まず、CUIとNIST SP 800-171およびDFARS 252.204-7012について簡単に説明しましょう。
① CUIについての大統領令
CUI(管理対象非機密情報)は2010年11月の大統領令(Executive Order) EO 13556 により、これまで「Confidential, Secret, Top Secret」などClassified Informationとして扱ってきた高度に重要な情報には属さない「Unclassified Information」に対して、その中でもしっかり管理すべき重要情報を定義し、体系的規準の策定が指示されました。
CUIが具体的にどのようなものかというと、上記大統領令には、「プライバシー、安全保障、専有のビジネス上の利益、法執行機関による捜査等にかかる情報」と書かれています。書類としては、契約書や仕様書、提示図面など多くの書類が該当します。国防総省(DoD; Department of Defense以下、DoD)においては、従来はCDI(Covered Defense Information:管理対象防衛情報)と定義されていたもので、
- CTI(管理対象技術情報:防衛又は宇宙技術に関する技術情報)
- Critical(悪用されるとDoD業務に影響の出る恐れのある情報)
- Export(輸出が合衆国の国家安全保障および核拡散防止目的に悪影響を与える情報)
などのカテゴリーがあります。
② NARAとNIST SP 800-171
この大統領令により、NARA(The U.S. National Archives and Records Administration:米国立公文書記録管理局)がその実施の責を負うことになりました。NARAは説明会やセミナーなど様々な普及活動を行うとともに、NIST(米国立標準技術研究所)に対応策を検討させ、SP 800-171(「非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護」)という規準を作りました。
NIST SP 800-171は、類似の情報セキュリティ規準であるISMS(ISO/IEC27001)や同じくNISTの政府関係組織に対して出されているSP 800-53といった規準に比べてセキュリティ要件における秘匿性(Confidentiality)にフォーカスしており、対応策要件の数も少なく、簡略化したものとなっています。これは政府関係だけの極めて限定された要件や、現在において当然と見なされる要件などを除外し、一般の民間事業者にも守りやすくしたものになっているのです。対応策のカテゴリーは以下の14種類(ファミリー)、110項目にわたっています。
③ DoDのDFARS 252.204-7012
そして、DoDは、DFARS 252.204-7012「管理対象防衛情報(CDI)の保護とサイバーインシデント報告」という調達規則補遺により、契約相手方に対してNIST SP 800-171などの要件を遵守するように求めています。このDFARSは、契約的な拘束力を持つことになります。主な内容は、下記の4つであり、
提出すべき対応状況が「システムセキュリティ計画(SSP:System Security Plan)」および「対応実施計画(PoA:Plan of Action)」であり、サイバーインシデント発生時は72時間以内にDoDの報告専門サイト(DIB:Defense Industrial Base(防衛産業基盤))に直接報告することと義務づけられています。
この時の報告方法については、特定の電子証明書が必要であるなどの要件があり、事前の準備が必要となります。