CUI<管理対象非機密情報>とは

米国連邦政府調達のサイバーセキュリティ要件への対応

~これからの情報保護対策とNIS-Be~

米国連邦政府を代表して国防総省は、2018年1月1日から管理対象非機密情報(CUI)を預かる全ての契約事業者に規準の遵守とサイバーインシデント発生時の報告を義務づける規則を発効しました。規則は「管理対象防衛情報(CDI)の保護とサイバーインシデント報告(DFARS 252.204-7012)(*1)であり、規準が「非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護(NIST SP800-171)(*2)です。
現状において、米国の情報保護対策は防衛関連の日米共同開発プログラムなどの案件が対象となり、一部の日本企業への対応要求がすでに来ています。なお、この規則は、防衛関連だけでなく、全ての連邦政府案件に対象を広げる準備が進んでいます。
この規則の特徴は、インターネット時代にふさわしくCUI情報を電子データとしてクラウドに管理することを大前提としています。また従来と異なり、サプライチェーンに関わるCUIを扱う全ての事業者(下請け企業等)に同じ要求がフローダウンされることなどの要件が規定されています。

サイトの目次



参考文献

(*1) DFARS 252.204-7012
Safeguarding Covered Defense Information and Cyber Incident Reporting
「管理対象防衛情報(CDI)の保護とサイバーインシデント報告」

(*2) NIST Special Publication 800-171
Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations (NIST 2017)
「非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護」