連邦契約情報(FCI)の概要
連邦契約情報、一般にFCIと呼ばれるものは、米国連邦機関の代理として請負業者が取得する、公開されていないデータに関連します。この機密情報は、政府およびその請負サービス全体で広く使用されています。これは日常業務の貴重な一部を形成し、連邦活動に対する洞察、指針、更新を提供します。
政府機関と請負業者は、このデータを意思決定、計画、さまざまな活動の実行に役立てています。調達からプロジェクト管理、政策の策定から資源配分まで、FCIは基本的なリソースです。その使用は、連邦、州、地方の機関を含むほぼすべてのレベルの政府機能に及びます。
CMMC認証プロセスは厳しいですが、私たちのCMMC 2.0コンプライアンスロードマップが役立ちます。
連邦契約情報の機密性
FCIは、詳細な調達戦略、正確な契約合意、特定の技術仕様、先進的な研究データ、包括的な財務情報、重要な政策指針を含む広範なデータを表します。この情報の機密性レベルは大きく異なる可能性があり、正しく取り扱われない場合には非常に広範な影響を及ぼす可能性があります。例えば、防衛契約の特定の詳細が誤用または誤処理された場合、国家安全保障に重大な影響を与え、国の安全を危険にさらす可能性があります。
同様に、連邦契約に関連する財務データが誤処理された場合、大規模な詐欺計画の入り口となり、経済に大きな影響を与え、重大な財務損失を引き起こす可能性があります。このデータの性質と、このデータが露出または誤処理された場合の潜在的な深刻な結果を考慮すると、このような情報を保護することは極めて重要です。
FCIを保護する必要性は、このような露出が政府部門の円滑な運営や一般市民の福祉に与える可能性のあるリスクから生じています。これらの理由から、FCIのセキュリティと保護は、このデータの高い機密性と、このデータが不正な手に渡った場合の可能性のある悪影響のために、交渉の余地がありません。
連邦契約情報と制御されていない分類情報:類似点と相違点
連邦契約情報(FCI)は、公共に公開されていない特定の情報のカテゴリーであり、製品またはサービスを開発または提供するために契約の下で米国政府によって提供されるか、またはそのために生成されます。FCIには、米国政府が公共に提供する情報や、財務データや請求情報などの単純な取引情報は含まれないことに注意が必要です。FCIを扱う際には、請負業者および下請け業者は、連邦法のガイドラインおよび契約上の義務に従ってこの情報を保護する必要があります。
制御されていない分類情報(CUI)は、法律、規制、または政府全体のポリシーに従って保護または配布制御が必要な情報のより広範なカテゴリーです。CUIは、個人のプライバシー情報、研究データ、知的財産、法執行データなど、さまざまな情報タイプをカバーしています。CUIは、法律、連邦規制、または政府全体のポリシーなどの権威ある情報源によって特定されることが重要です。
FCIとCUIの間にはいくつかの類似点があります。主に、どちらも保護が必要な機密情報を含んでいることです。どちらのカテゴリーも、不適切に開示、漏洩、または紛失された場合、国家安全保障、経済、公共の安全、または個人のプライバシーに悪影響を及ぼす可能性があります。実際、どちらのタイプの情報も、連邦の要件に従って安全な方法で取り扱い、保管、送信する必要があります。
しかし、FCIとCUIの間には重要な違いもあります。まず、情報の出所が異なります。FCIは、契約の下で米国政府によって提供されるか、またはそのために生成される情報であり、CUIは法律、規制、または政府全体のポリシーにより保護が必要な、より広範な情報カテゴリーです。
次に、各カテゴリーに該当する情報の種類が異なります。FCIは通常、特定の政府契約または調達プロセスに関連付けられていますが、CUIは個人のプライバシー情報から法執行データまで幅広く含まれます。
最後に、各タイプの情報の取り扱い要件が異なります。例えば、どちらのタイプの情報も保護が必要ですが、CUIに対する具体的なセキュリティコントロールは、FCIに対するものよりも広範かつ具体的です。これは主に、CUIがより機密性の高い情報タイプを含んでおり、追加の保護が必要な場合があるためです。
政府機関と請負業者は、これらの違いを認識し、各タイプの情報の保護と配布制御を効果的に管理する必要があります。
総じて、連邦契約情報と制御されていない分類情報は、保護が必要な機密情報を含んでいる可能性がありますが、それぞれ異なる目的を持ち、異なる取り扱い要件があります。これらの類似点と相違点を理解することは、政府機関とその請負業者がこれらの情報タイプを適切に保護するために極めて重要です。
FCI侵害の影響
現代のデジタル環境では、データ侵害やサイバー攻撃の脅威がますます持続的になっています。これは特に、機密性の高い連邦契約情報を保護する責任を負う政府機関とその請負業者に当てはまります。この情報の侵害は、罰則や評判の損害を含む、潜在的に深刻な結果をもたらす多くのリスクを引き起こします。
このような侵害が発生した場合、政府機関はデータセキュリティの不備に対して責任を問われ、法的な問題に巻き込まれる可能性があります。これにより、侵害によって直接影響を受けた当事者から訴訟が提起される可能性があります。さらに、これらの機関は、かなりの財政的罰則を受ける可能性があり、問題をさらに悪化させます。
これらの機関と協力する請負業者も、影響を免れることはありません。彼らは契約の終了に直面する可能性があり、これにより重大な業務の中断と財務損失が発生します。また、侵害を防ぐことができなかったことに対して重い財政的罰則を受ける可能性もあります。さらに、彼らの評判も回復不能な損害を受け、将来の見通しやビジネス関係に大きな影響を与える可能性があります。
さらに、データ侵害の影響は、関与する当事者にとどまりません。政府に対する一般の感情も悪化する可能性があります。重大な侵害は、政府が市民のデータを保護する能力に対する信頼を損ない、一般の恐怖と懐疑心を増大させる可能性があります。これにより、政府機関とのやり取りや重要な情報の共有に対する一般の態度が変わる可能性があります。
FCI保護における連邦政府の役割
連邦政府は、FCIの安全確保において重要な役割を果たしています。政府は、連邦情報セキュリティ近代化法(FISMA)や連邦調達規則(FAR)などの厳格な連邦法と規制を策定しています。これらの法律は、政府機関と請負業者がFCIを保護するために堅牢なセキュリティプログラムを実施することを要求しています。これらの団体は、FCIの不正アクセス、開示、または誤用を防ぐために指定されたプロトコルに従うことが義務付けられています。
さらに、連邦政府、特に国防総省(DoD)は、サイバーセキュリティ成熟度モデル認証(CMMC)フレームワークを導入しました。このモデルは、すべてのDoD請負業者が第三者認証を取得し、FCIを保護するために完全に装備されていることを保証し、特定のサイバーセキュリティ慣行と成熟度レベルを満たしていることを確認することを要求しています。
政府説明責任局(GAO)も、FCI保護の確保において重要な役割を果たしています。GAOは監視機関として、FCIを保護する連邦プログラムの効率性と効果を監査し、レビューを行います。特定された不一致や弱点は報告され、改善のための推奨が行われます。
最終的に、FCIの保護は、複数の政府機関が関与する共同の責任です。彼らは法律を制定し、政策を策定し、監査を実施し、第三者認証を義務付けることで、FCIが常に保護されるようにしています。
FCI保護における政府請負業者の役割
政府請負業者は、FCIの保護において重要な役割を果たしています。彼らの主な責任の一つは、効果的なサイバーセキュリティ対策を実施し、すべてのFCIが潜在的なサイバー脅威から保護されるようにすることです。これには、暗号化、ファイアウォール、セキュアなネットワークの使用が含まれます。請負業者は、追加の最低限のサイバーセキュリティ基準を設定する連邦調達規則(FAR)によって確立された規制に従う必要があります。
さらに、請負業者は、従業員のために定期的なトレーニングと意識向上プログラムを実施する義務があります。これにより、FCIの取り扱いに関連するリスク、例えば意図しない開示や不正アクセスが最小限に抑えられます。彼らはしばしば、FCIを特定、追跡、保護することができる内部システムを開発し、維持することを義務付けられています。
さらに、請負業者は、FCIの疑わしいまたは実際の侵害を関連する政府機関に迅速に報告する必要があります。これにより、即時の被害制御が可能になるだけでなく、全体的なサイバーセキュリティフレームワークの改善にも役立ちます。
要約すると、FCIの保護における政府請負業者の役割は重要で多面的です。彼らの責任は、堅牢なサイバーセキュリティ対策の実施、従業員のトレーニング、セキュアな内部システムの維持、侵害の迅速かつ正確な報告に及びます。FCIの安全性は、これらの請負業者の誠実な努力と適切な注意に大きく依存しています。
FCI保護を確保するための政府規制
FCIの機密性を考慮すると、不正アクセスや不正使用を防ぐための保護措置を講じることが不可欠です。
FCIの保護を確保するための主要な規制の一つは、サイバーセキュリティ成熟度モデル認証(CMMC)です。これは、国防総省(DoD)が防衛産業基盤(Defense Industrial Base)内でのFCIの保護を強化するために開発した認証手続きです。CMMCは、DoD請負業者がその規模や業務の性質に関係なく認証を受けることを要求しています。必要な認証レベルは、請負業者が扱うFCIの量と機密性に基づいています。
もう一つの重要な規制は、連邦情報セキュリティ管理法(FISMA)であり、政府機関と請負業者がFCIを保護するために堅牢なサイバーセキュリティ対策を実施することを義務付けています。これらの対策には、定期的なリスク評価、セキュリティ手続きの開発、実施されたセキュリティ対策の効果の定期的な評価が含まれます。
さらに、国防連邦調達規則補足(DFARS)は、DoD請負業者に対する必須のサイバーセキュリティ要件を確立しています。DFARSの下では、請負業者はFCIを保護するために「適切なセキュリティ」を提供する必要があり、これにはアクセス制御、インシデント対応、リスク評価などが含まれます。
要約すると、CMMC、FISMA、DFARSのような規制は、FCIの保護を指示する上で重要な役割を果たしています。これらの規制は厳格な要件を維持し、政府機関と請負業者がFCIを保護するために包括的かつ効果的な対策を実施することを保証しています。
連邦契約情報(FCI)を保護するためのベストプラクティス
連邦契約情報(FCI)の保護は、その重要性とセキュリティ侵害の潜在的な影響のために極めて重要です。FCIの適切な取り扱いと共有は、その機密性と関連するシステムの整合性を確保するために重要です。このプロセスを促進するために従うことができるいくつかの認識されたベストプラクティスがあります。
まず、基本的なベストプラクティスの一つはアクセス制御です。これは、特に許可された人員のみがFCIにアクセスできるという原則を指します。厳格なアクセス制御を確立し、維持することは、この重要な要素です。これには、高度なセキュリティとプライバシーを念頭に置いて設計されたセキュアなシステムとプラットフォームの使用が含まれる場合があります。さらに、監査ログを定期的にレビューし、分析する必要があります。これは、データアクセスのすべてのインスタンスを監視し、追跡することを意味します。誰が何にアクセスしたか、いつアクセスしたか、どのような変更が行われたかを追跡します。これにより、不正アクセスや異常な活動を迅速に特定するのに役立ちます。
データの暗号化は、もう一つの重要なベストプラクティスです。このプロセスは、情報を復号キーなしでは読めない形式に変換し、セキュリティ侵害が発生してもデータが安全であることを保証します。情報は、許可されていない人には全く理解できないものになります。
第三に、組織内でトレーニングと意識の文化を醸成することが極めて重要です。すべてのレベルの従業員は、定期的にトレーニングを受け、FCIの保護の重要性を認識する必要があります。これには、潜在的なリスク、FCIを保護するためのベストプラクティス、および侵害の影響についての教育が含まれる場合があります。この種のセキュリティ意識トレーニングは、組織内でデータ保護に対する積極的なアプローチを促進することができます。
定期的なシステム更新は、FCIを守るためのもう一つの重要な対策です。FCIを保存し、取り扱うために使用されるシステムのセキュリティは、定期的に更新されるべきです。サイバーセキュリティの脅威は常に進化しており、新たな脅威が出現するにつれて、システムは堅牢な保護レベルを維持するために更新される必要があります。
これらおよびその他の関連する対策を効果的に実施することで、データ侵害のリスクを大幅に軽減することができます。これらのベストプラクティスに従うことで、FCIの整合性を確保し、その保護を維持することができます。
FCIの機密性の維持
政府機関と請負業者は、FCIを保護するために積極的に協力する必要があります。これを達成する一つの方法は、包括的なデータ取り扱いポリシーを通じてです。これらのポリシーには、データのアクセス、保存、送信、廃棄に関する明確なガイドラインが含まれるべきです。機関と請負業者は、認定された個人のみがFCIにアクセスできるようにし、常に安全で暗号化された形式で保存する必要があります。
さらに、両者はこれらのデータ取り扱いポリシーの遵守を確保するために定期的な監査を実施するべきです。これらの監査は、システム内の潜在的な侵害や脆弱性を監視するためにも役立ちます。スタッフのトレーニングは頻繁に行われ、FCIを扱う際のベストプラクティスを常に最新のものにする必要があります。
最後に、機関と請負業者間のFCIの共有は厳密に管理され、監視されるべきです。すべての交換は安全なチャネルを通じて行われ、すべてのFCIは適切に暗号化される必要があります。さらに、FCIを送信する前に、受信者の真正性を確認する手順が整備されているべきです。
FCIの機密性を維持するには、政府機関とその請負業者の積極的で継続的な努力が必要です。厳格なデータ取り扱いポリシー、定期的な監査とスタッフトレーニング、安全な通信チャネルを通じて、FCIは効果的に保護されることができます。
Kiteworksはプライベートコンテンツネットワークで政府機関と請負業者がFCIを保護するのを支援します
連邦契約情報(FCI)は、政府機能内で高優先度の資産として見なされるべきであり、意思決定と運用プロセスにおいて重要な役割を果たしています。このデータの機密性を考慮すると、国家安全保障や経済の均衡に影響を与える可能性があるため、その保護は最優先事項であるべきです。侵害の潜在的な結果、訴訟、財務的影響、公共イメージの損傷を含む可能性があることは、この必要性を強調しています。したがって、政府機関と請負業者は、堅牢なデータ保護対策を実施することが不可欠です。重要な保護戦略には、アクセス制御、データ暗号化、継続的なトレーニングとシステム更新が含まれるべきです。これらの戦略の定期的な評価も、その効果と政府の規制遵守を確保するために不可欠です。これらの保護慣行を正確に把握し、適用することで、FCIの整合性を維持し、結果として公共の福祉を保護することができます。
Kiteworksのプライベートコンテンツネットワークは、FIPS 140-2レベル検証済みのセキュアなファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTP、およびマネージドファイル転送を統合し、組織がファイルを組織に出入りする際にすべてのファイルを制御し、保護し、追跡します。
Kiteworksは、CMMC 2.0レベル2要件の約90%を標準でサポートしています。その結果、DoD請負業者と下請け業者は、適切な機密コンテンツ通信プラットフォームを確保することで、CMMC 2.0レベル2の認定プロセスを加速できます。
Kiteworksを使用すると、DoD請負業者と下請け業者は、専用のプライベートコンテンツネットワークに機密コンテンツ通信を統合し、CMMC 2.0の慣行に沿った自動化されたポリシー制御と追跡およびサイバーセキュリティプロトコルを活用できます。
Kiteworksは、次のような主要な機能と特徴を備えており、迅速なCMMC 2.0コンプライアンスを実現します:
- SSAE-16/SOC 2、NIST SP 800-171、NIST SP 800-172を含む、米国政府の主要なコンプライアンス基準および要件に基づく認証
- FIPS 140-2レベル1の検証
- 中程度の影響レベルのCUIに対するFedRAMP認証
- データ保存時のAES 256ビット暗号化、データ転送時のTLS 1.2、および唯一の暗号化キー所有
Kiteworksの展開オプションには、オンプレミス、ホスト型、プライベート、ハイブリッド、およびFedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用すると、機密コンテンツへのアクセスを制御し、自動化されたエンドツーエンド暗号化、多要素認証、およびセキュリティインフラストラクチャの統合を使用して外部で共有される際に保護し、すべてのファイル活動を確認、追跡、報告します。具体的には、誰が何を誰に、いつ、どのように送信したかを追跡します。最後に、GDPR、ANSSI、HIPAA、CMMC、Cyber Essentials Plus、IRAP、DPAなどの規制や基準に準拠していることを証明します。
Kiteworksについて詳しく知りたい方は、カスタムデモをスケジュールしてください。
