Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る

CMMC CUIとは?

Home Glossary CMMC CUIとその意味

CMMCにおける管理された非公開情報(CUI)は、政府が保護や配布管理を必要と判断した情報です。これは機密情報のような法的保護はありませんが、保護、管理、利用に関する規制や要件の対象となります。CUIは、諜報、法執行、国家安全保障に該当しない情報であり、通常タグやマーク、注記などでラベル付けされます。CUIはCMMCが保護する2つの主要な情報タイプのうちの1つであり、もう1つは連邦契約情報(FCI)です。

Zero Trust Data Exchange

CMMCとは?

サイバーセキュリティ成熟度モデル認証、またはCMMCは、国防総省(DoD)がDoDのサプライチェーンとデータのセキュリティを確保するために開始した認証プログラムです。このフレームワークは2021年に再設計され、当初の5段階から3段階に統合されました。新しいフレームワークはCMMC 2.0と呼ばれます。認証は、基本的なサイバーセキュリティ衛生から高度な脅威管理まで、セキュリティ実践の実装を測定・検証します。また、組織のパフォーマンスや能力の評価なども含まれます。

CUIは法律や国家政策により保護が義務付けられています。政府や企業の機密性はあるが機密指定されていないデータが含まれます。CUIは、機密性が高い、または他の方法で規制されているために、開示や配布が制限される情報を含みます。CUIには、不正な開示を防ぐために保護しなければならないあらゆる情報が該当します。CMMCの主な目的の1つは、DoDの広範なサプライチェーンに対するサイバー攻撃からDoDを守ることです。

CMMC認証が必要な組織とは?

連邦契約情報(FCI)や管理された非公開情報(CUI)を取り扱う防衛産業基盤(DIB)内の組織は、DoD契約で指定されたレベルのサイバーセキュリティ成熟度モデル認証(CMMC)を取得する必要があります。これには、DoDと直接契約を結ぶプライムコントラクターだけでなく、下請け業者やサプライヤーも含まれ、プライムコントラクターに商品やサービスを提供するすべての階層が対象です。

この要件は、ソフトウェアベンダー、クラウドサービスプロバイダー、DoD契約を支援するコンサルティングパートナーなど、さまざまな事業体に適用されます。基本的に、組織がDoD向け業務の一環としてFCIまたはCUIを作成、処理、送信、保存する場合、CMMC認証が必要です。

3つのCMMC 2.0レベルがあり、必要なCMMCレベルは取り扱う情報の種類によって異なります。CMMCレベル1はFCIのみを扱う請負業者に適用され、FAR 52.204-21で定められた基本的な保護策の実装が求められます。CMMCレベル2はCUIを扱う組織に必要で、DFARS条項252.204-7012で求められるNIST SP 800-171 Rev 2の110のセキュリティ管理策への準拠が義務付けられます。CMMCレベル3は、重要なプログラムや高価値資産に関連するCUIを扱う組織向けで、NIST 800-172からの追加の強化管理策が必要となり、高度な持続的標的型攻撃(APT)への対策が求められます。

プライムコントラクターは、DFARS条項252.204-7021により、下請け業者が流通する情報に応じた適切なCMMCレベルを取得する責任を負います。DIB内の海外サプライヤーも、FCIやCUIを取り扱う場合はCMMC要件の対象となります。

例えば、プライムコントラクターに部品を供給し、基本的な契約情報(FCI)のみを扱う小規模製造業者はレベル1が必要ですが、防衛システム向けの機密技術仕様(CUI)を処理するソフトウェア開発者は、プログラムの重要度に応じてレベル2または場合によってはレベル3が必要となる可能性があります。CUIとCMMC要件の関係を理解することは、契約資格を維持する上で極めて重要です。

管理された非公開情報(CUI)の種類

CUIにはさまざまな種類があり、大きく2つのカテゴリに分類されます。

  • 基本CUI:基本CUIは、不正な開示から情報を守るために基本的な保護措置が必要なCUIです。基本CUIの例としては、政府契約に関する情報、機密ではないが機微な情報、または規制コンプライアンスGDPRHIPAAPCI DSSNIST CSFCCPAなど)や大統領令の対象となる情報などが含まれます。
  • 特定CUI:特定CUIは、不正な開示から情報を守るために追加の保護措置が必要なCUIです。特定CUIには、国家安全保障、法執行、または特定の法律や規制の下で保護が必要なその他の情報が含まれます。

CUIの具体例としては、以下のようなものがあります。

  • 個人識別情報および保護対象保健情報:氏名、住所、社会保障番号などの個人情報や、検査結果、薬歴、医師の記録などの健康情報はPII/PHIに該当し、GDPRPCI DSSなど多くの規格でPIIが、HIPAAHITECHでPHIが規制されています。
  • 輸出管理・国際取引データ:輸出入や国際取引に関連するデータ。
  • 知的財産:特許、著作権、商標など。
  • 請負業者機微情報:契約、下請け、入札に関する情報。
  • 企業機密情報(PBI)、機密ビジネス情報(CBI)とも呼ばれます。
  • 非機密管理技術情報(UCTI):機密指定はされていないが保護が必要な軍事関連の機微情報。例としては、作戦計画、開発中の技術、重要装備、監視手法、その他の機微情報が挙げられます。
  • 機密ではないが機微な情報(SBU):非機密だが依然として機微で特別な取り扱いが必要な情報。保護された個人情報、ビジネス情報、政府情報など、不正な閲覧やアクセスから保護が必要な情報が含まれます。

CMMCコンプライアンスが義務化されるタイミング

国防総省(DoD)は、段階的な導入アプローチでCMMC 2.0を展開しています。CMMCプログラム最終規則(32 CFR Part 170)は2024年10月15日に公表され、2024年12月16日に発効しました。

ただし、実際のDoD契約にCMMC要件が盛り込まれるのは、CMMCを調達規則に組み込む関連DFARS規則(48 CFR, DFARS Case 2019-D041)が最終化されてからとなります。この規則は2025年第2四半期または第3四半期頃に最終化される見込みです。48 CFR規則が最終化されると、DoDは以下の段階的なスケジュールに基づき、新規の募集や契約にCMMC要件を盛り込む予定です:

  1. フェーズ1(2025年第2/3四半期開始予定):該当する募集にCMMCレベル1およびレベル2の自己評価要件が含まれ始めます。
  2. フェーズ2(2026年第2/3四半期開始予定):該当する募集にCMMCレベル2の認証評価(C3PAOによる)が含まれ始めます。
  3. フェーズ3(2027年第2/3四半期開始予定):該当契約のオプション期間行使の条件としてCMMCレベル2認証要件が登場し始めます。CMMCレベル3評価(DIBCACによる)もこのフェーズまたは以降で募集に含まれる可能性があります。
  4. フェーズ4(完全実施、2026年10月1日~2028年予定):FCIまたはCUIを含むすべての新規DoD募集・契約に適切なCMMCレベル要件が含まれる見込みです。

公式な契約への盛り込みは48 CFR CMMC提案規則の最終化から始まりますが、「市場展開」はすでに事実上始まっており、2025年第1四半期からCMMC評価が利用可能です。

プライムコントラクターは、下請け業者に対し、今からコンプライアンスの証明を求めるケースが増えています。CUIを扱う組織は、すでにDFARS 252.204-7012に基づきNIST 800-171に準拠し、DFARS 252.204-7019/7020に従いSPRSで自己評価スコアを報告する必要があります。

コンプライアンス達成には6~18か月かかる場合があるため、準備を遅らせるべきではありません。準備段階としては、必要なCMMCレベルに対するギャップ分析の実施、システムセキュリティ計画(SSP)の策定、ギャップに対する行動計画とマイルストーン(POA&M)の作成、SPRSスコアの正確な提出などが含まれます。CUIとCMMCのタイムラインを理解することは、DoDビジネスを途切れさせないために不可欠です。

管理された非公開情報(CUI)の取り扱い要件

CUIの取り扱いには、その保護を確実にするための特定の措置が必要です。主な要件は以下の通りです:

  • アクセス制御:CUIへのアクセスは、適切な権限と知る必要性を持つ者に限定する強固なアクセス制御で保護する必要があります。
  • 保管:CUIは安全な場所に保管し、物理的または電子的なセキュリティ対策で保護する必要があります。
  • 配布:CUIは、適切な権限と知る必要性を持つ者のみに配布されるべきです。
  • 廃棄:CUIが不要になった場合や法令で求められる場合は、適切に廃棄する必要があります。

管理された非公開情報(CUI)を保護する重要性

CUIの保護が重要な理由は以下の通りです。

  • 国家安全保障:CUIの不正な開示は、国家安全保障に重大な損害を与える可能性があります。
  • プライバシー:個人識別情報(PII)の不正開示は、個人のプライバシーを侵害し、なりすまし被害につながる可能性があります。
  • 経済的利益:企業機密情報の不正開示は、企業の経済的利益に重大な損害を与える可能性があります。

CMMC CUIの保護:CMMC 2.0レベル1、2、3

CMMCはCUIを保護するための基準およびベストプラクティスのセットです。米国国防総省(DoD)や他の政府機関が、請負業者がCUI保護を真剣に取り組んでいることを確保するために利用しています。CMMC 2.0は、CUIを取り扱う組織が認証を取得するための3つの評価レベルで構成されています。

  • CMMCレベル1:基礎的保護。このレベルでは、ID管理、アクセス制御、データ保護などの基本的なサイバーセキュリティ対策の実装が求められます。
  • CMMCレベル2:高度な保護。このレベルでは、システム認証や暗号化など、より高度なセキュリティ対策が含まれます。
  • CMMCレベル3:エキスパートレベルの保護。このレベルでは、継続的な監視やセキュリティインシデント対応計画など、最も高度なセキュリティ対策が含まれます。

CMMCレベル1:FCI向け基礎的保護策

  1. 対象範囲:連邦契約情報(FCI)を処理・保存・送信するが、CUIは扱わない請負業者が対象です。
  2. 要件:FAR 52.204-21で定められた15の基本的な保護要件(CMMC文書では17プラクティスと記載されることもありますが、FARの15コントロールに準拠)を実装することが義務付けられています。これらは基本的なサイバー衛生を表します。
  3. 主な実践例(FAR 52.204-21に準拠):許可されたユーザーへの情報システムアクセス制限、アクセス前のユーザー認証、悪意あるコード(例:アンチウイルス)からのシステム保護、定期的なシステム更新・パッチ適用、システムへの物理的アクセス制御、廃棄・再利用前のメディア消去などが含まれます。
  4. 評価タイプ:請負業者による年次自己評価が必要です。
  5. 宣誓:企業の上級責任者が毎年、サプライヤーパフォーマンスリスクシステム(SPRS)を通じてコンプライアンスを宣誓する必要があります。
  6. 主な対象組織:DoD契約業務の一環としてFCIのみを扱う中小企業、下請け業者、サプライヤーなど、DIB全体にわたる組織が該当します。このレベルはほぼすべての非COTS DoD契約に適用されます。

CMMCレベル2:CUI向け高度なセキュリティ

CMMCレベル2は、管理された非公開情報(CUI)を取り扱う組織向けに設計されており、レベル1よりも大幅に高度なサイバーセキュリティ要件が課されます。

このレベルは、NIST 800-171リビジョン2で規定された110のセキュリティ管理策すべての実装を直接求めており、これは2017年以降、DFARS条項252.204-7012の下でCUIを扱う請負業者に義務付けられてきました。

レベル2の主な目的は、より高度なサイバー脅威からCUIを堅牢に保護することです。契約要件やCUIの機微性に応じて、レベル2準拠を目指す組織は、認定CMMC第三者評価認定機関(C3PAO)による3年ごとの第三者評価、または機微性が低いCUIを扱う一部契約では3年ごとのCOPPAによる評価が必要です。評価タイプにかかわらず、企業の上級責任者による年次SPRSでのコンプライアンス宣誓が求められます。

CUIの効果的な保護には、NIST SP 800-171の110管理策に沿った対応が含まれます。主な実装ステップとしては、強固なアクセス制御(CUIへのアクセス権限の限定)、多要素認証(MFA)の導入、CUIの保存時および転送時の暗号化、包括的なインシデント対応計画の策定、定期的なセキュリティ意識向上トレーニング、継続的な監視と脆弱性管理、安全なシステム構成の維持などが挙げられます。

レベル2の達成は、CUI CMMCフレームワーク内で機微な防衛情報を守るための大きなコミットメントを示します。

CMMCレベル3:完全保護のためのエキスパート管理策

CMMCレベル3は、CMMC 2.0フレームワーク内で最も高度なサイバーセキュリティ成熟度を示し、DoDの最重要プログラムや技術に関連するCUIを扱う組織向けに設計されています。

このレベルは、レベル2(NIST SP 800-171)の110管理策に加え、NIST 800-172からの強化されたセキュリティ要件の一部を組み込みます。これらの追加管理策は、高度な持続的標的型攻撃(APT)や高度な国家レベルの攻撃者に対する積極的なサイバー防御能力の強化に重点を置いています。

主な重点分野には、強化されたインシデント対応(セキュリティオペレーションセンターやSOCの設置が必要な場合も)、高度な脅威ハンティング、サプライチェーンリスク管理、サイバーレジリエンス設計などがあります。

レベル1および2とは異なり、レベル3の評価はC3PAOや自己評価ではなく、防衛契約管理庁(DCMA)の防衛産業基盤サイバーセキュリティ評価センター(DIBCAC)の政府職員によって3年ごとに実施されます。

レベル3の達成には、リソース、技術、人材への大きな投資が必要です。レベル3を目指す組織は、ISO 27001や他のNISTガイドラインなど、既存のセキュリティフレームワークとの統合も考慮し、十分なリソース計画を行う必要があります。レベル3認証が必要なDIB請負業者は全体の1%未満と推定されており、特に重要なプログラムや極めて機微なCUI CMMCデータを取り扱う組織が対象となります。

自社環境にCUIが存在するかどうかの確認方法

CUIはデータベース、ネットワーク、ウェブサイト、文書など、さまざまな場所に存在する可能性があります。環境内のCUIを特定するには、データの保存場所やアクセス権限を把握することが重要です。CUIの一般的な例としては、顧客リスト、財務記録、事業計画などがあります。また、CUIはメール、テキストメッセージ、その他のコミュニケーションにも含まれる場合があります。

どの種類のCUIを保有しているかの特定

環境内でCUIを特定したら、そのCUIがどの種類に該当するかを判断することが重要です。CUIは、PII、PHI、輸出管理データ、知的財産、請負業者機微情報、機密指定されていないが機微な国家安全保障情報など、複数のカテゴリに分かれています。各カテゴリごとに必要な保護策が異なります。

 

CUIを保護しコンプライアンス要件を満たす方法

CUIには、機密性、機微性、または専有性のある情報が含まれており、いかなる犠牲を払っても保護しなければなりません。前述の通り、CUIを保護しコンプライアンス要件を満たすことは極めて重要であり、怠れば財務的損失や、顧客・サプライヤー・従業員からの信頼喪失という深刻な結果を招く可能性があります。

CUIを保護しコンプライアンス要件を満たすための第一歩は、自社データに適用される法律や規制を特定することです。これらの基準と、自社業界特有のリスクや脆弱性を明確に理解することが重要です。適用基準を特定したら、組織はCUIを保護するために適切な対策を実装しなければなりません。このプロセスには、暗号化、マルウェア対策、セキュアなバックアップ、パスワード保護など、技術的・物理的・管理的なセキュリティ対策が含まれます。さらに、CUIへのアクセスや変更を管理するアクセス方針の策定、CUIの追跡・記録・報告のためのプロセス整備も必要です。

組織はまた、CUIに関するセキュリティ問題や露出が迅速に対処されるよう、インシデントおよび脆弱性管理の体制を整備する必要があります。インシデント対応計画には、インシデント発生時の対応手順、証拠収集・分析、被害軽減策などを含めるべきです。現行のセキュリティ対策の有効性を検証し、改善点を特定するために、定期的なセキュリティレビューやテストも実施してください。

CUIを保護しコンプライアンス要件を満たすために必要な措置を講じることで、組織はデータの安全性を確保し、事業運営が適用法令に準拠した状態を維持できます。これは組織の評判や情報セキュリティにとって極めて重要です。

組織がCUIを適切に保護するための追加措置には、以下が含まれます。

  • IDおよびアクセス管理(IAM)、メール暗号化、多要素認証(MFA)など、堅牢なサイバーセキュリティ対策の導入。
  • CUIの取り扱いに関するプロトコルの策定(権限を持つ人員へのアクセス制限や、監査ログ分析によるCUIアクセスの監視など)。
  • CUIにアクセスするすべての人員に対し、適切なセキュリティ意識向上トレーニングを通じてCUI保護手順を徹底すること。

KiteworksのプライベートデータネットワークはCUI保護の鍵

組織は日々、CUIのような機微データを悪意ある第三者、サイバー攻撃、データ侵害から守るために、ますます高い課題に直面しています。この機微データの安全性を確保するため、Kiteworksはプライベートデータネットワーク(PDN)を提供し、機微なコンテンツ通信を一元管理・追跡・制御・保護し、包括的なセキュリティとコンプライアンスガバナンスを実現します。Kiteworksを利用することで、組織はCUIのような機微情報をすべてのコミュニケーションチャネルで中央集権的に管理し、自動化された強制措置と包括的な可視性を確保しつつ、運用効率を損なうことなく保護できます。

Kiteworksは強化された仮想アプライアンスを活用し、悪意あるサイバー犯罪者や敵対的国家から機微なコンテンツ通信を保護します。ファイルとディスクボリュームの両方で二重のAES 256暗号化を採用したセキュリティレイヤーにより、サイバー攻撃がコンテンツにアクセスすることは極めて困難です。Kiteworksが採用するセキュリティレベルにより、脆弱性のリスクおよび影響の深刻度は大幅に低減されます。

Kiteworksはファイルおよびメールデータ通信を単一プラットフォームに統合し、送信・共有・受信・コラボレーション・保存の管理を一元化します。セキュアメールセキュアなファイル共有セキュアマネージドファイル転送セキュアなウェブフォームSFTPを1つのプラットフォームに統合することで、運用コンプライアンス、効率性、セキュリティが飛躍的に向上します。

データ暗号化はKiteworks PDNの重要な要素です。暗号化により、機微データは認可された者のみがアクセスできるよう保護されます。さらに、Kiteworksもクラウドプロバイダーもお客様の鍵管理や暗号化にアクセスできません。Kiteworksの顧客は暗号鍵の完全な所有権とアクセス権を保持します。政府機関、弁護士、裁判所も、Kiteworks内のお客様の機微コンテンツに法的手段でアクセスすることはできません。

カスタムデモして、KiteworksでCMMCレベル2の下でCUIをどのように保護できるかをご確認ください―CMMCレベル2要件の約90%を標準でサポートしています。

リスク&コンプライアンス用語集に戻る

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約
Share
Tweet
Share
Explore Kiteworks