Press Release

新たなKiteworksデータセキュリティ＆コンプライアンスリスク：年次調査レポートが防衛産業基盤の重大な課題を明らかに

Kiteworksは、機密データの送信、共有、受信、利用のあらゆる場面でリスクを効果的に管理できるよう企業を支援しています。このたび、同社は2025年版データセキュリティ＆コンプライアンスリスク：年次調査レポートの調査結果を発表し、防衛請負業者がCMMC 2.0要件への対応を進める中で直面している重大なガバナンス課題を明らかにしました。

調査によると、すべての機密データに対してエンドツーエンド暗号化を完全に実装しているのは56%にとどまり、ガバナンスプロセスを中央集約化しているのも半数強に過ぎません。これらのギャップは、制御されていない分類情報（CUI）を扱う防衛請負業者にとって特に深刻です。CMMC 2.0では、サプライチェーン全体にわたる包括的なガバナンスとセキュリティ管理が求められます。なお、本調査は業界横断で461組織を対象としていますが、CMMC 2.0認証取得を積極的に進めている104組織の分析から、防衛産業基盤特有の課題が浮き彫りになりました。

「このデータは、防衛請負業者にとって根本的な課題を示しています」とKiteworksのCISO兼オペレーションSVPであるフランク・バロニスは述べています。「適切なガバナンス管理がなければ、CMMCが求める包括的なCUI保護を証明することはできません。コンプライアンスへの道は、自社のデータ環境を理解し、コントロールすることから始まります。」

中核となるガバナンスのギャップがCMMC対応を脅かす

本調査では、CMMCコンプライアンスに直接影響を与える重大なギャップを特定しています：

セキュリティ基盤の不完全さ。CMMC 2.0取得を目指す防衛請負業者は、基礎的なセキュリティ管理策の実装に大きな課題を抱えています。調査対象となった104のCMMC組織のうち、暗号化の実装状況は組織規模によって大きく異なり、大企業ほど深刻なギャップが見られます。従業員2万人超の組織で最高水準の暗号化（76〜100%カバレッジ）を達成しているのは38%にとどまり、従業員5,000〜9,999人の中堅企業では59%となっています。

ガバナンストラッキングのギャップからは、手作業プロセスへの大きな依存が明らかになりました。CMMC組織の95%が何らかの有効性指標を追跡していますが、包括的なガバナンス管理・追跡システムを導入しているのはわずか38%です。この57ポイントのギャップは、手作業ワークフローへの広範な依存を示し、ヒューマンエラーのリスク増大、継続的なモニタリングの複雑化、CMMC評価者が求める監査証跡の課題を生み出しています。ガバナンストラッキングがない組織では、低暗号化（20%未満）の発生率が5ポイント高く（20%対15%）、CMMCが要求する包括的なCUI保護の証明能力に直接影響しています。

サードパーティ・エコシステムの可視性欠如。CMMC取得を目指す組織は、他業界と同様のサプライチェーンの複雑性に直面しながらも、サプライヤーリスク管理に苦慮しています。104のCMMC組織のサプライヤー分布は一般組織とほぼ同じですが、ベンダーコンプライアンスは課題の中で2番目に高く（スコア100中73）、39%が最重要課題と回答しており、非CMMC組織より7ポイント高い結果となっています。

契約ガバナンスでも重大なギャップが浮上しています。CMMC組織でサプライヤーに対し契約上のセキュリティ要件を実装しているのは22%にとどまり、業界平均の27%を下回っています。これは、防衛請負業者がエコシステム全体でCUI管理を証明しなければならないという根本的なコンプライアンスリスクを示しています。

AIガバナンス危機の顕在化： データインベントリの正確性に課題を抱えるCMMC組織は27%に上り、7つの主要課題のうち6位となっています。多くの組織が基本的なインベントリ管理は行っているものの、AI生成コンテンツの追跡や適切なCUI分類の複雑さが依然として問題となっています。

測定体制のギャップからは本質的な懸念が浮き彫りになります。有効性指標を追跡している組織では深刻な暗号化ギャップが6ポイント低く（19%対25%）、未測定のAI利用が未記録のCUIフローを生み出す可能性が示唆されています。特に懸念されるのは次の点です：

• AIシステムが適切な分類なしにCUIを誤って処理・保存・送信する可能性がある
• 生成AIツールが学習データや出力を通じてCUIを露出させるリスクがある
• 包括的なガバナンストラッキングがない組織は、CMMC評価者が求めるAIデータインタラクションの継続的モニタリングを証明できない

地理的分布とその示唆。CMMC取得を目指す回答者の地理的分布（北米63%、欧州11%、アジア太平洋20%、中東・アフリカ7%）から、防衛サプライチェーン活動の集中と、地域ごとの準備状況の大きな格差が明らかになりました。特に欧州はNATOパートナーシップがあるにもかかわらず11%と低く、認知度のギャップが示唆されます。アジア太平洋の20%は主に同盟国のテクノロジー・製造パートナーによるものです。中東の参加は7%にとどまり、現状の市場動向を反映しています。重要なのは、国際的なデータフローを管理するCMMC回答者の51%が、ポリシー策定や管理策実装の複雑化を報告しており、CUIが複数の法域で処理・保存される場合、追加のコンプライアンス課題が生じていることです。

「CMMC 2.0コンプライアンスは、単なるチェックリストの消化ではなく、データエコシステム全体で成熟した一貫性のあるガバナンスを証明することが求められます」とバロニスは締めくくります。「今回の調査で明らかになったギャップから、多くの防衛請負業者には今後大きな課題が残されていることが分かります。今すぐガバナンスギャップの解消に取り組むことで、コンプライアンスだけでなく、防衛産業基盤における競争優位の獲得にもつながります。」

2025年版データセキュリティ＆コンプライアンスリスク：年次調査レポートの全文はこちらからご覧いただけます。

Kiteworksについて

Kiteworksのミッションは、組織が機密データの送信、共有、受信、利用のあらゆる場面でリスクを効果的に管理できるよう支援することです。Kiteworksプラットフォームは、顧客にデータガバナンス、規制コンプライアンス、データ保護を提供するプライベートデータネットワークを提供します。このプラットフォームは、組織内外を移動する機密データを統合・追跡・制御・保護し、リスク管理を大幅に向上させ、すべての機密データ交換における規制コンプライアンスを確実にします。本社はシリコンバレーにあり、Kiteworksは1億人以上のエンドユーザーと1,500社を超えるグローバル企業および政府機関を保護しています。

メディア連絡先：
David Schutzman
PRマネージャー
David.schutzman@kiteworks.com