では、米国企業や本件を受注した国内事業者から、CUI対応を要求されたらどのようにすれば良いのでしょうか。
① CUIの特定
まず、対象情報CUIはどれか、その媒体(電子データ、CD、紙など)は何か、契約上位にある事業者はどのような管理をしているのか、といったことを確認します。基本的には、契約相手方の方針に従うことが基本ですが、それぞれの事業者に任されているNIST SP800-171対応などはそれぞれで実現するしかありません。
CUIは受領するとともに、独自にCUI情報を作り出すこともあり、それらは全て電子データとして作成・管理することが出来るケースとします。なお、紙などの物理媒体としても管理する場合は、従来のClassified Informationに準じて物理的な漏洩対策を加えることになります。
② クラウドの利用
もっとも効率的なCUI管理は、NIST SP800-171の規準をクリアするクラウドサービスのみに電子データを保管するという方法です。例えば、米国Exostar社のForumPass Defense DRM(以下、ForumPass)などが該当します。
ForumPassでは、NIST SP800-171の主要な要件である「多要素認証」により利用者を認証し、保管する電子データはFIPS-140の暗号方式により暗号化保護することができます。また、データセンター設備も、FedRAMPと呼ばれる米国政府情報を管理するための設備基準をクリアしているセンターを使用していることが保証されています。
これら外部サービスを使わない場合は、独自に規準を満たすシステムを構築する、または現状設備が対応していることを宣言する必要があります。
③ 人的・組織的要件への対応
このようにシステムの利用形態を決めたら、その他の人的・組織的要件への対応を「CUI情報管理規程」などとして定め「システムセキュリティ計画書(SSP)」を作成します。契約締結時点でNIST SP800-171要件を満たしていない場合には、いつまでに対応するという「実施計画書(PoA)」をあわせて作成することで、必要要件は満たすと言われています。
これで契約時に必要な最低条件はクリアしますが、事故が起きてしまった時の対応や下請けする場合のフローダウン方法、CUI対策のガイドラインなどを準備しておくことも重要です。
④ サイバーインシデント報告
特にサイバーインシデント発生時の報告は、米国の報告専門サイト(DIB)に72時間以内に必要事項を英語で報告する必要があり、一般の事業者ではなかなか難しいことと思います。また、DIBにアクセスするためには、「米国連邦政府の認証基盤と相互認証された認証局の電子証明書」を事前に入手しておくことも必要です。
⑤ フローダウン
また、特に米国企業やDoDと直接契約する事業者は、独自に傘下のサプライチェーン全体に対するCUI管理方針を定めて、示す(フローダウンする)ことも必要です。本制度が始まったばかりの現状においては、スタンダードなやり方が確立していないので、当面は上位事業者がガイドラインを示すことが必要であると考えます。