NIST 800-171、CUI、AI:あなたのシステムセキュリティ計画に足りないもの
何千もの組織が、CMMC認証プロセスに入っていないまま、政府契約の下で制御されていない分類情報(CUI)を取り扱っています。DFARS 252.204-7012に基づきCUIを受け取る連邦請負業者、研究大学、州機関、技術サプライヤー、プロフェッショナルサービス企業は、NIST SP 800-171の110のセキュリティ管理策を実装し、その実装状況をシステムセキュリティ計画(SSP)に文書化することが求められています。ほとんどの組織はCUIへの人によるアクセスについては対応済みですが、AIエージェントによるアクセスについてはほとんど対応していません。
このギャップは理論上のものではありません。AIエージェントは、DFARS対象組織において提案書作成、技術文書、契約管理、サプライチェーンワークフローなど、日常的にCUIが関与する業務で導入されています。これらの導入は既存のSSPではカバーされておらず、リスク評価にも反映されていません。アクセス制御ポリシーでも対応されておらず、NIST 800-171の監査とアカウンタビリティ要件が求めるCUIアクセスイベントの監査ログも生成されていません。
本記事は本シリーズのCMMCに関する記事とは異なり、防衛産業基盤請負業者が認証取得を目指すC3PAO評価プロセスに焦点を当てたものではありません。本記事は、DFARS契約の下でCUIを取り扱うもののCMMC認証トラックに乗っていない、より広範な組織群を対象とし、認証の有無にかかわらずAIエージェントによるCUIアクセスにもNIST 800-171準拠義務が適用されることを解説します。
エグゼクティブサマリー
主旨:NIST 800-171の110のセキュリティ管理策は、CUIを処理・保存・送信するすべてのシステム—AIエージェントも含む—に適用されます。CUIへの人によるアクセスには800-171コントロールを実装しているものの、AIエージェントのワークフローにはそのコントロールを拡張していない組織は、SSP上で重大なコンプライアンスギャップを抱えています。このギャップはDFARS契約違反、虚偽請求防止法(FCA)リスク、そして政府サプライチェーンを標的とする攻撃者に悪用されるサイバーセキュリティ上の脆弱性を意味します。
なぜ重要か:DFARS 252.204-7012は、請負業者に対し、NIST 800-171準拠をCUIを取り扱う下請け業者やサービスプロバイダーにも適用することを求めています。AIベンダーのインフラがCUIを処理する場合—たとえモデル推論時の一時的な処理であっても—このフローダウンチェーンの一部となります。AIエージェントによるCUIアクセスについて、NIST 800-171準拠のアクセス制御や監査証跡を示せない組織は、CMMC評価の有無にかかわらずDFARS契約条件に違反しています。
主なポイント
- NIST 800-171準拠義務はDFARS契約から生じ、CMMC認証とは無関係です。DFARS 252.204-7012の下で事業を行うすべての組織は、CUIを取り扱うシステムに対しNIST 800-171の110の管理策すべてを実装する必要があります。この義務はCMMCとは独立しています。CUIを取り扱うがCMMC認証プロセスに入っていない組織も800-171の適用除外にはならず、第三者評価ではなく自己宣誓による準拠証明を行っているだけです。
- CUIに触れるすべてのAIエージェントは、SSPに記載すべきシステムコンポーネントです。システムセキュリティ計画(SSP)には、CUIを処理・保存・送信するすべてのシステムおよびコンポーネントと、それぞれを保護するセキュリティコントロールを記載する必要があります。ワークステーションやサーバー、メールシステムのコントロールだけを記載し、CUIリポジトリへアクセスするAIエージェントに触れていないSSPは不完全であり、不完全なSSP自体が800-171準拠違反となります。
- NIST 800-171 Rev.3は、AI導入が満たすべきアクセス制御と監査要件を強化しました。2024年改訂のNIST 800-171では、アクセス制御の粒度、監査ログの詳細、サプライチェーンリスク管理に関する要件が強化されました。これにより、従来のAI導入アーキテクチャ—セッションレベルの認証やインフラレベルのログ記録が中心—は、Rev.2時代よりもさらに800-171準拠として不十分になっています。
- DFARSのフローダウン要件は、AIベンダーにもNIST 800-171義務を拡張します。DFARS 252.204-7012の下、請負業者はCUIを取り扱う下請け業者やサービスプロバイダーに800-171準拠要件をフローダウンする必要があります。AIベンダーのインフラがモデル推論時にCUIを処理する場合、該当する下請け業者またはサービスプロバイダーとなります。請負業者はベンダーの一般的なセキュリティ証明に頼ることはできず、ベンダーがCUI取り扱いに関して800-171要件を満たしていることを確認し、ベンダーリスク管理プログラムで文書化しなければなりません。
- 虚偽請求防止法(FCA)リスクは、不正確なNIST 800-171自己評価を行う組織にとって重大なリスクです。米司法省は、NIST 800-171の自己評価が不正確な政府請負業者に対し、虚偽請求防止法(FCA)違反で訴訟を起こしています。必要なアクセス制御や監査証跡なしにAIエージェントでCUIを扱いながら800-171準拠を自己宣誓することは、虚偽の認証となり、経営幹部個人にもFCAリスクが及びます。
NIST 800-171とSSP:AI導入でカバーすべき内容
NIST 800-171は110のセキュリティ管理策を14のコントロールファミリーに分類しています。AIエージェントがCUIへアクセスする際、最も直接関係するのは「アクセス制御(3.1)」「監査とアカウンタビリティ(3.3)」「識別と認証(3.5)」の3つです。さらに、AIエージェントがシステム境界内のコンポーネントとなる場合は「構成管理(3.4)」も関連します。各ファミリーには、SSPで記載すべき具体的な管理策が含まれており、AIエージェント導入時にはこれらを満たす必要があります。
アクセス制御(3.1):認可されたアクセスと最小限の必要性
管理策3.1.1は、CUIへのアクセスを認可されたユーザー、その代理として動作するプロセス、デバイスに限定することを求めています。管理策3.1.2は、認可ユーザーが実行を許可されたトランザクションや機能の種類にアクセスを限定することを求めています。AIエージェントの場合、これら2つの管理策はCMMC AC.1.001およびAC.2.006と同様の要件を課します。すなわち、アクセスは認証され、認可された個人に紐付けられ、特定のタスクに必要最小限の範囲に限定されなければなりません。広範なCUIリポジトリアクセス権を持つ共有サービスアカウント経由で動作するAIエージェントは、いずれの管理策も満たしません。
管理策3.1.3は、承認された権限に従ってCUIの流れを制御することを求めています。AIエージェントの場合、ガバナンス層が制御データの不正な宛先(外部API、DFARS非対象システム、認可外インフラ等)への流出を防ぐ必要があります。システムプロンプトだけではこの制御は実現できず、データ層のABACポリシーのみが、モデルの指示内容に関わらず不正なCUI流出を技術的に防止できます。
監査とアカウンタビリティ(3.3):ログに必要な内容
管理策3.3.1は、不正または不許可のシステム活動の監視・分析・調査・報告を可能にするため、システム監査ログを作成・保持することを求めています。管理策3.3.2は、プロセスの行動に責任を持つユーザーの身元を確保することを求めています(代理プロセスも含む)。AIエージェントの場合、3.3.2は委譲チェーンの記録が直接求められる管理策であり、監査ログにはエージェントの行動だけでなく、その行動を認可し責任を持つ人間の身元も記録する必要があります。
標準的なインフラログやAI推論ログは、通常システム上で何が起きたかは記録しますが、3.3.2の意味で誰が責任を持つかまでは記録しません。AIエージェントの監査証跡がサービスアカウントによるAPIコールのみを記録し、そのコールを委譲した具体的な人間オペレーターに紐付けていない場合、そのCUIアクセスイベントについて3.3.2を満たすことはできません。
識別と認証(3.5):一意の識別が必須
管理策3.5.1は、ユーザーやデバイス、そして重要なのはAIエージェントを含むプロセスが、組織システムやCUIにアクセスする前に識別・認証されることを求めています。管理策3.5.2は、アクセス許可前に身元認証を求めています。AIエージェントの場合、一意の識別とは、各エージェントが区別可能で検証可能なIDクレデンシャルを持つことを意味し、複数のエージェントやワークフロー、アクセスイベントで区別できない共有サービスアカウントでは要件を満たしません。
サプライチェーンリスク管理(3.16):AIベンダーの観点
NIST 800-171 Rev.3では、管理策ファミリー3.16に明示的なサプライチェーンリスク管理要件が追加されました。管理策3.16.1は、サプライチェーンリスク管理計画の策定と維持を求めています。AIエージェントをCUIに対して導入する組織にとって、AIベンダーとの関係はサプライチェーンリスクであり、評価・文書化が必要です。具体的には、ベンダーがモデル推論時にCUIをどのように保護しているか、インシデント通知義務は何か、請負業者に代わって取り扱うCUIについて800-171要件を満たしているか、などです。
CMMC 2.0コンプライアンスロードマップ for DoD請負業者
Read Now
SSPギャップ:多くの組織が見落としている点
NIST 800-171準拠のSSPは、システム境界、その内部のすべてのコンポーネント、および各コンポーネントでCUIを保護するセキュリティコントロールを記載しなければなりません。AIエージェントを導入している多くの組織では、SSPがAI導入前のアーキテクチャを反映しており、AIエージェントのコンポーネントがシステム境界の記述から完全に抜け落ちています。
定義されたシステム境界外のAIエージェント
AIエージェントのインフラがシステム境界記述に含まれていない場合、800-171の管理策は文書上、その対象外となります。監査人がSSPと実際の運用を照合した際、CUIにアクセスするAIエージェントはスコープ外コンポーネントと見なされ、自己評価スコアに反映されず、組織のDFARS認証は不正確となります。CUIを取り扱うすべてのシステムは境界内に含める必要があり、CUIに触れるすべてのAIシステムも同様です。
AI導入以前のリスク評価
管理策3.11.1は、組織の運用およびCUIシステム運用について定期的なリスク評価を求めています。多くの組織の現行リスク評価はAI導入以前のものです。AIエージェントによるCUIアクセス(脆弱性、ベンダー依存、アクセス範囲、統制策など)を反映していない評価は、800-171の観点では現行のリスク評価とは言えません。
行動計画とマイルストーン(POA&M)のギャップ
AI導入による800-171準拠ギャップを特定した場合、そのギャップはPOA&Mに記載し、是正のタイムラインを設定する必要があります。ギャップを特定しただけで文書化しないこと自体がコンプライアンス違反です。800-171は、セキュリティコントロールの欠陥を単に特定するだけでなく、体系的に追跡することを求めています。
NIST 800-171準拠のAIエージェントによるCUIアクセスのベストプラクティス
1. AIエージェントコンポーネントをシステムセキュリティ計画に含める
SSPを更新し、すべてのAIエージェントおよびそのインフラコンポーネントをシステム境界記述に含めてください。各AIコンポーネント(オーケストレーション層、モデルホスティング、ベクターデータベース、APIゲートウェイなど)について、実装済みのセキュリティコントロール、取り扱うCUI、管理策の実装状況を文書化します。これは必須であり、現状のAI導入を反映していないSSPは不正確であり、不正確なSSPは800-171違反となります。SSPの更新は、CUIに対するAI導入拡大よりも先行して行うべきです。
2. 認証済みエージェントIDと委譲チェーンの維持を実装
CUIにアクセスするすべてのAIエージェントは、ワークフローレベルで一意のIDクレデンシャルで動作し、そのワークフローに責任を持つ特定の人間オペレーターに紐付けられていなければなりません。このクレデンシャルは、エージェントごと・ワークフローごとに固有である必要があり、共有サービスアカウントでは3.5.1や3.3.2の要件を満たしません。委譲チェーン(人間オペレーター→エージェントID→CUIアクセスイベント)は、すべての監査ログエントリに記録され、800-171が求めるアカウンタビリティの証明となります。
3. ABACによるオペレーションレベルのCUIアクセス範囲制御を徹底
AIエージェントのCUIリクエストごとに、エージェントの認証済みプロファイル、リクエストされたデータのCUI分類、ワークフローコンテキスト、具体的な操作内容を評価するABACを実装してください。これにより、管理策3.1.1(認可アクセス)および3.1.2(最小限のトランザクション範囲)をオペレーションレベルで満たすことができます。契約フォルダーの閲覧権限を持つエージェントは、すべてのファイルをダウンロードしたり、隣接するCUIリポジトリにアクセスしたり、認可範囲外の操作を行うことはできません—これらの制御はモデル層ではなくデータ層で強制されます。
4. 人間の責任帰属を含むオペレーションレベルの監査ログを生成
AIエージェントによるCUI操作はすべて、改ざん検知可能なログに記録し、3.3.1および3.3.2の要件(エージェントID、責任を持つ人間オペレーター、アクセスしたCUI、実行操作、タイムスタンプ)を満たす必要があります。これらのログは、不正アクセスの監視・調査をサポートし、組織の記録管理ポリシーで定められた期間保存されなければなりません。標準的なインフラログや推論ログだけでは、オペレーションレベルかつ責任帰属が明確な詳細がなければ800-171の監査要件を満たしません。
5. サプライチェーンリスク管理プログラムの下でAIベンダーのCUI取り扱いを評価・文書化
組織のためにCUIを取り扱うAIベンダーごとに、DFARSに特化したベンダーリスク管理評価を実施してください。ベンダーがCUI取り扱いに関して800-171要件を満たしているか評価し、その評価を文書化し、契約上800-171準拠要件をフローダウンします。管理策3.16.1に基づき、AIベンダーとの関係をサプライチェーンリスク管理計画に反映させ、POA&Mには特定されたギャップを記載します。800-171準拠が文書化されていないAIベンダーがCUIを処理している場合、DFARSフローダウンの欠陥となり、元請けのコンプライアンス体制に影響します。
KiteworksによるNIST 800-171準拠のAIエージェントガバナンスの実現
AIエージェントによるCUIアクセスをNIST 800-171準拠にするには、以下3点を同時に更新する必要があります:AIコンポーネントを境界に含めたSSP、AIエージェントのCUIアクセスをデータ層で統制する技術的コントロール、そしてAIガバナンスプラットフォーム自体がCUI取り扱いで800-171要件を満たしていることを確認するベンダー評価です。Kiteworksのプライベートデータネットワークはこれらすべてに対応し、AIエージェントのCUIアクセスの技術的ガバナンスインフラを提供し、NIST 800-171準拠機能を持つSSP記載可能なシステムコンポーネントとして機能し、DFARSフローダウンに必要なベンダー評価もサポートします。
管理策3.5.1および3.3.2に対応した認証済みIDと委譲チェーン
Kiteworksは、CUIアクセス前にすべてのAIエージェントを認証し、ワークフローごとに一意のクレデンシャルを使用して、そのワークフローに責任を持つ人間オペレーターに紐付けます。完全な委譲チェーンはすべての監査ログエントリに記録されます。これにより、管理策3.5.1の一意識別要件と3.3.2の人間の責任帰属要件を満たし、SSPの実装記述やDFARSコンプライアンス監査で求められる文書化が可能です。
管理策3.1.1、3.1.2、3.1.3に対応したオペレーションレベルのABAC
Kiteworksのデータポリシーエンジンは、すべてのAIエージェントCUIリクエストについて、多次元ポリシー(認証済みエージェントプロファイル、CUI分類、ワークフローコンテキスト、具体的な操作)で評価します。最小限アクセスはオペレーションレベルで強制され、CUIの流れは認可された宛先のみに制御されます。これらの強制メカニズムは、モデルの挙動に依存せずデータ層で管理策3.1.1、3.1.2、3.1.3を満たし、監査可能な実装としてSSPに記載できます。
管理策3.3.1および3.3.2に対応した改ざん検知可能な監査証跡
AIエージェントによるCUI操作はすべて、改ざん検知可能なオペレーションレベルの監査ログとして組織のSIEMに直接連携されます。ログにはエージェントID、人間オペレーター、アクセスしたCUIデータ、操作種別、ポリシー評価結果、タイムスタンプが記録され、管理策3.3.1および3.3.2が求めるオペレーションレベルの詳細と人間の責任帰属を満たします。DFARS準拠レビューでCUIアクセス制御の証拠提出が求められた際には、分散したインフラログを調査するのではなく、エクスポート可能な証拠パッケージで対応できます。
FIPS 140-3暗号化とガバナンス付きCUIファイル操作
Kiteworksを通じてアクセスされるすべてのCUIは、転送中・保存中ともにFIPS 140-3レベル1認証済み暗号化で保護され、NIST 800-171の暗号化要件を満たします。Kiteworks Compliant AIのガバナンス付きフォルダー操作およびファイル管理機能により、AIエージェントはCUIリポジトリを整理・管理でき、すべての操作はデータポリシーエンジンで強制されます。これにより、手動プロビジョニングなしでRBACやCUI分離要件を満たし、構成管理ファミリー(3.4)のSSP記載可能な実装となります。
DFARS契約の下でCUIを取り扱い、AIエージェント導入をNIST 800-171準拠にしたい組織に対し、Kiteworksは技術的ガバナンスインフラと、AI導入前のコンプライアンス体制とエージェントによるCUIアクセスという運用現実とのギャップを埋めるSSP記載可能な実装を提供します。KiteworksのNIST 800-171準拠機能の詳細やデモのご依頼はこちら。
よくあるご質問
はい。NIST 800-171準拠義務はDFARS 252.204-7012から生じ、CMMC認証とは無関係です。この条項の下で事業を行う組織は、CUIを取り扱うシステム—AIエージェントも含む—に対し、110の800-171管理策すべてを実装する必要があります。自己宣誓要件は、組織が政府契約に対する準拠を証明することを意味します。必要なアクセス制御や監査証跡なしでAIエージェントがCUIにアクセスしている場合、CMMCの有無にかかわらずDFARS準拠ギャップとなります。
CUIを処理・保存・送信するすべてのシステムコンポーネント—AIエージェントやそのインフラコンポーネントも含む—をシステムセキュリティ計画(SSP)に記載する必要があります。SSPには、各コンポーネントがCUIに対して何を行うか、それを保護するセキュリティコントロール、適用される800-171管理策の実装状況を記載します。SSPに記載されていないAIコンポーネントは、未文書化のCUIシステムコンポーネントとなり、それ自体が管理策違反です。また、SSPは常に最新でなければならず、AIエージェントをCUIに導入してもSSPを更新しない場合、即座に文書ギャップが生じます。POA&Mには特定したギャップと是正タイムラインを記載してください。
DFARS 252.204-7012は、請負業者に対し、CUIを取り扱う下請け業者やサービスプロバイダーにNIST 800-171準拠義務をフローダウンすることを求めています。AIベンダーのインフラがCUIを処理する場合(モデル推論時も含む)、該当するサービスプロバイダーとなります。請負業者は、ベンダーがCUI取り扱いに関して800-171要件を満たしているか評価し、その評価をサプライチェーンリスク管理プログラムに文書化し、契約上800-171要件をフローダウンする必要があります。SOC2などの一般的なベンダーセキュリティ認証だけではDFARSフローダウン要件を満たさず、ベンダーは取り扱うCUIについて800-171を満たす必要があります。AIベンダーのリスク管理文書化は、DFARS準拠の新たな要件です。
いいえ。現状のAI導入を反映していない自己評価スコアは不正確です。リスク評価とSSPは、CUIを取り扱うすべてのシステムを含め、現行の運用環境を反映する必要があります。AIエージェントをCUIリポジトリに導入した後、SSPやリスク評価を更新せず、POA&Mに新たなコントロール実装やギャップを文書化しない場合、政府に提出した自己宣誓は組織のコンプライアンス体制を正確に反映していません。米司法省は、不正確な800-171自己評価を行った請負業者を虚偽請求防止法で摘発しています。
最小限のアーキテクチャは4つの要素で構成され、すべてSSPに記載し、実装として検証可能でなければなりません:3.5.1および3.3.2を満たす、人間の責任あるオペレーターに紐付いた認証済みエージェントID;3.1.1、3.1.2、3.1.3を満たす、認可範囲内でCUIアクセスを制限するオペレーションレベルのABACポリシー強制;3.3.1および3.3.2を満たす、人間の責任帰属を含む改ざん検知可能なオペレーションレベル監査ログ;そして、エージェントパイプライン内のすべてのCUIデータ経路に対するFIPS 140-3認証済み暗号化。各要素はモデル挙動に依存せず、技術的コントロールで実装され、SSPに実装記述として記載し、要求時に証拠提出で検証可能でなければなりません。
追加リソース
- ブログ記事
手頃なAIプライバシー保護のためのゼロトラスト戦略 - ブログ記事
77%の組織がAIデータセキュリティで失敗している理由 - eBook
AIガバナンスギャップ:2025年に91%の小規模企業がデータセキュリティでロシアンルーレットをしている理由 - ブログ記事
あなたのデータに「–dangerously-skip-permissions」は存在しない - ブログ記事
規制当局は「AIポリシーがあるか」ではなく「実際に機能しているか」を求めている