EY Japanは7月10日、政府のサイバー対策に関するメディア勉強会を開催した。防衛装備庁は2023年度の契約から、米国立標準技術研究所(NIST)が定めた「NIST SP800-171」に準ずる防衛産業サイバーセキュリティ基準の適用を求めている。EYストラテジー・アンド・コンサルティング ストラテジックインパクトパートナーの西尾素己氏は、「日本も情報クライテリア(条件)を持たなければならない。さらに『EO(Executive Order)14028』のソフトウェアサプライチェーン攻撃対策に目を向けることも必要だ」と提言した。
SP800-171は、NISTが定めたサイバーセキュリティフレームワークの一つである。2009年に米軍戦闘機の設計情報が国外民間企業から漏えいしたことを踏まえ、民間企業が保有する情報を「CUI」(Controlled Unclassified Information)と命名して、SP800-171を最低水準とする保護を命じた。これが2010年の「EO 13556」である。
SP800-171は2015年6月から運用を開始し、米軍需産業界には2017年から、全産業には2020年から適用を開始した。CUI自身は20カテゴリーと124のサブカテゴリーから成り立ち、その適用範囲は多岐にわたる。防衛や軍需特許はもとより、政府要人のプライバシー保護やインテリジェンス(諜報)に関する定義も含めまれる。その分、抽象度が高いため、民間企業団体からは米政府に多くの苦情が寄せられたものの、その意見は無視され、軍需産業や情報産業に関わる企業は対応に苦慮している。
西尾氏は「例えば、自動運転試験の走行時は米国土安全保障省(DHS)への申請が必要だが、この情報もCUIに当たる。CUIの定義自体が曖昧なので致し方ない」と状況を説明した。
SP800-171の概要
ただ、一連の話は米国内に限らない。米国防総省(DoD)の案件を受注した米国企業が国内企業に再委託した場合、下請けとなる国内企業も責任を負うことになる。他方でDoDは2018年からCUI保護政策に沿った情報保護規定を制定し、日本の防衛装備庁も2023年から同運用を開始した。
だが、同庁はCUIを「保護すべき情報」、SP800-171から8項目に絞り込んだ「新情報セキュリティ基準」として定義付けた。西尾氏は「(米政府から情報)防御を同等にしてほしいと(日本政府に)強い要請があったと聞いている」と内情を説明する。
端的に述べれば、防衛装備庁の防衛産業サイバーセキュリティ基準は、DoDのセキュリティ基準や各条項を同等にしたものである。おそらく国内の軍事関連企業や関連企業もSP800-171の監視や制限を受けることになるだろう。一説では国内軍事関連企業は約9000社に及ぶため、影響は少なくない。
さらに米政府はソフトウェアサプライチェーン攻撃対策として、2021年にEO 14028を発している。背景には中国やロシアのサイバー攻撃集団による被害・損害が多発し、ソフトウェア部品表(SBOM)の提出・公開の義務化や記述内容の記述規定を設けるという。今後はSP800-171と同様に日本政府へもEO 14028に準じた対応が求められるだろう。
西尾氏は「EO 13556は2010年に発出されたもので、我が国はようやく追いついた。今後は2021年のEO 14028をたどらなければならない。よく『日本は10年遅れている』といわれるが、(一連の対応は)文字通りに表している」と指摘した。
米商務省電気通信情報局(NTIA)で検証中のSBOM構造
