サイトの目次
- CMMCについて
- 米国連邦政府の「CUI」 〜大統領令13556〜
- CUIの定義と公報 〜NARA、CSIACなど~
- 防衛省の「保護すべき情報」 〜防衛関連企業における情報セキュリティ確保について〜
- NIST SP800-171 〜連邦政府機関以外に対する情報システム及び組織におけるCUIの保護規程〜
- NIST SP800-171遵守の要求背景 〜DOD調達契約条項 DFARS 252.204-7012〜
- アイデンティティ認証とプルーフィング 〜これからの個人認証〜
- 米国航空宇宙産業における取組み 〜EXOSTAR社〜
- 白書/White Papers :参考文献
- 関連サイトURL
インターネット時代の情報保護
標的型メール攻撃など昨今のサイバーセキュリティー事情から、インターネット接続されているオフィスのPC内にあるデータは意図を持った情報窃取には無力であることが理解され始めています。しかしながら、平常の仕事を行うためにはリスクの高いインターネットに接続しつつも、少しでも被害を局限化するため、最低限の運用ルールに従うことが重要です。
政府や外交・軍などの機密情報については、従来から様々な対策が取られてきましたが、そこまでの機密性はないが安易に盗まれてしまうと経済的・モラル的などのダメージが大きいという情報があります。基本的に「非公開情報」「大切な情報」といった扱いのものと言えます。これらを、米国連邦政府のそういった情報を「CUI(Controlled Unclassified Information)」と呼んで、扱う企業等に対して一定の対策を取るように要求しています。同様に、我が国でも「保護すべき情報」といった表現でいくつかの省庁が取扱要領を指示しています。
このサイトでは、米国連邦政府のCUIと、我が国(防衛省)の「保護すべき情報」について整理してみることにします。
CUI(Controlled Unclassified Information)
CUIはまず、2010年11月の大統領令(Executive Order 13556)により定義されました。大統領令には「such as information that involves privacy, security, proprietary business interests, and law enforcement investigations」と書かれており、個人情報や製造仕様書や設計図などもその対象とみなせる広範囲なものです。
もともと米国にも同様の概念を指す用語がたくさんありました。それぞれの政府機関毎に定義して、似て非なるものを複数作っていましたが、この大統領令でひとまず連邦政府全体で統一された概念にしたようです。
その規則化を任されたのがNARAです。
さらに規約として細部を定めているのがNISTです。CUIの扱いについて特に指定しているのは「NIST SP800-171(Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations)」というドキュメントとなります。(→NIST SP800全体のドキュメントについてはここを参照)
保護すべき情報(防衛省)
我が国では、CUIに類似したものとして防衛省は以下のような規定をしています。
「防衛省としては、中央から第一線の部隊まで様々な情報システムの整備が求められている状況において、情報システムの調達の契約履行過程で使用または作成される情報について、速やかに情報セキュリティの確保のために具体的施策をとる必要があると判断し、検討委員会を設け検討を進め、その成果をとりまとめた。 検討の成果としては、国内外の企業でも導入の進みつつある国際標準などの考え方を取り入れた情報セキュリティ管理に関する基準などを策定し、防衛省の情報システムの製造等を受注する企業にこれに基づく対策の実施を求めていこうというものである。(平成16年より適用中)」
「防衛関連企業における情報セキュリティ確保について」 より一部引用
その他の省庁においても同様な方針やガイドラインが示され、保護すべき情報の扱いについて指示される機会が多くなっているようです。このサイトでは、国内のこういったランクの情報を「保護情報」と名付け、米国のCUIとも同等であるということで議論を進めてゆきます。