CMMC CUIとその意味

制御されていない分類情報（CUI）は、政府が保護または配布制御が必要と判断した情報です。これは、分類情報の法的保護を受けていませんが、保護、制御、および使用に関する規制と要件の対象となります。情報は、インテリジェンス、法執行、または国家安全保障に関連するものとして指定されていない情報を含み、通常、タグ、マーク、またはレジェンドの形式でラベル付けされます。CUIは、CMMCが保護するために存在する2つの主要な情報タイプの1つです。もう1つは連邦契約情報（FCI）です。

CMMCとは何ですか？

CMMCはサイバーセキュリティ成熟度モデル認証の略です。これは、国防総省（DoD）のサプライチェーンとデータのセキュリティを確保するために開始された5段階の認証プログラムで、2021年にフレームワークが再構築され、3つのレベルに統合され、CMMC 2.0と指定されました。この認証は、基本的なサイバーセキュリティの衛生から高度な脅威管理までのセキュリティ実践の実施を測定し、検証します。また、組織のパフォーマンスと能力の評価などの措置も含まれています。

CUIは、法律または国家政策によって保護されなければなりません。これは、機密ではないが敏感な政府およびビジネスデータを含みます。CUIには、敏感であるため、または他の方法で規制されているために、開示または配布が制限されている情報が含まれます。CUIには、無許可の開示を防ぐために保護されなければならない情報が含まれます。CMMCの主な目的の1つは、DoDの広範なサプライチェーンに対するサイバー攻撃からの保護です。

制御されていない分類情報（CUI）の種類

CUIにはさまざまな種類があり、2つのカテゴリーに分類できます：

• 基本CUI：基本CUIは、無許可の開示から情報を保護するために基本的な保護措置が必要なCUIの一種です。基本CUIの例としては、政府契約に関する情報、機密ではないが敏感な情報、または連邦法、規制、または大統領令の下で保護が必要な情報が含まれます。
• 指定CUI：指定CUIは、無許可の開示から情報を保護するために追加の保護措置が必要なCUIの一種です。指定CUIには、国家安全保障、法執行、または特定の法律や規制の下で保護が必要なその他の情報が含まれます。

CUIの具体的な例としては、以下のものがあります：

• 個人識別情報（PII）：名前、住所、社会保障番号、金融データなど、個人を特定するために使用される可能性のある情報。
• 保護対象保健情報（PHI）：医療保険の相互運用性と説明責任に関する法律（HIPAA）によって規制される健康情報。
• 輸出管理または国際貿易データ：輸出、輸入、国際貿易に関連するデータ。
• 知的財産：特許、著作権、商標。
• 請負業者機密情報：契約、下請け契約、入札に関連する情報。
• 企業秘密情報（PBI）、機密ビジネス情報（CBI）とも呼ばれます。
• 非分類制御技術情報（UCTI）：機密ではないが保護が必要な敏感な軍事情報を含む情報。例としては、作戦計画、開発中の技術、ミッション必須の装備、監視方法、その他の敏感な情報が含まれます。
• 機密だが非分類（SBU）：非分類情報でありながら敏感と見なされ、特別な取り扱いが必要な情報。保護された個人情報、ビジネス情報、政府情報など、無許可の閲覧やアクセスからのセキュリティと保護が必要な情報を含むことができます。

制御されていない分類情報（CUI）の取り扱い要件

CUIの取り扱いには、その保護を確保するための特定の措置が必要です：

• アクセス制御：CUIへのアクセスは、適切なクリアランスを持ち、知る必要がある個人に制限されるべきです。
• 保管：CUIは安全な場所に保管され、物理的または電子的なセキュリティ対策で保護されるべきです。
• 配布：CUIは、適切なクリアランスを持ち、知る必要がある個人にのみ配布されるべきです。
• 破棄：CUIは、もはや必要でなくなったとき、または法律や規制によって要求されるときに破棄されるべきです。

制御されていない分類情報（CUI）を保護することが重要な理由

CUIの保護が重要な理由には、以下のものがあります：

• 国家安全保障：CUIの無許可の開示は、国家安全保障に重大な損害を与える可能性があります。
• プライバシー：PIIの無許可の開示は、個人のプライバシーに損害を与え、アイデンティティ盗難につながる可能性があります。
• 経済的利益：企業秘密情報の無許可の開示は、企業の経済的利益に重大な損害を与える可能性があります。

CMMC CUIの保護：CMMC 2.0 レベル1、2、および3

サイバーセキュリティ成熟度モデル認証（CMMC）は、CUIを保護するための一連の基準とベストプラクティスです。これは、米国国防総省（DoD）およびその他の政府機関によって使用され、請負業者がCUIの保護を真剣に受け止めていることを確認します。CMMC 2.0は、CUIを保護するための認証を求める組織に対する3つの評価レベルで構成されています：

• レベル1：基礎。この保護レベルでは、アイデンティティ管理、アクセス制御、データ保護などの基本的なサイバーセキュリティ対策の実施が求められます。
• レベル2：高度。この保護レベルには、システム認証や暗号化など、より高度なセキュリティ対策が含まれます。
• レベル3：エキスパート。この保護レベルには、継続的な監視やセキュリティインシデント対応計画など、最も高度なセキュリティ対策が含まれます。

自分の環境にCUIがあるかどうかを知る方法

CUIは、データベース、ネットワーク、ウェブサイト、文書など、さまざまな場所に存在する可能性があります。環境内でCUIを特定するには、データがどこに保存されているか、誰がアクセスできるかを理解することが重要です。CUIの一般的なソースには、顧客リスト、財務記録、ビジネスプランが含まれます。さらに、CUIはメール、テキストメッセージ、その他の通信にも存在する可能性があります。

どのタイプのCUIを持っているかを知る方法

環境内でCUIを特定したら、それがどのタイプのCUIであるかを判断することが重要です。CUIは、PII、PHI、輸出管理データ、知的財産、請負業者機密情報、機密ではないが敏感な国家安全保障情報など、いくつかのカテゴリーに分かれています。各CUIカテゴリーには、それぞれの保護が必要です。

 

CUIを保護し、コンプライアンス要件を満たす方法

CUIには、機密性、敏感性、および/または独自性のある情報が含まれており、あらゆる手段で保護されなければなりません。上記のように、CUIを保護し、コンプライアンス要件を満たすことは重要であり、そうしないと、財務的損失や、さらに悪いことに、顧客、サプライヤー、従業員からの信頼を失う可能性があります。

CUIを保護し、コンプライアンス要件を満たすための最初のステップは、組織のデータに適用される法律と規制を特定することです。これらの基準を明確に理解することが重要であり、特定の業界に関連するリスクと脆弱性を含みます。適用される基準を特定したら、組織はCUIを保護するための適切な措置を実施する必要があります。このプロセスには、暗号化、マルウェア保護、安全なバックアップ、パスワード保護などの技術的、物理的、および管理的なセキュリティ対策の範囲を含める必要があります。さらに、CUIにアクセスし、変更できる人を制御するためのアクセスポリシーを策定し、CUIの追跡、記録、および報告のプロセスを確立する必要があります。

組織はまた、CUIへのセキュリティ問題や露出が迅速に対処されるように、インシデントおよび脆弱性管理のためのシステムを持っている必要があります。インシデント対応計画には、インシデントへの対応、証拠の収集と分析、および損害の軽減のプロセスを含める必要があります。現在のセキュリティ対策の有効性を検証し、改善の余地を特定するために、定期的なセキュリティレビューとテストも実施する必要があります。

CUIを保護し、コンプライアンス要件を満たすために必要な措置を講じることで、組織はデータのセキュリティを確保し、適用される法律に準拠した運営を維持することができます。これを行うことは、組織の評判と情報のセキュリティにとって重要です。

組織がCUIを適切に保護するための追加のステップには、以下が含まれます：

• アイデンティティおよびアクセス管理、データ暗号化、多要素認証などの堅牢なサイバーセキュリティ対策を実施する。
• 許可された人員へのアクセス制限やアクセスログの監視など、CUIの取り扱いに関するプロトコルを確立する。
• CUIにアクセスするすべての人員が、CUI保護手順について適切に訓練されていることを確認する。

KiteworksプライベートコンテンツネットワークがCUIのような機密データを保護するための鍵である理由

毎日、組織は悪意のある第三者、サイバー攻撃、データ侵害からCUIのような機密データを安全に保つためのますます高い課題に直面しています。この機密データの安全性を確保するために、Kiteworksは、包括的なセキュリティとコンプライアンスガバナンスを備えた機密コンテンツ通信を統合、追跡、制御、保護するプライベートコンテンツネットワーク（PCN）を提供します。組織は、コンテンツを閲覧できる人、編集できる人、送信および共有できる人、送信および共有できる相手と場所、閲覧、編集、送信および共有できるデバイス、送信および共有できる場所を制御できます。

Kiteworksは、悪意のあるサイバー犯罪者や不正な国家から機密コンテンツ通信を保護するために強化された仮想アプライアンスを使用します。ファイルとディスクボリュームでの二重AES-256暗号化を採用したセキュリティレイヤーの使用により、サイバー攻撃がコンテンツにアクセスすることは非常に困難です。Kiteworksが採用するセキュリティレベルのため、脆弱性の影響の深刻度が劇的に低下します。

Kiteworksは、ファイルとメールのデータ通信を単一のプラットフォームに統合し、コンテンツの送信、共有、受信、コラボレーション、保存を管理するための統合された追跡と制御を提供します。メール、セキュアなファイル共有、マネージドファイル転送、ウェブフォーム、およびアプリケーションプログラミングインターフェース（API）が1つのプラットフォームに統合されているため、組織は運用コンプライアンス、効率性、およびセキュリティの劇的な改善を達成します。

データ暗号化は、Kiteworks PCNの重要な要素です。これは、機密データをエンコードして、許可された個人のみがアクセスできるように保護します。さらに、Kiteworksやクラウドプロバイダーは、キー管理や暗号化にアクセスできません。Kiteworksの顧客は、暗号化キーの完全な所有権とアクセス権を保持します。政府機関、弁護士、裁判所は、法的手段を通じてKiteworks内の機密コンテンツにアクセスすることはできません。

私たちの説明ビデオを見て、Kiteworksがプライベートコンテンツネットワークを提供する方法を学びましょう。または、カスタムデモをリクエストして、KiteworksでCMMCレベル2の下でCUIを保護する方法を学びましょう。Kiteworksは、CMMC 2.0レベル2の要件の約90％を標準でサポートしています。

リスクとコンプライアンス用語集に戻る