SOMPO CYBER SECURITY
CUI(Controlled Unclassified Information)は日本語では「管理された非機密情報」、「管理された非格付け情報」等と訳される、米国政府が定めた情報区分です。
CUIは、米国各政府機関が取り扱う安全保障および原子力に係る情報のうち、機密(Classified)指定には至らないが適切に保護すべき情報を指します。CUIに関する法的根拠として2010年に発行された大統領令13556があります。
CUIは、2001年の米国同時多発テロにおける情報共有・連携の失敗を教訓として、連邦政府、州政府、部族政府、また各機関が別個で制定してきた非機密情報に対する取り扱いを統合する目的で制定されました。
CUIに分類されるカテゴリーは現在以下のとおりです。
1.重要インフラ
2.防衛
3.輸出管理
4.金融
5.移民
6.インテリジェンス
7.国際協定
8.法執行
9.法律
10.自然および文化リソース
11.NATO
12.核(原子力)
13.特許
14.プライバシー
15.調達及び取得
16.企業秘密
17.Provisional
18.統計
19.税
20.輸送
CUIの機密性を保護するための情報セキュリティに関する基準文書として、米国国立標準技術研究所(NIST)が発行するNIST SP800-171があります。
NIST SP800-171には、非連邦政府システムや非連邦組織がCUIを取り扱う際のセキュリティ要求が記載されており、例えば国防総省の契約業者たる防衛企業等は、この基準、あるいはこの基準を元に策定中の認証制度であるCMMCを遵守する必要があります。
我が国の防衛省でも、2023年度より防衛産業サイバーセキュリティ基準として、NIST SP800-171に準じた規定が施行されました。
なお、防衛省が定めるCUIに近似した情報区分として「注意」があります。
情報セキュリティマネジメントシステムの世界的な基準であるISO/IEC 27001(ISO 27001)が2022年に改訂され、そのセキュリティ管理策の1つとして脅威インテリジェンスが新たに追加されました。サイバー空間をめぐる脅威が日々変化する中、組織・企業がサイバーセキュリティリスクを管理する上で脅威インテリジェンスは不可欠な要素となっています。 本記事では、ISMSに記載された「脅威インテリジ...
「彼を知り己を知れば百戦殆からず(かれをしりおのれをしればひゃくせんあやうからず)」という孫子の有名な言葉が示すとおり、戦いにおいて彼我の戦力を把握することは勝つための最も重要な活動です。 情報を処理し、ビジネスや事業に役立てるインテリジェンス活動は、現代でも重要な役割を担っています。 インテリジェンス活動は私たち人間に本来的に備わった営みであり、サイバーセキュリティ対策の上でも不可欠ですが、一方...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年7月 先日の記事で報告したとおり、親ロシアのハクティビスト・グループは引き続き我が国のWebサイトに対...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年7月 親ロシアのハクティビスト・グループであるNoName057(16)が再び日本のWebサイト複数を...