全3532文字
PR

 「最新の脅威に対処するサイバーセキュリティー対策の指針を、防衛省が遅ればせながら取り入れた。情報を守りながらビジネスの展開速度を高めたい企業は注目すべきだ」──。自衛隊出身で日本のサイバーセキュリティーの第一人者であるサイバーディフェンス研究所 専務理事の名和 利男氏はこう強調する。

 その新たな指針が、防衛装備品などに関連する重要情報をサイバー攻撃から守るための「防衛産業サイバーセキュリティ基準」である(図1)。

図1●「防衛産業サイバーセキュリティ基準」の現行基準と新基準
図1●「防衛産業サイバーセキュリティ基準」の現行基準と新基準
「防衛産業サイバーセキュリティ基準」は、防衛装備品などに関連する重要情報をサイバー攻撃から守るための指針。従来の基準を大幅に改定し、攻撃の早期発見や攻撃を受けた後の対策などに当たる「検知」「対応」「復旧」を拡充した。防衛省の資料を基に作成。
[画像のクリックで拡大表示]

 従来の基準を大幅に改定し、攻撃の早期発見や攻撃を受けた後の対策などを拡充した。2023年度から適用するとして、関連する企業に対応を求めた。

 防衛省は新基準の作成に当たり、米政府が自国の防衛産業に求める基準と同レベルのものを目指した。具体的には、米国が採用するセキュリティーのガイドラインNIST SP800-171を参考にしたという。NISTの名の通り、米国立標準技術研究所(NIST)が策定したものだ。

 NISTはNIST SP800-171において「機密情報ではないが重要な情報」を保護するための対策をまとめた。「機密情報ではないが重要な情報」は「CUI(管理された非格付け情報)」とも呼ばれるが、一般生活ではなじみが薄くイメージしにくいだろう。

 例えば戦闘機の内部パラメーターなどが機密情報であるのに対し、設計図面のような取引先とやりとりする周辺情報がCUIに当てはまる。

 NIST SP800-171は単独のガイドラインではなく、米政府機関がセキュリティー対策を講じるためのリポート群「NIST SP800シリーズ」の一部である。同シリーズには171のほかにも、機密情報の管理などをまとめた「53」や、パブリッククラウドのセキュリティーなどのガイドラインである「144」などがある。

 米国は連邦調達規則によって、政府機関やその取引先の企業にNIST SP800-171への対応を求めている。政府が取引先企業との間でやりとりする重要な情報を、サイバー攻撃などから守る手段として活用しているわけだ。