米国連邦政府調達に適応される規則

まず、CUIとNIST SP800-171およびDFARS 252.204-7012について簡単に説明しましょう。

① CUIについての大統領令

CUI(管理対象非機密情報)は2010年11月の大統領令( Executive Order 13556 (*1) )により、これまで「Confidential, Secret, Top Secret」などClassified Informationとして扱ってきた高度に重要な情報には属さない、Unclassified Informationに対して、その中でもしっかり管理すべき重要情報を定義し、体系的規準の策定が指示されました。
CUI1-1
CUIが具体的にどのようなものかというと、上記大統領令には、「プライバシー、安全保障、専有のビジネス上の利益、法執行機関による捜査等にかかる情報」と書かれています。書類としては、契約書や仕様書、提示図面など多くの書類が該当します。国防総省(DoD; Department of Defense以下、DoD)においては、従来はCDI(Covered Defense Information:管理対象防衛情報)と定義されていたもので、

  • CTI(管理対象技術情報:防衛又は宇宙技術に関する技術情報)
  • Critical(悪用されるとDoD業務に影響の出る恐れのある情報)
  • Export(輸出が合衆国の国家安全保障および核拡散防止目的に悪影響を与える情報)

などのカテゴリーがあります。

② NARAとNIST SP800-171

この大統領令により、NARA(The U.S. National Archives and Records Administration:米国立公文書記録管理局)がその実施の責を負うことになりました。NARAは説明会やセミナーなど様々な普及活動を行うとともに、NIST(米国立標準技術研究所)に対応策を検討させ、SP800-171(「非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護」)という規準を作りました。

※DFARS(Defense Federal Acquisition Regulation Supplement:米国防総省調達規則補遺)

SP800-171は、類似の情報セキュリティ規準であるISMS(ISO/IEC27001)や同じくNISTの政府関係組織に対して出されているSP800-53といった規準に比べてセキュリティ要件における守秘性(Confidentiality)にフォーカスしており、対応策要件の数も少なく、簡略化したものとなっています。それには政府関係だけの要件や、現在において当然と見なされる要件などを除外し、一般の民間事業者にも守りやすくしたものになっています。対応策のカテゴリーは以下の14種類(ファミリー)、110項目にわたっています。
CUI1-2

③ DoDのDFARS 252.204-7012

そして、DoDは、DFARS 252.204-7012「管理対象防衛情報(CDI)の保護とサイバーインシデント報告」(*2) という調達規則補遺により、契約相手方に対してNIST SP800-171などの規準を遵守するように求めています。このDFARSは、契約的な拘束力を持つことになります。主な内容は、
CUI1-3
この4つであり、対応状況の提出が「システムセキュリティ計画(SSP:System Security Plan)」および「対応実施計画(PoA:Plan of Action)」であり、サイバーインシデント発生時は72時間以内にDoDの報告専門サイト(DIB:Defense Industrial Base(防衛産業基盤))に直接報告することと義務づけられています。
この時の報告方法については、特定の電子証明書が必要であるなどの要件があり、事前の準備が必要となります。



参考文献

(*1) Executive Order 13556
— Controlled Unclassified Information November 04, 2010

(*2) DFARS 252.204-7012
Safeguarding Covered Defense Information and Cyber Incident Reporting
「管理対象防衛情報(CDI)の保護とサイバーインシデント報告」