで記録される必要があります。アプリケーション層で範囲を限定していても、共有認証情報はCMMCのIA要件を満たしません。

2. すべてのCUIデータリクエストに対して運用レベルのABACを強制

各CUIリクエストについて、エージェントの認証済みプロファイル、データのCUI分類、ワークフローコンテキスト、具体的な操作内容をもとに属性ベースアクセス制御(ABAC)を実装してください。たとえば、提案書フォルダの閲覧が許可されているエージェントでも、すべてのファイルのダウンロードやコンテンツの移動、隣接するCUIカテゴリへのアクセスは許可されません。この操作単位の評価こそが、AC.2.006の最小限必要要件を満たす仕組みです。

3. AIが管理するフォルダ構造がCUIコントロールを自動継承することを保証

AIエージェントが作成または変更するCUIを含むすべてのフォルダ階層は、作成時点でRBACおよびABACコントロールを自動的に継承しなければなりません(後から手動で設定するのではなく)。CUI分離を強制するガバナンス層は、フォルダ作成操作自体に組み込まれている必要があります。継承コントロールのないフォルダは、作成者が人間かAIかを問わず分離の指摘事項となります。

4. すべてのエージェントによるCUIアクセスを運用レベルで改ざん検知可能な監査ログに記録

AIエージェントによるCUI操作はすべて、運用レベルで記録してください。エージェントID、人間の承認者、アクセスした文書やフォルダ、操作種別、ポリシー評価結果、タイムスタンプが含まれる必要があります。ログは改ざん検知可能で、C3PAOへの証拠提出やSIEM連携のためにエクスポート可能でなければなりません。セッションレベルのAPIログではAU.2.042を満たしません。これは評価者が最初に求める証拠の一つです。

5. すべてのCUIデータ経路でFIPS 140-3暗号化を検証

AIエージェントワークフロー全体でCUIが送信・保存されるすべてのポイント(APIコール、モデルホスティング、ベクターデータベース、一時メモリ、出力ファイルなど)を監査し、それぞれでFIPS 140-3認証済み暗号モジュールの証明書を確認してください。SC.3.177は、強力なアルゴリズムだけでなく認証済み暗号技術を要求しています。AES-256を使用していても、FIPS 140-3モジュールの認証証明書が提出できなければ、暗号強度に関わらず指摘事項となります。

KiteworksによるCMMC準拠のAIエージェントガバナンスの実現

CMMC評価者が求めるレベルでAIエージェントによるCUIアクセスを管理するには、多くの防衛請負業者が導入しているものとは異なるアーキテクチャが必要です。サービスアカウント、APIキー、システムプロンプトはアプリケーション層の対策ですが、CMMCが評価するのはデータ層です。Kiteworksのプライベートデータネットワーク(FedRAMP中程度認証取得済み、CMMC 2.0レベル2要件の約90%に対応)は、防衛請負業者に、AIエージェントによるCUI操作の前段階で、ID認証、アクセス制御、暗号化、監査記録を強制するガバナンス層を提供します。

AC.1.001およびAU.2.042に対応したエージェントIDと委任チェーン

Kiteworksは、CUIアクセス前にすべてのAIエージェントを認証し、その認証をワークフローを委任した人間に紐づけます。委任チェーン(承認者ID、エージェントID、操作コンテキスト、ポリシー結果)は、すべての監査ログエントリに記録されます。C3PAOが「このCUIアクセスを誰が承認し、エージェントは何を許可されていたのか」と問う際、回答はタイムスタンプ付きで改ざん検知可能な完全な記録であり、アプリケーションログからの再構築ではありません。

AC.2.006の最小限必要要件を満たす運用レベルABAC

Kiteworksのデータポリシーエンジンは、AIエージェントによるCUIリクエストごとに、エージェントの認証済みプロファイル、要求データのCUI分類、ワークフローコンテキスト、具体的な操作内容など多次元のポリシーで評価します。特定フォルダ内の提案書文書の閲覧が許可されているエージェントでも、すべてのファイルのダウンロードや隣接するCUIカテゴリへのアクセス、許可範囲外の操作はできません。最小限必要アクセスは運用レベルで強制されます。これはAC.2.006が求める要件であり、多くのAI導入が現状証明できていない部分です。

CUI分離を実現するガバナンス付きフォルダ操作

Kiteworks Compliant AIのガバナンス付きフォルダ操作アシスト機能により、AIエージェントは自然言語指示でCUIフォルダ階層の作成・名称変更・移動・整理が可能です。すべての操作はデータポリシーエンジンで強制され、AIが作成したフォルダ構造は自動的にRBACおよびABACコントロールを継承します。これにより、CMMCのCUI分離要件を作成時点から満たします。手動設定は不要で、ガバナンス外のAI作成フォルダは存在しません。

SC.3.177およびAU.2.042に対応したFIPS 140-3暗号化と改ざん検知可能な監査記録

Kiteworks経由でアクセスされるすべてのCUIは、転送中・保存中ともにFIPS 140-3レベル1認証済み暗号化で保護されており、SC.3.177を満たす認証モジュール証明書を評価者に直接提出できます。すべてのエージェントによるCUI操作は、改ざん検知可能な運用レベルのログに記録され、組織のSIEMに連携されます。C3PAOがAU.2.042の証拠パッケージを求めた際には、エクスポート可能なレポートで即時対応でき、CMMC要件を満たさないインフラログからのフォレンジック再構築は不要です。

AIを業務スピードで導入しつつCMMC指摘を回避したい防衛請負業者にとって、KiteworksはAIエージェントによるCUI操作を設計段階から評価者対応可能にするガバナンス基盤を提供します。KiteworksのCMMCコンプライアンス機能の詳細や、デモのご依頼については、ぜひご覧ください。

よくある質問

はい。CMMC AC.1.001は「認可ユーザーの代理として動作するプロセス」を明確に対象としており、AIエージェントも含まれます。人間のCUIアクセスを管理するアクセス制御、監査ログ、識別・認証、暗号化の実践は、AIエージェントのアクセスにも直接適用されます。評価者は、防衛請負業者のAI導入についても、人間ユーザーのアクセスと同じCMMC実践に基づき評価し、AI固有の例外や要件緩和はありません。

C3PAO評価者は、各エージェントのCUIアクセスが特定の人間の承認者に紐づく委任チェーン(AC.1.001、AU.2.042)、最小限必要アクセスが運用レベルで強制されている証拠(AC.2.006)、どのCUIにどのエージェントがどのポリシーでいつアクセスしたかを示す運用レベルの監査ログ(AU.2.042)、エージェントが関与するすべてのCUIデータ経路のFIPS 140-3暗号モジュール認証証明書(SC.3.177)を求めます。システムプロンプトやランタイムガードレールは、これらの要件を満たしません。

はい。CMMCのアクセス制御実践では、CUIは作成方法を問わず認可された者のみがアクセスできるよう分離されている必要があります。AIエージェントが作成したフォルダ階層も、作成時点でRBACおよびABACコントロールを自動継承しなければなりません。ポリシーコントロールを自動継承しないフォルダ(たとえ正当なワークフローでAIが作成した場合でも)は、CUI分離の指摘事項となります。後から手動でコントロールを設定しても、ガバナンスがないままフォルダが存在した期間の問題は解消されません。

CMMC SC.3.177は、CUIに対してFIPS認証済み暗号技術を要求しており、強力な暗号アルゴリズムの使用だけでなく、認証モジュールの証明書が必要です。FIPS 140-3認証を取得していないAES-256実装を使うAIエージェントは、SC.3.177を満たしません。防衛請負業者は、AIエージェントのCUIデータ経路(APIコール、モデルホスティング、ベクターデータベース、一時ストレージ、出力ファイルなど)をすべて監査し、各ポイントでFIPS 140-3モジュール認証証明書を取得してください。

いいえ。ランタイムガードレール、ネットワークサンドボックス、モデル層のセーフティフィルターは実行層で動作するものであり、データアクセス層のコントロールではありません。CMMC評価者は、認証済みエージェントIDが人間の承認者に紐づいていること、運用レベルのアクセス範囲設定、運用レベルの監査ログ、認証済み暗号化など、データ層のアクセス制御を評価します。ランタイム制御は有用なセキュリティ機能ですが、AC.1.001、AC.2.006、AU.2.042、SC.3.177を満たす証拠パッケージにはなりません。

最も差し迫ったリスクは、ガバナンスされていないAIエージェントによるCUI操作のすべてが、CMMC基準で遡及的に監査できないアクセスイベントを生み出していることです。委任チェーン、ポリシー評価、アクセスしたCUIを記録する運用レベルの監査ログは、アクセス時点で作成されなければならず、後から再構築することはできません。ガバナンスされていないAIエージェントによるCUIアクセスが1週間続けば、その1週間分の監査証拠は永遠に存在しません。CMMCコンプライアンス監査が始まった時、そのギャップは恒久的な指摘事項となり、AU.2.042違反として扱われます。

追加リソース

  • ブログ記事
    ゼロトラスト戦略で実現する手頃なAIプライバシー保護
  • ブログ記事
    77%の組織がAIデータセキュリティで失敗している理由
  • eBook
    AIガバナンスギャップ:なぜ91%の中小企業が2025年にデータセキュリティでロシアンルーレットをしているのか
  • ブログ記事
    “–dangerously-skip-permissions”はあなたのデータには存在しない
  • ブログ記事
    規制当局は「AIポリシーがあるか」の質問を終えた。今求められるのは「機能している証拠」

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks