N2 CUI関連の規格概要
2010年11月に出された大統領令(EO13556)によりNARAがCUIに関する執行機関に指名され、CUIプログラムを履行するために必要な指令を開発・発行しなければならない、と定められています。実際にはNARAの下部組織であるInformation Security Oversight Office (ISOO)がその実務を執行しています。
N2 (1) CUIの管理対象となる文書
管理対象となるCUIについてその種類、区分等をCUIレジストリーに挙げています。
カテゴリーは23種類あり、一部はさらに細分化されています。NIST SP 800-171で管理されるBasic区分と、法律、規則等で管理方法を規定されているSpecialに区分して管理しています。CUIレジストリーの内容は現在のものであり、今後もそのニーズに応じて拡張整理されていくものと考えられます。
N2 (2) CUIの管理要領を示したNIST発行の規程及びNARAが関連するガイドなど
NISTが発行する規格類について、FIPSの2規程、NIST SP 800シリーズ3種類の合計5種類のものを挙げています。
また現在までに発行されている、CUIに関連するガイドライン等については以下の通りです。(2017年時点)
N2 (3) CUIの管理要求を示したFAR、DFARSの要求
DoDはDFARSの新たなサイバーセキュリティ規則「Network Penetration Reporting and Contracting for Cloud Services」(202、204、212、239、252)の施行に至りました。
米国防総省は、CDIの保護、防衛関連請負企業へのサイバー攻撃全容の解明、及びクラウド・コンピューティング攻撃の脆弱性軽減等の緊急の必要性から新たな規制を施行しました。DFARS 252.204-7012には、元請企業とその下請企業に対して、情報の紛失・悪用・変更・不正アクセスの結果と発生確率に対して適切な「十分なセキュリティ」の使用を義務付ける「Compliance with Safeguarding Covered Defense Information Controls」規程が含まれています。
FARについては、その提供範囲が大きいことから制定が遅れていましたが、昨年9月に最終版が発行され、CUI Basicに対するNIST SP 800-171全面適用が規定されました。これにより、今後DFARSを含む、連邦政府各部門の調達規則が変更されることも予想されます。
N2 (4) NIST SP 800-171の改版版の制定について
NIST SP 800-171は2015年6月に初版が公開され、2017年12月にはRev.1が公開されました。主契約企業がDoDと2018年1月以降に契約した場合は、新しいバージョンが適用されるので注意が必要です。この改版では、規程の明確化と手順の強化が実施されています。
N2 (4.1) 規程の明確化
“Information system”という言葉の明確化が実施されました。従来の規程では汎用の情報システムという意味合いで用いられていますが、本規程の中で” Information system“という言葉を”system”と置き換え、その範囲を汎用情報システム;産業及びプロセス制御システム;サイバーフィジカルシステム;及びInternet of Things(IoT) の一部である個人デバイスと再定義して、明確化しました。様々なシステムが連携する時代において、CUIの紛失等から発生する問題の提供が拡大していることを示しています。この変更に伴い要求事項も見直しが行われています。
一方、規格の観点からすると、NIST SP 800-53等の規程も、従来の“Information system”の立場で記述されており、今後この変更の影響が様々な規程にも反映されてくるものと思われます。(2020年にSP800-53は新しいバージョンがリリースされました)
N2 (4.2) システムセキュリティ計画書の作成
要求事項として「3.12.4項」を新たに起こし、システムセキュリティ計画書を策定し、文書化と定期的な更新を新たに求めています。この管理策の具体的な目的は、組織内で情報セキュリティの実施や運用を行い、統制するための管理の枠組みを作るものです。組織の資産が不正に変更されたり利用されたりすることを防ぐため、相反する職務や責任の範囲は、異なる人に分離させる必要があります(職務の分離)。ISMSでは、情報セキュリティの為の組織(A6.1.2)に相当する部分となります。DFARSでは、システムセキュリティ計画書と行動計画書の提出を求められています。
N2 (4.3) DFARSとの関係
NIST SP 800-171等の規程により管理要領が明確になったものの、実際の契約者に対する管理要求が明確になったのは、国防総省の調達規則DFARS(DFARS 252.204-7012)の中で、2017年末を実施期限としてNIST SP 800-171の全面適用をうたったことによります。またこの中では、以下4点を要求しました。
- CUI情報の管理はNIST SP800-171で実施すること
- CUI情報が行き渡る全ての外注先を含めて管理を行うこと(フローダウン)
- インシデントレポートは直接国防省の窓口へ行うこと
- システムセキュリティ計画書の提出
報告と実施を行う範囲は、各請負企業の枠を超えて下請企業やサプライヤからなる複数層のバリューチェーンにまで及ぶため、防衛関連請負企業は、コンプライアンスに関する膨大な課題に直面しています。請負企業とその下請企業は、新たな落札全てにおいて30日以内にCIO(Chief Information Officer:米国防総省最高情報責任者)にギャップ分析と実行計画を提出する必要があります。
N2 (5) 規格の動向に対する考察
米国は明確な意志をもって準備を進めている、という印象が強くあります。大統領令等をスタートとして、上流から下流に向けて様々な作業を行い、新たな仕組みを構築しています。今回の調査の中で特に注意を要するのは、NIST SP 800-171 Rev.1ではないでしょうか。ここで行われた用語の再定義により、”system”の範囲が、明確化され拡大され本規程がその領域まで適用されることとなった点は注目に値します。また、FARも改訂されたことから、政府調達の全領域に広がることとなった点も見逃せません。さらに今後、民間企業の調達にどの様に影響するかにも注意する必要があると考えます。(2017.3 EvaAviation.com Co.)
N2 (5.1) DODI 5200.48、CUIのポリシー、責任、および手順と、DOD CUIリポジトリを制定
国防総省(DoD)は最近、国防総省指令(DoDI)5200.48「Controlled Unclassified Information(CUI)」をリリースしました。これは、連邦政府より広範なCUIプログラムおよびDFARS 252.204-7012に従ってCUIにマークを付けて処理する方法について、DoDが長い間期待していたガイダンスを提供するものです。(March 31, 2020)
一方、DoDマニュアル5200.01、第4巻「DoD情報セキュリティプログラム:機密情報の管理」に基づく従来のCUIガイダンスをキャンセルしています。
特に、DoDI 5200.48は公式のDoD CUIレジストリを発表します。 現在パブリックアクセスは制限されていますが、DoD CUIレジストリは、DoDが請負業者に提供されるCUIを肯定的に特定するためにすぐに使用を開始するインデックスとカテゴリの公式リストを提供することを目的としており、契約コミュニティの一般的な混乱の原因となっているものを明らかにする可能性があります。
DoDI 5200.48は、CUIプログラムを完全に実装するためのDoDの「段階的」アプローチの一部であり、追加のガイダンスが間もなく発表されることを全体的に指摘しています。
【参考】DOD Mandatory Controlled Unclassified Information (CUI) Training IF141.06(参考リンク)