Press Release

本プラットフォームは、ITSP.10.171レベル2のコントロール98項目中79項目に対応しており、カナダ国内でのデータ主権に配慮した導入オプションや、CPCSCおよび米国サイバーセキュリティ成熟度モデル認証（CMMC）の両フレームワークに対応したデュアルフレームワークサポートを提供します。

Kiteworksは、あらゆる機密データの送信・共有・受信・利用におけるリスクを効果的に管理できるよう組織を支援しており、カナダの防衛調達業者向け必須サイバーセキュリティ認証フレームワークであるCanadian Program for Cyber Security Certification（CPCSC）への包括的なプラットフォーム対応を発表しました。2026年夏より一部防衛契約でレベル1の自己評価要件が導入され、レベル2およびレベル3は段階的導入に向けて開発中です。Kiteworksの事前マッピング済みITSP.10.171管理策、カナダ国内での導入オプション、監査対応証拠生成機能により、防衛調達業者は認証取得を迅速化し、契約資格を維持できます。

CPCSCは、カナダ公共サービス・調達省が国防省、カナダ規格評議会、カナダサイバーセキュリティセンターと連携して運営しており、特定情報（カナダ政府の機密性を持つ非分類情報）を取り扱う防衛調達業者に対し、NIST SP 800-171をカナダ向けに適用したITSP.10.171への認証を義務付けています。

本プログラムは、3段階の認証レベルを設定しています：

• レベル1：13の基本的な管理策に対する年次自己評価が必要
• レベル2：認定認証機関による98の管理策に対する3年ごとの第三者評価および年次確認が必要
• レベル3：カナダ政府による3年ごとの評価で200の管理策が追加

認証を取得できない業者は防衛調達から除外されます。米国で同一のNIST 800-171管理策セットが適用されている状況をみると、その課題の大きさが分かります。米国防衛請負業者のうち、レベル2への準備ができていると考えているのは46%、ギャップ分析を完了していないのは57%、十分なガバナンス管理策が不足しているのは62%にのぼります。

CPCSCはNIST SP 800-171との整合性を意図的に確保しており、カナダのファイブアイズ同盟国との相互運用性を支援し、カナダの防衛調達業者が米国のCMMC認証取得業者と同等のセキュリティ体制を示すことを可能にします。カナダおよび米国の両方の防衛契約に入札する業者にとって、両プログラムは同じ基本管理策セットを共有しており、一方への投資がもう一方の認証取得を直接加速させます。

「カナダの防衛調達業者は、米国請負業者が長年直面してきたNIST 800-171の管理策要件に加え、カナダ独自のデータ主権義務や、レベル2・3がまだ開発中であるという複雑さにも対応しなければなりません」と、KiteworksのCISO兼オペレーションSVPであるFrank Balonisは述べています。「Kiteworksは、CMMCプログラム開始当初から防衛請負業者の認証取得を支援してきました。CPCSCは同じ基本規格に基づいているため、当社の事前マッピング済み管理策、FedRAMP認証済みセキュリティアーキテクチャ、コンプライアンス証拠生成機能は、単一の導入で両プログラムに対応します。カナダの業者はゼロから始める必要はなく、これらの要件にすでに実証済みのプラットフォームを活用できます。」

CPCSC認証を支援するKiteworksの主な機能：

• 事前マッピング済みITSP.10.171管理策：Kiteworksは、レベル2の98管理策のうち79（80%）をカバーし、データ交換ガバナンスに最も関連するITSP.10.171セキュリティ要件ファミリー（アクセス制御、監査と説明責任、識別と認証、メディア保護、システムおよび通信の保護、システムと情報の完全性、サプライチェーンリスク管理など）を網羅します。Kiteworksが対応しない19の管理策は、組織的・物理的・プロセスベース（研修、人事スクリーニング、物理的アクセス、ポリシー文書化など）であり、これらは本質的に人的ガバナンスが必要な領域です。
• ゼロスロットル監査証拠：すべてのファイルアクセス、転送、ポリシー決定をリアルタイムで完全に監査ログ化し、スロットリングや遅延、追加ライセンスなしで記録します。syslogやSplunk ForwarderによるSIEM連携で、証拠をセキュリティオペレーションに提供。認定認証機関による評価時には、数時間で評価証拠を準備できます。
• カナダデータ主権：カナダ国内データセンターでのオンプレミス、プライベートクラウド、またはハイブリッド導入に加え、単一テナント分離、顧客所有の暗号化鍵、ジオフェンシングにより、特定情報がカナダ管轄外に出ることを防ぎます。これは、カナダ組織の40%がカナダ・米国間のデータ共有取り決め変更を最大の規制懸念とし、21%が米国クラウド法（US CLOUD Act）を主権への直接的な脅威と捉えていることに対応しています。
• FIPS 140-3認証済み暗号化：保存時はAES-256による二重暗号化、転送時はTLS 1.3を使用し、ITSP.10.171の伝送および保存時の機密性要件を満たす認証済み暗号モジュールを採用しています。
• CPCSC・CMMC両認証対応：ITSP.10.171とNIST SP 800-171は技術的に同等であるため、同一のKiteworks導入でカナダ契約向けCPCSCと米国国防総省契約向けCMMCの両認証に対応可能です。KiteworksはFedRAMP認証済みで、全110プラクティスを網羅したコントロール補足付きのCMMC 2.0コンプライアンスレポートを提供し、ファイブアイズの相互運用性と国境を越えた調達を支援します。
• 多層防御アーキテクチャ：強化された仮想アプライアンスに組み込まれたネットワークファイアウォール、WAF、AIベースの侵入検知により、セキュリティを製品機能として提供し、顧客の責任を軽減します。デフォルト拒否のネットワークアーキテクチャとゼロトラスト内部階層化により、境界保護とシステム完全性要件に対応します。
• セキュアなデータ交換のためのコントロールプレーン：Kiteworksは、メール、ファイル共有、マネージドファイル転送、SFTP、Webフォーム、API、AI連携を単一プラットフォームに統合し、1つのポリシーエンジン、1つの監査ログ、1つのセキュリティアーキテクチャで管理します。防衛調達業者は一度コントロールをマッピングすれば、特定情報が移動するあらゆるチャネルで一貫して適用できます。

KiteworksのCPCSCソリューションガイド（ITSP.10.171レベル2の全98要件をコントロールごとにマッピングした完全版）はこちらからご覧いただけます。

Kiteworksについて

Kiteworksのミッションは、組織が機密データの送信、共有、受信、利用のあらゆる場面でリスクを効果的に管理できるよう支援することです。Kiteworksプラットフォームは、データガバナンス、コンプライアンス、保護を統合的なコントロールプレーンで提供し、安全なデータ交換を実現します。Kiteworksは、組織内外を問わず移動する機密データを統合・追跡・制御・保護し、リスク管理を大幅に向上させ、すべての機密データ交換における規制コンプライアンスを確実にします。本社はシリコンバレーにあり、Kiteworksは世界中の1億人以上のエンドユーザーと数千のグローバル企業・政府機関を保護しています。

報道関係お問い合わせ先
David Schutzman
PRマネージャー
david.schutzman@kiteworks.com