機関と請負業者間でCUIを安全に共有するための7つの実証済みステップ

CUIは、組織の境界、システム、法域をまたいで移動することがよくあります。図面を添付したメール、サプライヤーへのファイル転送、政府ポータルへのアップロードなど、各ハンドオフでラベルやアクセス制御、取扱ルールが一貫していなければリスクが生じます。下請け階層の多層化、レガシーシステム、ハイブリッド環境によって複雑さも増大します。

セキュアなCUI共有は、単一のツールやポリシーではなく、分類、ガバナンス、コントロール、ワークフロー、監査、インシデント対応準備までを網羅した統合的な運用モデルです。

本記事では、防衛請負業者がDoDとCUIを安全に共有し、コンプライアンスを確保しつつリスクを最小化するための重要なステップを解説します。

エグゼクティブサマリー

主旨：本記事では、分類、ガバナンス整合、FedRAMP/FIPSレベルの保護、最小権限アクセス、標準化されたワークフロー、不変の監査証跡、インシデント対応準備という7つの実践的ステップを通じて、機関と請負業者間で制御される未分類情報（CUI）を安全に共有する方法を紹介します。

なぜ重要か：セキュアかつコンプライアンスに準拠したCUI共有は、侵害リスクや罰則を低減し、契約やミッションを守り、監査を効率化します。これにより、より迅速かつ安心して業務を遂行できます。

主なポイント

1. CUIを正確に特定・分類する。CUIレジストリを活用してデータに正確なラベルを付与し、システム・ユーザー・パートナー間で一貫した保護・共有ルールを適用できるようにします。

2. ガバナンスをNIST SP 800-171およびDFARSフローダウンに整合させる。コントロール、ポリシー、契約を連邦要件にマッピングし、監査ギャップを減らし、下請け業者にも義務が継承されるようにします。

3. FedRAMP認証済み・FIPS検証済み暗号化でCUIを保護する。転送中・保存中のデータをエンドツーエンドで暗号化し、検証済みの暗号モジュールと強化環境を活用します。

4. MFA、RBAC、ゼロトラストで最小権限を徹底する。必要最小限のアクセスに限定し、認証を強化し、信頼を継続的に検証して内部・外部の脅威を最小化します。

5. ワークフローを標準化・監視し、インシデント対応体制を整備する。ポリシーを自動化し、不変のログを保持し、証拠保管の連鎖を維持し、サードパーティリスクや迅速な対応に備えて報告期限を守れる体制を構築します。

ステップ1：CUIレジストリを活用してCUIを特定・分類する

組織はまず、CUIレジストリに従って自社のCUIを特定・分類する必要があります。この中央リポジトリは、どの情報が保護対象かを理解し、効果的なセキュリティ対策の実施方針を決めるのに役立ちます。

CUIが存在する可能性のあるシステムやコラボレーションチャネル（ファイル共有、メール、クラウドストレージ、プロジェクトツール、エンドポイント）を網羅的に洗い出します。データオーナーと連携し、CUIと非CUIを区別するビジネス文脈（プログラム、契約、顧客、部品番号など）を定義します。CUIレジストリを使ってコンテンツをカテゴリにマッピングし、該当する場合はCUI BasicとCUI Specifiedを区別して、適切な取扱・解除ルールを適用します。

一貫したマーキングとメタデータを実装します。ファイル名、ヘッダー/フッター、ドキュメントプロパティで標準化されたラベルを用いることで曖昧さを排除し、強制力を持たせます。保存中・転送中を問わずスキャンし、パターンや文脈に応じて自動でラベル付与・ユーザーへの確認・修正を促す発見・分類ツールを活用します。派生文書にも正確なマーキングが継承されるようにし、CUIが不要となった後に残存しないよう、明確な解除・廃棄手順を定めます。

従業員には、役割に応じたカテゴリ認識・マーキング・不明点のエスカレーション方法を教育します。例えば外部メール送信やワークスペースアップロード前など、軽量なチェックポイントを組み込むことで、分類を自然なステップとして定着させます。

ステップ2：ガバナンスをNIST SP 800-171およびDFARSフローダウンに整合させる

NIST SP 800-171およびDFARSフローダウンにガバナンスを整合させることで、組織は連邦のセキュリティ要件を満たすことができます。これらの基準を導入することで、機密情報を保護し、規制要件へのコンプライアンスを促進します。

要件をポリシーと証拠に落とし込みます。各関連コントロールを手順・技術・担当者にマッピングし、最新のシステムセキュリティ計画（SSP）と行動計画・マイルストーン（POA&M）を維持します。CUIの特定、ラベル付与、アクセス、送信、保存、廃棄まで、各チャネルでの取扱方法を明記します。意思決定や例外も文書化し、ポリシー承認、トレーニング修了、ベースライン、テスト結果などの証跡を評価時にすぐ取り出せるようにしておきます。

契約・サプライヤー管理も強化します。DFARSの義務は、CUIを扱う下請け業者や第三者にもフローダウンさせる必要があります。保護、インシデント報告、監査協力、オフボーディングなどについて明確な文言を契約に盛り込みます。サプライヤーはオンボーディング時および定期的に評価し、自社コントロールセットに沿った証明書提出や暗号化・アクセス管理・ログ記録などの技術的コントロールを確認します。CUIアクセス権を持つ第三者の登録簿を最新化し、データ種別・範囲・有効期限も管理します。

ガバナンスは変更管理と継続的改善で運用します。プロジェクトやツールが進化するたびにコントロール適用を見直し、SSPを更新します。DevSecOpsやITSMにガバナンスチェックを組み込み、構成変更や統合、クラウド移行でも保護が維持されるようにします。定期的な内部レビューとコントロールテストで早期にギャップを特定し、監査時のサプライズを減らします。

ステップ3：転送・保存時にFedRAMP認証済み・FIPS検証済み暗号化を使用する

データ転送や保存時にFedRAMP認証済み・FIPS検証済み暗号化を利用することは、機密情報を保護する上で不可欠です。Kiteworksのようなソリューションはエンドツーエンド暗号化を提供し、CUIのライフサイクル全体でセキュリティを確保します。

該当する場合はFedRAMP認証済み環境のプラットフォームを選定し、暗号モジュールがFIPS 140-3 Level 1で検証されていることを確認します。メール、ファイル転送、SFTP、API、Webフォームなど、転送中・保存中のデータすべてに強力な暗号化を適用します。最新プロトコル・暗号スイートを標準化し、脆弱なオプションは無効化、外部接続で保護がダウングレードされないようセキュアネゴシエーションを徹底します。保存時の保護には、鍵を強化モジュールで管理し、ローテーションポリシーや職務分掌も実施します。

防御可能な鍵管理戦略を構築します。鍵の作成・エスクロー・ローテーション・失効の責任者を明確にし、集中管理サービスで鍵の散逸を最小化、リカバリ手順もテストします。暗号化には整合性コントロール（デジタル署名やハッシュ）も組み合わせ、改ざんを検出できるようにします。暗号化されたコンテンツが保存・共有・アーカイブ・廃棄時も保護されていること、バックアップも含めて検証します。

実装品質も確保します。証明書の健全性を監視し、自動更新、厳格なロール・承認による管理者アクセス制限を行います。SSPに運用方法を文書化し、FIPS検証リファレンス、設定、ローテーションログなどの証跡を記録して評価者に示せるようにします。

ステップ4：MFA、RBAC、ゼロトラストアクセスで最小権限を徹底する

組織は、Multi-Factor Authentication（MFA）、Role-Based Access Control（RBAC）、ゼロトラスト・セキュリティ原則を導入し、最小権限アクセスモデルを徹底する必要があります。これらの対策により、許可された人物だけが機密データにアクセスできるようになり、セキュリティが強化されます。

まずは強力なID保証から始めます。信頼できるIDソースと統合し、デフォルトでMFAを利用、可能な限りフィッシング耐性の高い方式を優先します。セッショントークンの短命化、機密操作時の再認証、デバイスバインディングなどで認証情報漏洩時のリスクを最小化します。シングルサインオンを標準化し、HRイベントと連動したプロビジョニング/ディプロビジョニングで、リアルタイムにロール変更を反映します。

個人単位でなく業務機能に合わせた粒度のRBACを設計します。プログラムアナリスト、下請け管理者、サプライヤー品質エンジニアなど、適切な抽象度でロールを定義し、契約・プロジェクト・データカテゴリなどの属性ベース制約も適用します。申請・承認ワークフローを徹底し、特権昇格は期間限定または都度付与とします。定期的にロール・権限を見直し、権限の逸脱や高リスクアクセスの再認証も実施します。

ゼロトラストアーキテクチャを継続的に適用します。各リクエストごとにID、デバイス健全性、ネットワーク状況、データ機密度を検証します。アクセス経路は最小限に限定し（例：広範なネットワーク共有ではなくセキュアポータルや管理ファイル交換を利用）、すべての判断・操作をログ化します。予防的コントロールと検知的コントロール（異常検知、不可能な移動、大量ダウンロード警告など）を組み合わせ、正当なコラボレーションを妨げずに不正利用を迅速に特定・封じ込めます。

ステップ5：セキュアなワークフローを標準化し、ポリシーコントロールを自動化する

セキュアなワークフローの標準化とポリシーコントロールの自動化により、コンプライアンス対応が効率化されます。Kiteworksのような統合プラットフォームを活用することで、さまざまなチャネルでデータガバナンスポリシーをシームレスに強制でき、セキュリティギャップのリスクを低減します。

よくあるCUI交換パターン（サプライヤーへの図面送信、ラボからのテストデータ受領、元請けとの作業範囲共有、機関への納品物提出など）を文書化し、それぞれに標準化・テンプレート化したワークフローを作成します。受信者、認証要件、許可ファイル種別・サイズ、保持期間、有効期限、透かし・マスキングオプションなどを事前定義します。ユーザーがワークフローを開始すると、これらのコントロールが自動適用され、記憶や手作業への依存を減らします。

あらゆる要所で強制を自動化します。DLPやアンチウイルス/マルウェアスキャンで機密コンテンツを検出し、違反時はブロックまたは隔離します。コンテンツ検査でマーキングミスやメタデータ不足を検知し、自動で有効期限・失効を設定してリンクやパッケージが無期限にアクセス可能にならないようにします。例外は承認者に明確な監査証跡付きで回し、ポリシーで操作がブロックされた場合は即時にユーザーへガイダンスを提供し、修正して進めるよう促します。

交換チャネルを統合し、死角や不整合を最小化します。メール添付、アドホック共有、マネージドファイル転送、SFTP、API、セキュアWebフォームを、単一のポリシーエンジンと一貫したユーザー体験を持つガバナンスプラットフォームに集約します。生産性ツールやリポジトリとも連携し、ユーザーが業務フローを維持しつつコンプライアンスを確保できるようにします。ダッシュボードで利用状況やポリシートリガー、完了時間を追跡し、知見をワークフローやトレーニングの改善に活用します。

ステップ6：不変の証拠で監視・記録・監査しコンプライアンスを確保する

データアクセスや共有活動の継続的な監視・記録は、コンプライアンス維持に不可欠です。Kiteworksは詳細な監査証跡と証拠保管の連鎖の可視化を実現し、組織が規制要件の遵守を証明できるようにします。

CUI取扱の完全かつ改ざん検知可能な記録を構築します。誰が、いつ、どのデバイス・場所から、どのチャネル・ポリシー下で何にアクセス・共有したかを記録します。構成変更、管理操作、例外承認も含めます。ログは時刻同期し、書き込み専用や改ざん検知型ストレージに保存、保持期間は規制・契約要件に合わせます。可能な限り暗号的にログを封印し、不正な改ざんを検出できるようにします。

証拠の迅速かつ防御可能な取得を実現します。ログやメタデータを構造化し、文書や交換の証拠保管の連鎖（作成、分類、アクセス、転送、変更、解除）を再現できるようにします。監査人には閲覧専用ビューを提供し、コントロールファミリーにマッピングしたレポートをエクスポート、よく使う評価用クエリも保存します。ダッシュボードでリアルタイムに異常ダウンロード、MFA失敗、ポリシーバイパス率、新規エンドポイントへのデータ流出などの指標を監視します。

継続的改善でサイクルを完結させます。監視から得た知見をトレーニング、ワークフロー設計、ポリシーチューニングに反映します。ポリシーで誤検知が多い場合はルールやプロンプトを見直し、例外申請が頻発する場合は標準化されたより安全なワークフローで対応できないか検討します。監査プログラムは、定期的・受動的な作業ではなく、セキュリティを強化し評価を加速させる運用能力として位置付けます。

ステップ7：インシデント・サードパーティリスクに備え、迅速に報告・是正する

組織は、潜在的なセキュリティインシデントやサードパーティリスクに積極的に備える必要があります。インシデント対応計画を策定することで、迅速な報告・是正が可能となり、セキュリティ侵害の影響を最小限に抑えられます。

CUIに特化したインシデント対応計画を策定・訓練します。法務、契約、調達、外部パートナーを含む役割・連絡・エスカレーション経路を定義します。よくあるシナリオ（認証情報漏洩、誤送信、サプライヤー侵害、マルウェア感染、デバイス紛失など）ごとにプレイブックを事前準備し、各チャネルでの封じ込め手順（リンク失効、アカウント停止、ファイル隔離、鍵ローテーション）も明記します。調査支援のため証拠を保全し、机上演習で準備状況を検証します。

サードパーティリスク管理をライフサイクルに統合します。CUIアクセス権を持つすべてのパートナーについて、最新の連絡先・契約要件（通知・協力義務含む）を管理します。インシデントがサプライヤーに関係する場合は、封じ込め・報告を連携し、是正措置を確認、必要に応じて一時的な制限やオフボーディングも検討します。新規・変更サプライヤー接続（特にSFTP、API、自動化ワークフロー）は迅速に検証し、信頼が常に担保されている状態を維持します。

迅速かつコンプライアンスに準拠した報告・復旧体制を計画します。規制当局や顧客の報告期限・チャネルを把握し、事前承認済みテンプレートで連絡を迅速化します。不変の監査ログをフォレンジックや根本原因分析に活用し、標的を絞った是正・コントロール強化を実施します。リスク登録簿、トレーニング、ワークフローも更新し、再発防止と広範なエコシステム強化のために教訓を共有します。

Kiteworks for Defense Contractors：CMMC整合のセキュアなCUI共有

機関と請負業者間でCUIを安全に共有することは、機密情報を守るために不可欠な多段階プロセスです。これらの実証済みステップを実践することで、組織はセキュリティ体制を強化し、コンプライアンスを確保できます。

すでに一部の仕組みがある場合は、これらのステップを成熟度チェックリストとして活用し、ギャップの特定、重複ツールの廃止、ポリシーの強化を進めてください。これから始める場合は、ラベリング、暗号化強制、ロール整理など、目に見えるコントロールで早期に成果を出しつつ、持続的な自動化・証拠生成も計画しましょう。交換チャネルとガバナンスを統合するプラットフォームは、このプロセスを簡素化し、価値実現までの期間を短縮します。

Kiteworksはこれらを実現し、さらに組織がデータを安全かつ効率的に管理し、すべての関係者間で安全なコラボレーションを可能にします。

Kiteworksは、プライベートデータネットワークを提供し、メール、ファイル転送、SFTP、API、Webフォームを強化されたシングルテナントアーキテクチャで統合・ガバナンスします。エンドツーエンド暗号化、FIPS検証済み暗号技術、きめ細かなポリシーコントロール、包括的な証拠保管の連鎖ログを備えています。

CMMC 2.0コンプライアンスにおいて、KiteworksはNIST SP 800-171の実践にマッピングし、最小権限RBAC、MFA/SSO、ゼロトラストアクセス制御、ポリシー自動化、DLP/AV、不変・改ざん検知可能な監査証拠を備え、評価や継続的モニタリングを効率化します。政府向け導入ではFedRAMP認証済み環境もサポートし、防衛請負業者がDoDとCUIを安全に共有できるよう支援します。

KiteworksやCMMC準拠でのCUI保護についてさらに詳しく知りたい方は、カスタムデモを今すぐご予約ください。

追加リソース

• ブログ記事
  中小企業向けCMMCコンプライアンス：課題と解決策
• ブログ記事
  DIBサプライヤー向けCMMCコンプライアンスガイド
• ブログ記事
  CMMC監査要件：評価者がCMMC準備状況で確認すべきポイント
• ガイド
  機密性の高いコンテンツ通信のためのCMMC 2.0コンプライアンス・マッピング
• ブログ記事
  CMMCコンプライアンスの真のコスト：防衛請負業者が予算化すべき事項