これからの情報保護対策~CUI保護要件への対応
米国連邦政府を代表して国防総省は、2018年1月1日から管理対象非機密情報(CUI)を扱う全ての契約事業者に、規準の遵守とサイバーインシデント発生時の報告を義務づける規則を発効しました。規則は「管理対象防衛情報(CDI)の保護とサイバーインシデント報告(DFARS 252.204-7012)(*1)」であり、規準が「非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護(NIST SP 800-171)(*2)」です。
現状において、米国の情報保護対策は防衛関連の日米共同開発プログラムなどの案件が対象となり、一部の日本企業への対応要求がすでに来ています。なお、この規則は防衛関連だけでなく、全ての連邦政府案件に対象を広げる準備が進んでいます。
この規則の特徴は、インターネット時代にふさわしく「CUI情報を電子データとしてクラウドに管理すること」を大前提としています。また従来と異なり、サプライチェーンに関わるCUIを扱う全ての事業者(下請け企業等)に同じ要求がフローダウンされることなどの要件が規定されています。
サイトの目次
本稿の内容による「米国の情報セキュリティに関する動向」(2020.9.30実施 NIS-Beセミナー、約1時間)の講演ビデオをご覧いただけます。
- 『CUIとNIST SP 800-171(久野保之氏)9分』
- 『DoDの取り組み CMMC(濱田真輔氏)7分』
- 『CMMCの概要(濱田真輔氏)7分』
- 『CMMC-ABとは(濱田真輔氏)11分』
- 『CMMC-ABの活動状況(濱田真輔氏)11分』
- 『サプライチェーンとP2MA(久野保之氏)12分』
以上の6コマに分けてご紹介しています。
参考文献
(*1) DFARS 252.204-7012
Safeguarding Covered Defense Information and Cyber Incident Reporting
「管理対象防衛情報(CDI)の保護とサイバーインシデント報告」
(*2) NIST SP 800-171
Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations (NIST 2017)
「非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護」