対象防衛情報とは何ですか？

対象防衛情報（CDI）は、分類されていないが管理された技術情報や、軍事または宇宙用途に関連するその他の情報を指し、「管理された技術情報」または「国防総省重要インフラ情報」に特定されています。連邦政府は、幅広い連邦ミッションやビジネス機能を遂行するために、外部のサービスプロバイダーや請負業者に大きく依存しています。これらのサービスや機能の多くは、機密性の高い連邦情報へのアクセスや生成を含み、連邦情報および連邦情報システムに潜在的な脆弱性を生じさせる可能性があります。

CDIは国家安全保障と軍事情報の保護において重要な役割を果たします。訓練マニュアルや航空機の設計図から情報ブリーフまで、さまざまなものが含まれます。この種の情報が不適切な手に渡らないように、適切に取り扱い、共有することが極めて重要です。CDIの不適切な取り扱いや配布は、国家安全保障の損害、法的影響、取り扱い者の評判リスクを含む深刻な結果を招く可能性があります。

この記事では、CDIの定義、保護の必要性、無許可アクセスが発生した場合の影響について包括的に解説します。

対象防衛情報の主な特徴

対象防衛情報の主な特徴の一つは、その範囲です。分類された情報や秘密情報に限定されず、機密性があり保護が必要な非分類情報も含まれます。このような情報は、防衛の技術的、運用的、または科学的分野に関連し、戦略的な優位性を提供します。

CDIのもう一つの重要な要素は、その保護された状態です。CDIは、防衛連邦調達規則補足（DFARS）の規則に従い、必須の保護基準が防衛請負業者および下請け業者に適用されます。これらのプロトコルに従わない場合、将来の防衛契約への入札能力を失うことを含む厳しい罰則が科される可能性があります。

CDI、CUI、FCIの違いは何ですか？

対象防衛情報またはCDIは、国防総省（DoD）が採用した用語で、分類されていないが管理された技術情報をラベル付けするために使用されます。これは、軍事または防衛用途に関連するすべての形式のデータを含む、DoDの保護規則の管轄下にある非分類情報に適用されます。

対照的に、管理されていない分類情報（CUI）は、連邦法、規則、または政府全体の方針に基づいて保護または配布制御が必要な情報を指します。CUIは分類情報ではありませんが、通常の非分類情報よりも高いレベルの保護が必要です。

連邦契約情報（FCI）は、公開を意図していない情報を指します。これは、政府に製品やサービスを開発または提供するために契約の下で政府によって提供されるか、または生成される情報です。FCIには、政府が一般に提供する情報や単純な取引情報は含まれません。

CDIとCUIの両方は、政府および特定の規制機関によって決定される一定のレベルの保護が必要です。これらのカテゴリーのデータは、影響を受けずに自由に配布することはできません。ただし、これらのラベルの適用における主な違いは、CDIが特に防衛関連情報に焦点を当てているのに対し、CUIはより広範な機密情報を含むカテゴリーであることです。一方、FCIはCUIのサブセットであり、主に連邦契約に関連する情報に関係しています。

要するに、CDI、CUI、FCIはすべて、慎重に取り扱う必要がある機密性の高い非分類情報を表していますが、それらが含む情報の性質と使用される文脈において主な違いがあります。

組織と消費者にとってのCDIの重要性

対象防衛情報は、機密情報の取り扱いに関するガイドラインを提供することで、組織のセキュリティ態勢を強化します。これらのプロトコルに従うことは、セキュリティを確保するだけでなく、重要な情報の保護に対する組織のコミットメントを証明します。消費者や構成員にとって、CDIの適切な取り扱いは、該当する場合に彼らの機密データが最大限の注意とセキュリティで取り扱われ、プライバシーと保護が確保されることを保証します。

しかし、CDIを保護しないことは多くのリスクをもたらします。規制リスクには、規制機関からの懲罰的措置が含まれます。財務リスクは、契約違反による多額の罰金やビジネスの損失を伴う可能性があります。法的リスクは、潜在的な訴訟につながる可能性があり、評判リスクは、組織の公共のイメージを損なう可能性があります。したがって、対象防衛情報の適切な取り扱いと共有のためのベストプラクティスを実施することが不可欠です。

対象防衛情報の取り扱いと共有

対象防衛情報の取り扱いと共有は、一連の厳格な要件によって管理されています。これには、適切なセキュリティシステムの導入、情報の保存および転送のための暗号化の使用、規制コンプライアンスを確保するための定期的な監査の実施が含まれます。従業員は、CDIの重要性とその情報を誤って取り扱った場合の影響について十分な訓練を受ける必要があります。

これらの要件を強制することも同様に重要です。組織は、非コンプライアンスに対する厳格な懲戒措置を講じる必要があります。これらのプロトコルを遵守することの重要性についての定期的なリマインダーと、セキュリティと慎重さを重視する文化が、CDIの適切な取り扱いと共有を強化するのに役立ちます。

CDIプロトコルの実施におけるベストプラクティス

対象防衛情報（CDI）の取り扱いと保護は、国家安全保障を維持し、政府の規制に準拠するための重要な側面です。

対象防衛情報（CDI）は、他の管理されていない分類情報（CUI）のカテゴリーによってすでに保護されていない軍事または宇宙用途の非分類管理技術情報を含む包括的な用語です。CDIには、防衛連邦調達規則補足（DFARS）によって保護されているすべての情報も含まれます。

CDIプロトコルの実施は、重要な防衛情報の安全性を確保するための重要な措置です。CDIは、無許可のアクセスやサイバー脅威からデータを保護するために、安全な保存、処理、および送信を必要とします。国家標準技術研究所のNIST 800-171の推奨事項のようなサイバーセキュリティフレームワークを活用することは、CDIプロトコルの実施におけるベストプラクティスです。

このフレームワークは、システムのメンテナンス、継続的な監視、および持続的なデータ保護などの積極的な措置を促進します。定期的なソフトウェアの更新、アンチウイルススキャン、およびデータのバックアップは、重要なメンテナンス作業です。さらに、継続的な監視は、異常な活動やセキュリティ侵害の検出を可能にし、被害を最小限に抑えるための迅速な対応を促進します。

CDIプロトコルの実施における核心的な実践は、従業員の訓練です。CDIと関わるすべてのスタッフは、分類、取り扱い、非分類の段階を含むCDIプロトコルについての詳細な理解を持つべきです。適切なセキュリティ意識の訓練は、意図しないデータ漏洩のリスクを最小限に抑えます。

これらのベストプラクティスに従うことで、CDIプロトコルの実施はサイバー攻撃のリスクを大幅に減少させ、データの機密性、整合性、および可用性を確保します。これは、DoDの請負業者および下請け業者が機密性の高い防衛情報を安全に取り扱うことを保証します。さらに、DFARS 252.204-7012条項に準拠し、規制コンプライアンスを促進し、潜在的な民事および刑事罰から保護します。

対象防衛情報に関する規制措置

対象防衛情報に関する規制措置を理解することは重要です。政府は、CDIの安全性とセキュリティを確保するために、DFARSに特定の規則を定めています。DFARSは、CDIを委託された請負業者および下請け業者に特定のセキュリティ対策を実施することを義務付けています。これらの対策は、CDIの機密性、整合性、および全体的なセキュリティを保護するために設計されています。請負業者および下請け業者は、CDIに影響を与える可能性のあるサイバーインシデントを発見から72時間以内に報告する必要があります。

もう一つの重要な規制措置は、将来のDoD調達のための統一されたサイバーセキュリティ標準であるサイバーセキュリティ成熟度モデル認証（CMMC）です。CMMC 2.0フレームワークには、基本から高度までの3つのサイバーセキュリティ成熟度レベルが含まれており、CDIを扱うすべての組織が適切なレベルのサイバーセキュリティコントロールとプロセスを備えていることを保証します。したがって、これらの基準と規制措置に準拠することは、CDIのセキュリティと整合性を確保し、国家防衛情報を保護するだけでなく、防衛産業の関係における信頼を維持するために重要です。

CDIの取り扱いと共有におけるベストプラクティス

CDIを扱う組織にとって、その安全な取り扱い、共有、および保存のためのベストプラクティスに従うことは重要です。効果的なCDI管理への第一歩は、包括的な情報セキュリティポリシーを開発し、維持することです。このポリシーは、組織が扱うCDIの性質、このデータと関わる個人の責任、および安全なデータ管理の手順を明確にする必要があります。堅牢なポリシーを持つことは、DoDの規定に準拠するだけでなく、組織内でのセキュリティ意識の文化を育むことにもつながります。

堅実なセキュリティポリシーに加えて、組織はCDIを保護するための強力な技術的対策が必要です。これには、国家標準技術研究所（NIST）のサイバーセキュリティフレームワークに準拠した安全なネットワーキングおよび情報システムの実装が含まれます。安全な暗号化、堅牢なアクセス制御、および定期的なシステム監査は、この戦略の重要な要素です。

次に、組織はCDIアクセスに関して知る必要がある原則を強制するべきです。これは基本的に、特定のCDIへのアクセスが必要な個人だけがそのアクセスを許可されるべきであることを意味します。さらに、従業員がCDIに関する責任を理解し、組織の情報セキュリティポリシーと手順について定期的に訓練を受けることが重要です。

CDIを共有する際には、安全な通信チャネルを確保することが重要です。CDIは暗号化された接続を介して送信され、可能な限り機密データは編集されるべきです。さらに、CDIを扱う組織は、データの安全な取り扱いを確保するために、パートナーやベンダーを徹底的に審査する必要があります。

最後に、効果的なCDI管理には、セキュリティポリシー、手順、およびシステムの定期的な評価と更新が含まれます。脅威と脆弱性の急速な進化に伴い、組織は最新のサイバーセキュリティトレンドを把握し、CDIを保護するために必要な更新を実施することが不可欠です。これには、潜在的なセキュリティギャップを特定し対処するための定期的なリスク評価、監査、およびペネトレーションテストの実施が含まれます。

最終的に、CDIの取り扱い、保存、および共有には、堅牢なポリシー、安全な技術的対策、定期的な訓練、安全な通信チャネル、および絶え間ない警戒を含む包括的なアプローチが必要です。これらのベストプラクティスに従うことで、組織はCDIのセキュリティと整合性を確保し、規制に準拠しながら運営を保護することができます。

KiteworksはプライベートコンテンツネットワークでCDIを保護するのに役立ちます

要約すると、対象防衛情報（CDI）は、防衛および宇宙用途に関連する幅広い機密情報を含む国家安全保障の重要な側面です。CDIを扱う組織や個人は、DFARSやNISTの規制を含む規制措置を厳守することが不可欠です。CDIの適切な管理は、組織のセキュリティ態勢を強化するだけでなく、消費者間の信頼と信頼性を育むことにもつながります。しかし、CDIを保護しないことは、法的、財務的、評判の損害を含む多くのリスクに組織をさらす可能性があります。したがって、厳格な取り扱いと共有の要件が重要です。定期的な訓練、監査、暗号化、継続的な監視などのベストプラクティスを実施し維持することで、組織はCDIの安全な取り扱いを確保し、潜在的な脅威を最小限に抑えることができます。

Kiteworksのプライベートコンテンツネットワークは、FIPS 140-2レベルで検証されたセキュアなファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTP、およびマネージドファイル転送を統合し、組織がファイルを管理し、保護し、追跡することを可能にします。

Kiteworksは、詳細なアクセス制御を提供することで、特定のデータにアクセスできるのは認可された個人のみとし、各個人がアクセスできるデータの量を減らすことで、組織のデータガバナンスとCDI保護の取り組みをサポートします。Kiteworksはまた、組織内の各役割にアクセス可能なデータの量を制限するために使用できる役割ベースのポリシーを提供します。これにより、個人が特定の役割に必要なデータにのみアクセスできるようになり、各人がアクセスできるデータの量をさらに最小限に抑えることができます。

Kiteworksのセキュアなストレージ機能も、データが安全に保存され、認可された個人のみがアクセスできるようにすることで、データガバナンスとCDI保護に貢献します。これにより、不要なデータの露出のリスクが減少し、組織がデータを管理することができます。

Kiteworksはまた、データアクセスと使用を監視および制御するために使用できる組み込みの監査トレイルを提供します。これにより、組織は不要なデータアクセスと使用を特定し排除することができ、データ最小化に貢献します。

最後に、Kiteworksのコンプライアンス報告機能は、組織がデータ最小化の取り組みを監視し、データ最小化の原則と規制に準拠していることを確認するのに役立ちます。これにより、組織はデータ使用に関する貴重な知見を得ることができ、さらなるデータ最小化の機会を特定するのに役立ちます。

Kiteworksを利用することで、企業は機密性の高い個人識別情報や保護対象保健情報、顧客記録、財務情報、その他の機密コンテンツを同僚、クライアント、または外部パートナーと共有します。Kiteworksを使用することで、機密データや貴重な知的財産が機密性を保ち、GDPR、HIPAA、米国州プライバシー法などの関連規制に準拠して共有されることを知っています。

Kiteworksの導入オプションには、オンプレミス、ホスト型、プライベート、ハイブリッド、およびFedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用することで、機密コンテンツへのアクセスを制御し、自動化されたエンドツーエンド暗号化、多要素認証、およびセキュリティインフラストラクチャの統合を使用して外部に共有される際に保護し、誰が何を誰に、いつ、どのように送信するかを含むすべてのファイル活動を確認、追跡、報告します。最後に、GDPR、HIPAA、CMMC、サイバーエッセンシャルプラス、NIS2などの規制や基準に準拠していることを証明します。

Kiteworksについて詳しく知りたい方は、カスタムデモをスケジュールしてください。

リスク＆コンプライアンス用語集に戻る