米国DoDのセキュリティ対策状況~CUI・DFARSとNIST SP800-171

航空&防衛業界における情報セキュリティ確保動向

重要データの保護に対する施策として、特に米国連邦政府(米国防総省:DoD)から契約相手である防衛産業に対して最近行われているセキュリティ施策について概観する。
現在西側諸国において主流になりつつあるF-35戦闘機の設計データなど、2000年代、特に米国の安全保障に関わる重要なデータが漏洩する事案が何件か発生した。インターネットが普及し、多くの情報が電子的に扱われるようになり、さらに、巨額の費用がかかる防衛装備品は、複数の企業や国家が共同して設計・製造するケースでは、安全な情報共有が大きな課題となった。特に、下請け企業などサプライチェーン全体におけるデータ保護に対して有効な対策を講じる必要性が高まってきた。
2010年、オバマ大統領は政府の重要情報をCUI(Controlled Unclassified Information)として定義し、その管理対策を講じることを命じた。

米国防総省の施策

図 米国防総省の施策

そして、米国連邦政府各機関の先陣を切って米国防総省は、2018年1月1日からCUIを預かる全ての契約事業者に規準の遵守とサイバーインシデント発生時の報告を義務づける規則を発効させた。規則は「管理対象防衛情報(CDI)の保護とサイバーインシデント報告(DFARS 252.204-7012)」であり、当該規則で引用されている規準が「非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護(NIST SP800-171)」である。
この規則の一つの特徴は、CUI情報を電子データとしてクラウドで管理することが許容されていることである。また直接の契約相手だけでなく、サプライチェーンに関わるCUIを扱う全ての事業者(下請け企業等)に同じ要求をフローダウンすることなどの要件が規定されている。
以下に、その経緯と、業界の反応、そして現在CMMCとして施策の見直しを行っている流れについて概観する。