防衛省は2023年度から適用する新たなサイバーセキュリティーの基準「防衛産業サイバーセキュリティ基準」の策定に際し、米国政府が採用するセキュリティーのガイドライン「NIST SP800-171」を参考にした。このSP800-171は防衛産業だけでなく、あらゆる日本企業にとって今後重要性が増していくとみられるが、一般企業にとってまだ縁遠い存在だ。SP800-171に関する5つの質問から理解を深めよう。 Q1:SP800-171が規定する「CUI」とは何? SP800-171とは米国標準技術研究所(NIST)がまとめた、米政府機関がセキュリティー対策を講じるためのリポート群「SP800」シリーズの1つで、「CUI」の取り扱いを定めた規定である。そもそもCUIとは何だろうか。 CUIとはControlled Unclassified Informationの頭文字を取った略語で、直訳すると「管理