管理された非機密情報|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. 管理された非機密情報
             

管理された非機密情報

管理された非機密情報(Controlled Unclassified Information、CUI)は、国家安全保障や軍事情報には直接関係しないが、法律や規制により保護が必要とされる情報を指します。CUIは、国家機密情報(classified information)ではないものの、適切な管理が求められるため、特定のガイドラインに従って保護されています。米国では特に連邦政府の機関や請負業者が取り扱う情報の一種としてCUIが定義されていますが、機密情報ほど厳格な制約はありません。

CUIは、個人情報(PII)、医療情報(PHI)、財務データ、知的財産、インフラに関するデータなど、一般的に重要だが機密情報とは異なる情報を含みます。これらの情報が不適切に開示された場合、関係者にとってリスクや損害が生じる可能性があるため、アクセス制御や転送時の暗号化などの管理策が求められます。

CUIの主な特徴

  1. 国家機密ではないが保護が必要
    CUIは機密情報ではないものの、個人のプライバシーや組織の機密性の観点から保護が求められます。情報漏えいが発生すると、個人や組織の信用を損なう可能性があるため、適切な管理が必要です。
  2. 法規制による管理要件
    CUIの管理には、特定の法規制(たとえば、プライバシー保護法、知的財産保護法、サイバーセキュリティ規制)に基づく要件が適用されます。これにより、特定の保護基準が設定され、情報の取り扱いが管理されます。
  3. 識別と分類が必須
    CUIは、システム上で明確に識別され、分類される必要があります。たとえば、データやドキュメントに「CUI」と表示されることが多く、誰がどのように情報を取り扱うべきかが明確に示されます。
  4. アクセス制御と監査の実施
    CUIは一般にアクセス制御によって制限され、適切なアクセス権限を持つ人のみが利用できるようになっています。また、CUIのアクセスや取り扱いについて監査記録を残し、不正なアクセスや取り扱いを防止します。

CUIの例

  • 個人識別情報(PII:Personally Identifiable Information)
    個人の名前、住所、社会保障番号、運転免許番号などの個人識別情報は、法律により保護が義務付けられています。これにより、個人のプライバシーが確保されます。
  • 医療情報(PHI:Protected Health Information)
    健康保険、病歴、医療サービス利用履歴などの医療関連情報は、プライバシー保護法(HIPAAなど)に基づき、個人情報として保護されます。
  • 財務情報
    クレジットカード情報や財務状況、取引履歴など、金融機関や取引先に関わる情報もCUIに含まれ、漏洩を防ぐための保護が求められます。
  • 法的文書
    法的契約、訴訟に関わるデータ、政府の承認を得た技術文書などは、関係者以外への情報開示を防ぐために保護されます。
  • 重要インフラに関する情報
    電力網、水道システム、交通システムなどのインフラ情報も、テロやサイバー攻撃の標的とされるリスクがあるため、管理の対象となります。

CUIの管理要件

CUIの管理は、アメリカでは特に連邦政府のガイドライン「NIST SP 800-171」や「CMMC(Cybersecurity Maturity Model Certification)」に準拠しています。これらのフレームワークでは、情報の保護に必要な要件が以下のように定められています。

  1. アクセス制御
    認可されたユーザーのみがCUIにアクセスできるように、適切な認証とアクセス権限の管理が求められます。アクセス制御の範囲には、物理的なセキュリティや、役割ベースのアクセス制御(RBAC)も含まれます。
  2. データの暗号化
    CUIの送受信時および保管時には、暗号化を行い、情報が第三者に漏洩しないように保護します。特に、インターネット経由のデータ転送や外部デバイスへの保存が必要な場合には、暗号化の実施が義務付けられることが多いです。
  3. 監査とログ管理
    CUIにアクセスした記録やデータ操作の履歴を監査ログとして記録し、不正アクセスやデータ改ざんが行われていないかを確認します。監査ログは、定期的に見直し、違反行為を早期に発見できる体制を整えます。
  4. ユーザー教育
    CUIの取り扱いについて、関係者に定期的なセキュリティ教育を行い、情報漏えいや不正アクセスが発生しないように啓発します。特に、データの安全な取り扱いや保護手順に関する教育は、セキュリティ意識の向上に寄与します。
  5. セキュリティポリシーの策定
    CUIを管理するための方針やプロセスを文書化し、組織内での統一的な情報管理を行います。これにより、誰がどのように情報を扱うべきかが明確になり、全体のセキュリティ水準が維持されます。

CUIの重要性とリスク

  1. プライバシーとコンプライアンスの確保
    CUIは法的に保護が義務付けられている情報が多く、適切に管理されないと、個人のプライバシー侵害やコンプライアンス違反となるリスクがあります。情報漏えいが発生すると、組織の信用が失われ、罰則や法的責任が課される可能性もあります。
  2. 国家安全保障
    CUIには、公共の安全や重要インフラに関する情報も含まれているため、外部からのアクセスが許可されると、国家の安全保障に影響を与える可能性もあります。これにより、社会インフラや公共機関が攻撃の対象となり、被害が拡大するリスクが生じます。
  3. サイバー攻撃の対象
    CUIは攻撃者にとっても価値が高いため、サイバー攻撃の標的となりやすいです。企業の知的財産や財務情報、個人情報が漏えいすると、組織の財務的な損害だけでなく、競争力の低下にもつながる恐れがあります。

まとめ

管理された非機密情報(CUI)は、機密情報ではないものの、法規制やセキュリティポリシーに基づいて適切に保護が必要な情報です。CUIには個人情報や医療情報、インフラ情報などが含まれ、適切な管理がなされていない場合、プライバシーの侵害やサイバー攻撃のリスクが高まります。

そのため、CUIの保護にはアクセス制御や暗号化、監査といった管理策が必須です。また、セキュリティポリシーの策定やユーザー教育を徹底し、関係者全員が情報保護の重要性を理解して取り組むことが、組織全体のセキュリティ強化に寄与します。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。