Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > CPCSC認証:カナダ防衛サプライヤーは2026年に向けて準備万端か?

CPCSC認証:カナダ防衛サプライヤーは2026年に向けて準備万端か?

by Fraser Hudgin updated 4月 22, 2026 規制コンプライアンス
Reading Time: 9 minutes

2026年4月14日、カナダ政府は防衛サプライヤー向けに国内初となる義務的なサイバーセキュリティ認証制度であるカナダ・サイバーセキュリティ認証プログラム(CPCSC)のレベル1を正式に導入しました。政府変革・公共事業・調達大臣ジョエル・ライトバウンド閣下によって発表され、レベル1は2026年夏から一部の防衛契約で必須となります。

主なポイント

  1. CPCSCは今すぐ有効な契約ゲート。 カナダの防衛サプライヤー向け義務的サイバーセキュリティ認証は2026年4月14日にレベル1が開始され、レベル2の第三者評価は2026年夏から契約に導入されます。認証がなければ契約資格もありません。
  2. 基盤となる規格はNIST SP 800-171と技術的に同一。 カナダ・サイバーセキュリティセンターが策定したITSP.10.171は、米国CMMCと同じコントロールを適用しており、米国の準備調査はそのままカナダのサプライヤーにも適用されます。
  3. 防衛請負業者の46%しか準備ができていないと考えている。 米国DIB(防衛産業基盤)のデータでは、57%がギャップ分析を完了しておらず、62%が十分なガバナンスコントロールを欠き、完全に監査対応できていると感じているのはわずか1%です。カナダのサプライヤーも同じコントロールに、より短い準備期間で対応する必要があります。
  4. 組織が失敗するのは暗号化ではなくガバナンス。 技術的コントロールには予算が割かれますが、文書化されたポリシー、強制された手順、職務分離などが最も弱く、評価者が最も厳しくチェックする領域です。
  5. カナダのサプライヤーは米国にはない主権要件に直面。 指定情報はカナダの管轄下に留める必要があり、カナダ組織の40%が米国とのデータ共有変更を最大の規制リスクとしています。これは契約ではなくアーキテクチャで解決すべき課題です。

CPCSCは3つの認証レベルで構成されています。レベル1は13の基礎的コントロールに対する年次自己評価が必要です。レベル2は認定認証機関による98コントロールの第三者評価が必要です。レベル3は国防省による200コントロールの評価が必要です。政府は段階的な導入を約束していますが、方向性は明確です。契約受注時に認証が必須となり、対象契約の範囲は今後拡大していきます。

CPCSCの基盤となる規格はITSP.10.171で、カナダ・サイバーセキュリティセンターが開発したNIST SP 800-171のカナダ版です。政府は明言しています:両規格間に実質的な技術的差異はありません。変更点はカナダの規制環境を反映したものであり(用語の違い:「指定情報」vs「制御されていない分類情報」、管轄当局の違い(財務委員会事務局のポリシー)、プライバシーフレームワークの違い(PIPEDA))、コントロール自体は同一です。

この整合性は意図的なものです。CPCSCはファイブアイズ同盟国、特に米国との相互運用性を支援するために設計されています。米国のCMMCプログラムも、国防省契約で同じNIST 800-171コントロールセットの認証を要求しています。

米国CMMC準備危機 ― それがカナダのサプライヤーに示唆すること

ITSP.10.171とNIST SP 800-171が技術的に同等であるため、米国防衛産業基盤(DIB)の準備データはカナダの準備状況を測る最も近い指標となります。このデータは、カナダの防衛サプライチェーンに関わるすべてのCISOやコンプライアンス責任者が注視すべき内容です。

KiteworksとCoalfireによるDIB組織209社の調査では、CMMCレベル2認証(CPCSCレベル2と同じコントロール範囲)に「準備ができている」と回答したのはわずか46%でした。57%はNIST 800-171ギャップ分析(認証準備の基礎ステップ)を完了していません。CMMCを目指す104組織を対象とした別のKiteworks調査では、62%が十分なガバナンスコントロールを欠いていることが判明しています(暗号化対策は改善傾向)。

CyberSheathの2025年防衛産業基盤レポートではさらに厳しい数字が示されました。請負業者のうち完全にCMMC監査に対応できていると感じているのはわずか1%、自己評価スコアの中央値は必要な110に対して60でした。

カナダのサプライヤーも、確立された評価リソースが少なく、より短いスケジュールで同じ98コントロールに対応する必要があります。カナダ規格評議会は、認定第三者評価機関のエコシステムを現在構築中です。「認証が利用可能」から「認証が必須」までの期間は年単位ではなく、数か月単位で進行します。

ギャップ分析は認証成功の最重要予測指標

米国のデータから明らかになったのは、構造化されたギャップ分析を完了した組織は、すべてのコントロールドメインで著しく高い成熟度を示すというパターンです。

ギャップ分析を完了した組織のうち、77%が検証付きの暗号化ベストプラクティスを遵守しており、未実施組織では42%にとどまります。サイバーセキュリティポリシーを完全に文書化しているのは73%(未実施は28%)、POA&Mを詳細に整備しているのは71%(未実施は33%)、経験豊富なパートナーを活用しているのは62%(未実施は21%)と、Kiteworks/Coalfireの調査で示されています。

これはわずかな差ではありません。ギャップ分析を完了した組織は、認定認証機関が求める文書、技術的コントロール、是正計画を2~3倍の確率で備えています。ギャップ分析は官僚的な作業ではなく、合格する組織と不合格となる組織を分ける唯一の行動です。

カナダの防衛サプライヤーにとっての示唆は明快です。レベル2契約が始まる前に、今すぐITSP.10.171ギャップ分析を開始してください。遅れるごとに是正の猶予期間が短くなります。

最も弱い領域はガバナンス ― 暗号化ではない

CMMC準備データから得られた最も直感に反する発見は、技術的コントロールが主な失敗要因ではないということです。暗号化対策は向上し、多要素認証の導入も進み、ファイアウォールや侵入検知の展開も成熟しています。

組織が失敗するのはガバナンスです。

KiteworksのCMMC調査で示された62%のガバナンス失敗率は、技術ギャップではなくマネジメントギャップを反映しています。文書化されたポリシー、強制された手順、定期的なレビュー、職務分離、継続的なモニタリングは、製品導入だけでは代替できない組織的なコミットメントを必要とします。ITSP.10.171の17要件ファミリーは、技術領域を超えて計画(03.15)、人事セキュリティ(03.09)、リスク評価(03.11)、サプライチェーンリスク管理(03.17)などにも及びます。

CPCSCレベル2評価のために認定認証機関が来訪する際、組織が適切なツールを購入したかどうかではなく、それらのツールがガバナンスされた、文書化され、継続的に監視された枠組みの中で運用されているかを確認します。2026年Thalesデータ脅威レポートでは、組織のうち自社データの保存場所を完全に把握しているのは33%にすぎないと報告されています。指定情報の所在が不明なままでは、どれだけ暗号化やアクセス制御を導入してもガバナンスは不可能です。

監査証跡:CPCSC評価の合否を分けるポイント

ITSP.10.171は、イベントログ、監査記録の内容、タイムスタンプ、監査情報の保護、監査記録のレビューに関する「監査およびアカウンタビリティ(03.03)」という要件ファミリーを丸ごと割り当てています。8つのコントロールすべてが運用証拠を要求します。

多くの防衛サプライヤーは、指定情報を複数のチャネル(セキュアメール、ファイル共有、SFTPマネージドファイル転送、Webフォームなど)でやり取りしています。各チャネルは通常、独自のプラットフォーム、ログシステム、アクセス制御、保存ポリシーを持っています。評価者がファイルの完全な履歴を求めた場合、サプライヤーは5~6の異なるシステムからログをつなぎ合わせなければなりません。タイムスタンプの形式が異なり、ユーザー識別子も一致しません。システムによっては高負荷時にログを制限したり、記録が数時間遅れることもあります。

2026年Black Kite第三者侵害レポートでは、第三者侵害の開示までの中央値が73日と報告されており、これはデータの移動に対する可視性の断片化が広がっていることを示しています。2026年DTEX/Ponemonインサイダー脅威レポートではさらに、シャドーAIが過失によるインサイダーインシデントの主因となっており、92%の組織が生成AIによって従業員の情報共有方法が変化したと回答する一方、AIをセキュリティ戦略に統合しているのはわずか13%であると指摘されています。AIエージェントが指定情報にアクセスすることで、従来のログインフラでは把握できない監査ギャップが生じています。

すべてのデータ交換チャネルを単一のログアーキテクチャで統合し、あらゆるチャネルでのアクセス・転送・ポリシー決定をリアルタイムかつ改ざん検知付きで記録できる組織は、認証機関が求める証拠を提供できます。監査インフラが断片化している組織は、評価時にギャップが発覚し、是正が間に合わなくなります。

カナダ主権要件:契約ではなくアーキテクチャで対応

カナダの防衛サプライヤーは、米国CMMCプログラムにはない「データ主権」という要件に直面しています。ITSP.10.171は「指定情報」(カナダ政府当局が契約で保護を求めると指定したデータ)を守ります。この情報はカナダの法的管轄下に留める必要があります。

Kiteworks 2026年データセキュリティ&コンプライアンスリスク予測(カナダ版)では、カナダ回答者の40%がカナダ・米国間のデータ共有変更を最大の規制リスクとし、21%が米国クラウド法(CLOUD Act)を直接的な主権リスクとしています。カナダ組織の23%は米国クラウドプロバイダーからの移行を進めています。

これは仮定上のリスクではありません。指定情報が米国本社のマルチテナントクラウドサービス上にある場合、物理的な保存場所にかかわらず米国政府のアクセス要求の対象となる可能性があります。契約条項ではこのギャップは埋まりません。主権を守るにはアーキテクチャが必要です。指定情報をカナダ管轄内に保つための導入選択、第三者による復号を防ぐ暗号鍵管理、インフラレベルで管轄境界を強制するアクセス制御が求められます。

CPCSC認証に向けてデータ交換インフラを評価する際、サプライヤーは「外国政府が当社の指定情報にアクセスを強制できるか?」という二択の問いを投げかけるべきです。答えが「アーキテクチャ上技術的に不可能なのでNO」でなければ、主権要件は満たされていません。

KiteworksによるITSP.10.171コントロールファミリー全体でのCPCSC認証支援

Kiteworksは、セキュアメール、ファイル共有、マネージドファイル転送、SFTP、Webフォーム、API、AI連携を単一のガバナンスアーキテクチャで統合し、指定情報が移動するすべてのチャネルで一元的なポリシーエンジン、監査ログ、セキュリティ体制を実現します。ITSP.10.171レベル2の98コントロールのうち、Kiteworksは46コントロールを完全カバー、31コントロールを部分的にカバーし、防衛サプライヤーが失敗しやすいコントロールファミリーで技術的な実装を提供します。

Kiteworksのデータポリシーエンジンは、すべてのデータ交換チャネルでロールベース(RBAC)および属性ベース(ABAC)のアクセス制御を強制し、アクセス制御・識別認証ファミリーに直接対応します。ゼロスロットル監査ログは、すべてのイベントをリアルタイムかつ改ざん検知付きで記録し、8つの監査およびアカウンタビリティコントロールを完全カバーします。FIPS 140-3認証済みAES-256二重暗号化と顧客所有鍵により、伝送・保存時の機密性要件に対応します。ファイアウォール、WAF、侵入検知を組み込んだ強化仮想アプライアンスが、システムおよび通信の保護を製品機能として提供します。

主権要件については、Kiteworksはカナダ国内データセンターでのオンプレミス、プライベートクラウド、またはシングルテナント分離によるハイブリッド導入を提供します。顧客所有の暗号鍵により、Kiteworksも政府も指定情報を復号できません。同じ導入でCPCSCとCMMC両方の認証に対応可能です。KiteworksはFedRAMP認証済みで、NIST 800-171コントロールの事前マッピングとCMMC 2.0の110プラクティスをカバーするコンプライアンスレポートを提供します。

カナダ防衛サプライヤーが今後90日で取るべきアクション

まず、ITSP.10.171ギャップ分析を直ちに実施してください。米国CMMCの経験から、これが認証成功の最重要予測指標であることが示されています。ギャップ分析を完了した組織は、文書化されたポリシー、暗号化基準、是正計画を2~3倍の確率で整備しています。

次に、技術よりも先にガバナンスを整備してください。ポリシーを文書化し、手順を正式化し、役割分担とレビューサイクルを設定しましょう。米国防衛産業基盤での62%のガバナンス失敗率は、技術の問題ではなく組織的規律の問題であり、認証機関はこれを即座に見抜きます。

三番目に、データ交換チャネルを統合してください。断片化したツールは断片化した監査証拠を生みます。指定情報がメール、ファイル共有、SFTP、MFTなど別々のプラットフォームをまたいで移動している場合、監査証跡にギャップが生じ、認証機関に指摘されます。単一のガバナンスアーキテクチャに統合しましょう。

四番目に、主権要件をアーキテクチャで解決してください。指定情報がカナダ管轄外からアクセス可能(米国クラウド法による米国本社クラウドプロバイダー経由を含む)であれば、どんなポリシー文書でも認証リスクは解消できません。カナダ国内インフラと自社管理の暗号鍵で運用しましょう。

五番目に、二重フレームワーク認証を計画してください。米国DoW契約とカナダ防衛案件の両方に入札する場合、ITSP.10.171とNIST SP 800-171の同等性により、1つの投資でCPCSCとCMMC両方に対応できます。技術的に同一な規格に対して二重にコントロールを実装するのは、カナダのサプライヤーにとってリソースの無駄です。

今後90日で行動する組織は、レベル2契約開始時に有利な立場を得られます。待つ組織は、米国防衛請負業者がすでに学んだ通り、認証スケジュールは常に想定より短いことを痛感するでしょう。

よくある質問

カナダ・サイバーセキュリティ認証プログラム(CPCSC)は、機密性の高い非公開政府情報を取り扱う防衛サプライヤー向けのカナダ義務的サイバーセキュリティ認証です。レベル1(13コントロールの自己評価必須)は2026年4月14日に導入され、同年夏から一部の防衛契約で必須となります。レベル2(98コントロールの第三者評価必須)はレベル1に続き一部契約で導入されます。レベル3(200コントロール、国防省による評価)は2027年に続きます。認証は契約ゲートであり、必要なレベルで認証できないサプライヤーは調達から除外されます。

ITSP.10.171は、カナダ・サイバーセキュリティセンターが策定したカナダ産業向けサイバーセキュリティ規格です。NIST SP 800-171を直接適用したもので、技術的な差異はなく、カナダの規制環境(用語、管轄当局、プライバシーフレームワーク)のみが異なります。CMMCレベル2もNIST SP 800-171準拠が必須のため、CPCSCレベル2を認証取得した組織は、CMMCのコントロール要件もほぼ満たしており、単一のコントロール実装で二重フレームワーク認証をサポートできます。

カナダ国内で大規模な準備状況調査はまだありませんが、同一のNIST SP 800-171コントロールセットに関する米国データがそのまま適用できます。Kiteworks/Coalfire調査では、準備ができていると回答したのは46%、ギャップ分析未実施は57%、別のKiteworksガバナンス調査では62%が十分なガバナンスコントロールを欠いています。CyberSheathは完全に監査対応できていると感じているのはわずか1%と報告しています。カナダのサプライヤーも同じコントロールに、より少ない評価リソースで対応する必要があります。

ITSP.10.171は、カナダの法的管轄下に留める必要がある「指定情報」を保護します。米国本社のクラウドサービスを利用する防衛サプライヤーは、物理的な保存場所にかかわらず米国クラウド法によるアクセス要求の対象となるため、主権ギャップが生じます。Kiteworks 2026年カナダ予測では、カナダ回答者の40%が米国データ共有変更を最大の懸念、21%がCLOUD Actを直接的なリスクとしています。この要件を満たすには、契約上の保証ではなく、カナダ国内導入、暗号鍵管理、ジオフェンシングなどアーキテクチャレベルのコントロールが必要です。

KiteworksのCPCSCガイドでは、全98項目のITSP.10.171レベル2コントロールをKiteworksプラットフォーム機能にコントロールごとにマッピングし、カバー範囲(完全カバー、部分カバー、未カバー)、具体的な製品機能、各コントロールの実装ノートを提供しています。Kiteworksガイドをダウンロードしてギャップ分析を加速し、事前マッピング済みコントロールで認証スケジュール短縮を図りましょう。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks