なぜ「エンクレーブ」が対応費用を一桁変えるのか

CMMC防衛省基準への対応で最大のコスト変動要因は、評価・対策のスコープ(範囲)です。全社のシステムすべてをNIST SP 800-171の110管理策に適合させようとすると、技術是正・文書化・評価費用のすべてが全社規模に膨らみます。

そこで定石となるのがCUIエンクレーブ(enclave=飛び地)——CUI(管理対象非機密情報)を取り扱う環境を論理的・物理的に分離し、高度な管理策の適用範囲をその内側だけに限定する設計です。CUIに触れる従業員が全社300名中20名なら、評価スコープを20名+専用環境に絞れる可能性があり、対応費用を一桁圧縮できるケースもあります。

本記事では、中堅・中小サプライヤーにとって最も現実的な選択肢であるMicrosoft 365を使ったエンクレーブ構築を、設計パターンの選定から各サービスの具体設定、運用ルールまで実装目線で解説します。

設計パターンの選定:別テナント vs 同一テナント内分離

観点① 専用テナント方式② 同一テナント内論理分離
分離の強度◎(テナント境界で完全分離)○(ラベル・アクセス制御による論理分離)
評価スコープの明確さ◎(テナント全体=スコープ)△(分離の有効性を評価者に説明する必要)
コスト△(ライセンス二重持ち・運用二重化)◎(既存テナントを活用)
ユーザー体験△(アカウント切替が発生)◎(普段の環境のまま)
向いている企業CUI業務が独立した部門に集約されているCUI業務と一般業務を同じメンバーが兼務
  • 迷ったら専用テナント方式:評価者への説明が簡単で、設定ミスが全社に波及しない。CUI取扱者が少数なら追加ライセンス費用も限定的
  • 同一テナント方式を選ぶ場合:Purview秘密度ラベル・DLP・条件付きアクセスを組み合わせた「論理エンクレーブ」の設計品質が問われる。本記事の後半はこの方式でも共通に使える
  • ライセンス:いずれの方式でも、条件付きアクセス・Intune・Purviewの自動ラベリング/DLP・PIM等を使うためMicrosoft 365 E5(または E3+E5 Securityアドオン等)クラスをエンクレーブ対象者に割り当てるのが基本形

Entra ID:アクセス制御と認証(AC/IA)

  • 専用セキュリティグループ:「CUI-Users」グループを作成し、エンクレーブへのアクセスを本グループに限定。入退をワークフロー化(アクセスレビュー併用)
  • フィッシング耐性MFA:CUIアクセスには通常のプッシュ通知MFAではなく、FIDO2セキュリティキーまたはWindows Helloを要求する認証強度ポリシーを適用
  • 条件付きアクセス:CUI関連アプリ・サイトへのアクセス条件を「Intune準拠デバイス+ハイブリッド参加または参加済みデバイスのみ」「許可された国・場所のみ」に限定。個人デバイス・未管理デバイスからのアクセスを遮断
  • PIM(特権ID管理):管理者権限は常時付与せず、PIMによる時間限定の昇格+承認フローに。管理操作はすべて監査ログに残る
  • ゲスト・外部共有:エンクレーブ内ではゲスト招待を原則禁止。テナント間アクセス設定で外部テナントへのアクセスも制御

Intune:デバイスの構成管理(CM/SC)

  • 準拠ポリシー:BitLocker有効、OSバージョン下限、Defender有効、脱獄・ルート化検知を必須条件に。非準拠デバイスは条件付きアクセスで自動遮断
  • 構成プロファイル:USBストレージの制御、画面ロック、ローカル管理者権限の剥奪を配布
  • アプリ管理:CUIを扱うアプリを管理アプリとして配布し、未承認アプリへのデータコピーを制限
  • 専用デバイスの検討:CUI取扱者には会社管理のWindowsデバイスを貸与し、BYODはエンクレーブから除外するのが評価上も説明しやすい

Purview:ラベル・DLP・監査(MP/AU)

  • 秘密度ラベル「CUI」:暗号化+アクセス権(CUI-Usersのみ開封可)+透かしを設定したラベルを作成。ラベルの付与権限・変更権限も限定する
  • 自動ラベリング:「CUI」「Controlled Unclassified」等のマーキング文字列やカスタム機密情報型を検知して自動付与・推奨。受領文書のマーキング規則はCUIマーキング実務を参照
  • DLP:CUIラベル付きファイルの外部送信・外部共有・未管理デバイスへのダウンロード・印刷をブロック。Teams/Exchange/SharePoint/エンドポイント(Endpoint DLP)に展開
  • 監査ログ:Purview監査(Premium)でCUIサイトへのアクセス・ダウンロード・共有操作を長期保持。SIEM連携が必要ならMicrosoft Sentinelへ転送し、保全期間とコストを設計

SharePoint/Teams:保管場所の設計

  • CUI専用サイト/チームを作成し、既定の共有設定を「組織内共有も不可(指定メンバーのみ)」に。サイト単位でゲスト共有を無効化
  • サイト秘密度ラベル:コンテナレベルのラベルでプライバシー設定・外部共有可否・未管理デバイスアクセスを強制
  • 一般環境との動線分離:全社ポータルやファイルサーバーにCUIが「こぼれない」よう、受領から保管までのフローを定義(メール受領→専用サイトへ格納→元メール削除等)
  • 検索の露出制御:専用サイトを全社検索から除外し、偶発的な閲覧を防止

FIPS暗号とGCC High——商用テナントの限界点

  • FIPS 140検証済み暗号:SP 800-171はCUI保護にFIPS検証済み暗号の使用を求める。Microsoft 365の主要サービスはFIPS 140検証済みモジュールを使用しているが、SSP(システムセキュリティ計画)に暗号化の実装根拠を記載できるよう構成を文書化しておく
  • ITAR/EAR該当データ:輸出管理規制対象の技術データは、データ所在地やアクセス者の国籍管理まで求められ、商用テナントでは充足が困難。GCC High相当の環境が論点になるが、日本法人の契約はハードルが高い。該当する場合はプライム・法務と取扱い方針を先に確定すること
  • DFARS 252.204-7012のクラウド要件:クラウド利用時はFedRAMP Moderate相当のベースラインとインシデント対応条項への適合が求められる。条項の詳細はDFARS条項解説を参照

運用設計:作って終わりにしないために

  1. 入退管理:CUI-Usersへの追加は上長承認+教育受講を条件に。退職・異動時は即日除外(Entraアクセスレビューで四半期棚卸し)
  2. 教育:CUI取扱者向けの年次教育(マーキング・持出禁止・報告手順)を記録付きで実施
  3. インシデント対応:CUI関連の検知(DLPアラート・異常サインイン)を優先度高でトリアージし、契約上の報告義務(72時間報告等)につなげる体制を文書化
  4. 年次点検:SSPと実環境の乖離を年1回点検。設定変更はチケット管理で証跡を残す
  5. 評価対応:エンクレーブの境界(ネットワーク図・データフロー図)を常に最新化。評価者・プライムへの説明資料として機能する

まとめ

CUIエンクレーブは、CMMC・NIST SP 800-171・防衛省基準への対応費用を左右する最重要の設計判断です。Microsoft 365なら、Entra ID(アクセス制御・認証強度)、Intune(デバイス管理)、Purview(ラベル・DLP・監査)という標準機能の組み合わせで、専用設備を持たない中堅・中小サプライヤーでも実装可能です。一方で、ITAR該当データの扱いやDFARSクラウド条項など商用テナントの限界点を見極めるスコープ定義が先決であることも忘れてはいけません。

BTNコンサルティングでは、スコープ設計(エンクレーブ境界の定義)からM365での実装(E5セキュリティ機能の設計・展開)、SSP等の文書整備までをITコンサルティングとして一貫支援しています。60分の無料相談からお気軽にどうぞ。

関連記事・参考リンク
CMMC 2.0実務対応ガイド2026防衛産業サイバーセキュリティ基準とはCUIの特定・マーキング実務DFARS条項とインシデント報告義務NIST SP 800-171解説Purview DLP実装ガイドMicrosoft Learn: NIST SP 800-171準拠 ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。