「最新の脅威に対処するサイバーセキュリティー対策の指針を、防衛省が遅ればせながら取り入れた。情報を守りながらビジネスの展開速度を高めたい企業は注目すべきだ」――。自衛隊出身で日本のサイバーセキュリティーの第一人者であるサイバーディフェンス研究所の名和利男専務理事はこう強調する。
その新たな指針が、防衛装備品などに関連する重要情報をサイバー攻撃から守るための「防衛産業サイバーセキュリティ基準」である。従来の基準を大幅に改定し、攻撃の早期発見や攻撃を受けた後の対策などを拡充した。2023年度から適用するとして、関連する企業に対応を求めた。
防衛省は新基準の作成に当たり、米政府が自国の防衛産業に求める基準と同レベルのものを目指した。具体的には、米国が採用するセキュリティーのガイドライン「NIST SP800-171」を参考にしたという。米国立標準技術研究所(NIST)が策定したものだ。
NISTはNIST SP800-171で、「機密情報ではないが重要な情報」を保護するための対策をまとめた。「機密情報ではないが重要な情報」は「CUI(管理された非格付け情報)」とも呼ばれるが、いずれも一般生活ではなじみが薄くイメージしにくいだろう。例えば戦闘機の内部パラメーターなどが機密情報であるのに対し、設計図面のような取引先とやり取りする周辺情報がCUIに当てはまる。
NIST SP800-171は単独のガイドラインではなく、米政府機関がセキュリティー対策を講じるためのリポート群「NIST SP800シリーズ」の一部である。同シリーズには171のほかにも、機密情報の管理などをまとめた「53」や、パブリッククラウドのセキュリティーなどのガイドラインである「144」などがある。
米国は連邦調達規則によって、政府機関やその取引先の企業にSP800-171への対応を求めている。政府が取引先企業との間でやり取りする重要な情報を、サイバー攻撃などから守る手段として活用しているわけだ。
供給網を狙うサイバー攻撃が顕著に
防衛省が新基準にNIST SP800-171の要素を取り入れた背景は、大きく2つある。1つは近年、サプライチェーン(供給網)を標的とするサイバー攻撃が世界各国で目立っていることだ。
「外国政府の関与が疑われる高度かつ執拗なサイバー犯罪者がおり、不正侵入を防ぎ切れないことを前提とした手立てが必要になっている」。NRIセキュアテクノロジーズの野口大輔DXセキュリティコンサルティング事業本部IoTセキュリティ事業部長は指摘する。
実際に日本でも、防衛装備品の供給網に連なる防衛関連企業を狙ったサイバー攻撃が発生している。2020年1月には、三菱電機が未知の脆弱性を悪用したサイバー攻撃を受けたことが判明。防衛省は2021年末、その後の調査で、流出した可能性がある約2万件の防衛関連情報のうち、安全保障に影響する恐れがあるデータファイルが59件あったと公表した。ほかにもNECや神戸製鋼所、航空測量大手のパスコなどの被害も過去に明らかになった。
厄介なのは、政府機関と直接の取引がない企業も標的になる点だ。一般に、元請けとなる大手企業は相応のセキュリティー対策を講じているとされる。ただ「2次請けや3次請けといった企業まで含めるとどうしても穴が開く。弱いところから情報が盗まれる事態が世界的に頻発している」。SP800-171の監査支援サービスを手掛けるニュートン・コンサルティングの内海良執行役員兼CISO(最高情報セキュリティー責任者)、プリンシパルコンサルタントは現状をこう見る。
実際、海外ではステルス戦闘機「F35」の設計情報などが、下請けとなっていたオーストラリアの中小企業から盗まれたと報じられた。供給網の末端まで重要情報が漏れない仕組みの整備が求められているわけだ。
