CUI|サイバーセキュリティ.com

CUI

CUI(Controlled Unclassified Information)は、米国連邦政府が取り扱う情報のうち、機密情報(Classified Information)ではないが、適切な保護と制限された取扱いが必要とされる情報のことを指します。CUIは、機密情報ほど厳しい機密保持が求められるわけではありませんが、依然として特定の取り扱いガイドラインに従うことで、不正アクセスや漏洩から守る必要があります。

CUIの概念は、情報の管理と共有に関して明確な基準を設け、連邦政府機関およびその契約業者が一貫した保護措置を講じるようにするために設けられました。CUIプログラムは、米国国家公文書記録管理局(NARA:National Archives and Records Administration)が管理しており、CUIのカテゴリーやその取り扱い基準を定めています。

CUIの背景と目的

従来、米国連邦政府では、異なる機関が独自の基準で「未分類のが特定の取り扱いが必要な情報」を管理しており、情報管理の一貫性に欠けていました。CUIプログラムはこれを統一し、情報の適切な管理と共有、保護を目的としています。これにより、国家の安全や経済的利益を守りながら、情報の管理における透明性と一貫性を高めることができます。

CUIの分類と取り扱い

CUIには、多くのカテゴリが存在し、これらは特定の法令、規制、または政府の政策に基づいて保護される必要がある情報を含みます。CUIには以下のような例があります:

  1. 法執行情報
  2. 金融情報
  3. 輸出管理情報
  4. 個人識別情報(PII:Personally Identifiable Information)
  5. 知的財産関連情報
  6. インフラストラクチャに関する情報

CUIの取り扱い基準

CUIを扱う場合、米国連邦政府やその契約者は、情報を適切に保護するために、特定の基準を遵守する必要があります。これには、アクセスの制限、保存と転送における暗号化、物理的な保護、デジタルデータの保護などが含まれます。特に、政府の契約者がCUIを扱う場合、NIST SP 800-171に準拠した情報管理が求められることが一般的です。この標準は、CUIの機密性を保つための管理策を規定しています。

CUIとNIST SP 800-171の関係

NIST SP 800-171は、CUIを保護するためのセキュリティ管理策を提供するガイドラインです。このガイドラインは、連邦政府の契約者やサプライチェーンの関係者がCUIを適切に管理するために設けられたもので、セキュリティ要件を満たすために必要なプロセスや対策を示しています。これにより、CUIの適切な管理が確保され、情報漏洩やサイバー攻撃のリスクが軽減されます。

CUIプログラムのメリット

  1. 統一された情報管理基準の確立連邦機関間での情報管理の一貫性が向上し、効率的な情報の共有と保護が可能となります。
  2. セキュリティの向上機密情報ほどの厳しい管理は不要であるが、それでも適切な管理が求められる情報を保護することで、国家や社会にとって重要な情報を守ります。
  3. 透明性とガイドラインの提供CUIの取り扱い基準が明確に定義されているため、取り扱う組織や担当者は適切な管理方法を理解しやすく、誤った管理を避けることができます。

CUIを扱う際の注意点

  1. 適切なセキュリティ対策の実施CUIを扱う際には、適切なセキュリティ対策を講じる必要があります。具体的には、データの暗号化、アクセス制御、監視の強化などが求められます。
  2. コンプライアンスの遵守CUIの取り扱いには、法的および規制要件に従うことが求められます。特に、契約者や下請け業者がCUIを取り扱う場合、これらの基準に基づいた管理を行うことが重要です。
  3. 定期的な見直しと監査CUIに関する管理体制やセキュリティ対策を定期的に見直し、最新の基準に従うことで、適切な管理を維持する必要があります。

まとめ

CUI(Controlled Unclassified Information)は、米国連邦政府が管理する未分類情報の中でも、特定の保護が必要な情報を指します。CUIプログラムは、情報の一貫した管理と適切な保護を実現するために設けられ、NIST SP 800-171などの基準に基づいたセキュリティ対策が求められます。CUIの管理により、連邦機関およびその契約者は、国家や社会にとって重要な情報を適切に保護し、情報の漏洩や不正アクセスのリスクを低減することが可能です。


SNSでもご購読できます。