ものづくりのサプライチェーンには数多くのプレーヤーが関わっている。サプライチェーンの規模が拡大するほど、サイバー攻撃に対するリスクも増大することになる。官民をつなぐ広範囲なサプライチェーンが形成される防衛装備の開発や生産においては、そのようなリスクが国家の安全保障に直結する可能性もある。C&Cユーザーフォーラム & iEXPO2018の特別セミナー「サイバーセキュリティ最新動向と米国セキュリティ基準対応について」では、そのリスクを回避するための具体的な取り組みが紹介された。

防衛産業のセキュリティ強化を目指して

　「防衛産業は、数々の民間企業を含むサプライチェーンによって成り立っています。そのサイバーセキュリティの強化が現在求められています」

　最初に登壇した藤井敏彦氏は、そのような説明で講演の口火を切った。防衛省の外局で、装備品の開発や調達を担う防衛装備庁。その長官官房審議官を務めるのが藤井氏である。

　「米国と同盟関係にある日本は、防衛装備に関する開発・研究・製造の多くを米国とともに進めています。これは、日米政府だけでなく日米の民間企業が防衛装備の情報をシェアしていることを意味します。したがって、両国のサプライチェーンのサイバーセキュリティを強化する必要があるのです」

　防衛装備庁が、来年度からの導入を予定している新しい調達基準は、藤井氏によれば「NIST SP800-171と同程度のセキュリティ基準」である。NISTとは、米国国立標準技術研究所の略称で、情報セキュリティ関連規格「SP800シリーズ」の考案で知られる機関だ。また、SP800-171はNISTが発行する、米連邦政府以外でCUI^＊を扱う情報システム・組織のセキュリティ基準である。

• ※ 「CUI」とは、「Controlled Unclassified Information＝保護対象となる非秘密情報」のことで、一般情報(Unclassified Information)の中で漏洩することによって安全保障上の問題となる可能性のある情報を意味する。

　「中でも、米国防省は、契約するCUIを取り扱う防衛関連企業には、2017年12月末までにSP800-171相当のセキュリティ対策を要求しました。このセキュリティ基準は、現在国際標準となっている情報セキュリティマネジメントシステム認証であるISO/IEC27001よりもレベルが強化されており、インシデントの特定と防御だけでなく、インシデント発生後の検知、対応、復旧も十分にカバーしている点に大きな特長があります」

　国が防衛分野で取り組もうとしているこのようなセキュリティへの取り組みは、民間のさまざまな分野のサプライチェーンのセキュリティ対策の一つの範となりうると藤井氏は言う。

サイバーセキュリティを政府全体の取り組みに

　米国は現在、クラウドのセキュリティ国際標準策定をリードしている。これは、米国の行政においてクラウド使用がスタンダードとなることを前提としたものだ。米国政府のクラウド調達の基準である「FedRAMP」が、今後はグローバルな標準となっていくと見られている。

　「政府と契約している企業が外部のクラウドサービスを利用してCUIを保存・処理・送信する場合、クラウドサービス事業者は、FedRAMPのセキュリティレベルを満たしている必要があります」

　行政サービスのデジタル化とクラウド化による「デジタルガバメント」を目指している日本政府にとっても、米国同様の取り組みが求められていると藤井氏は話す。昨年12月、経産省は関係省庁との連携によって「産業サイバーセキュリティ研究会」を設置した。同じく防衛装備庁も、昨年2月、23社4団体と「防衛調達における情報セキュリティ強化に関する官民検討会」を設置している。今後は、政府全体でのサイバーセキュリティ対策がさらに進んでいきそうだ。

　「現在の課題は、より低コストでセキュリティ対策を実現すること、わが国のクラウド事業者に米国と同レベルのセキュリティ基準を満たしてもらうこと、そしてサプライチェーンに加わる中小企業をしっかりケアしていくことです。それらの課題をクリアして、わが国の防衛産業のセキュリティを確立していきたいと考えています」

キーワードは「サイバーレジリエンシー」

　続いて登壇したのは、藤井氏の講演でも言及されたNISTの研究員、ロン・ロス氏である。

　「現代は多くの人々がコンピューターに依存して生活している時代です。コンピューターの世界では、OS、ファームウェア、アプリケーションなどが相互につながって複雑系を形成しています。その複雑系の弱いところに攻撃を仕掛けてくるのが、国家、テロリスト、犯罪組織、恨みを持った個人といった私たちの“敵”です。敵は情報を盗み、悪意のあるコードをコンピューターに送り込み、システムを停止させます。その危険性に私たちは常にさらされているのです」

　そうロス氏は言う。その危険を回避するために必須なのがサイバーセキュリティだ。では、具体的にそれをどう実現していけばいいのか。ロス氏は「有効なのは多次元戦略」と述べる。すなわち、「境界を設けて対象を守る」「攻撃によるダメージを最小限に抑える」、そして「攻撃からの回復力（レジリエンシー）を備える」という三つの次元の対策を設けることである。

　キーワードは「サイバーレジリエンシー」である。ロス氏はそれを「サイバー攻撃を予期し、攻撃に耐え、攻撃から回復し、適応する能力」と定義する。レジリエンシーは、日本語では「回復力」のほか「弾力性」「柔軟性」、あるいは「しなやかな強さ」などと訳される。仮にウイルスなどに潜入されても、それに柔軟に対応し、被害を最小限に食い止め、被害から早期に回復する。そのような仕組みを組み込むことで、システムはより強靭になるとロス氏は説明する。

求められる官民のパートナーシップ

　NISTが作った情報セキュリティ関連規格 「SP800シリーズ」にも、そのような思想が反映されている。日本がセキュリティの基準としようとしている「SP800-171」は、米連邦政府以外の団体、すなわち、契約企業、地方自治体、学術・研究機関などが扱うCUIをサイバー攻撃から守ることを目的としている。

　「CUIには82の異なるカテゴリーがあります。その情報を連邦政府以外の企業や団体が取り扱う際のセキュリティ保護の基準がSP800-171です。私たちはCUIを守るためのルールを作り、それを連邦政府と関係する団体に伝え、時間をかけて採用してもらいました。連邦政府は現在100万以上の契約を外部団体と結んでいますが、そのすべてにおいてSP800-171の基準が満たされています」

　連邦政府と取引のある事業者は、自社のすべてのシステムをこの基準で保護しなければならないわけではない。CUIに該当する情報を一つのドメインに「隔離」 することで、コストをかけずに基準を満たすことができる。

　ロス氏によれば、現時点における最悪のサイバー攻撃は「APT（持続的標的型攻撃）」である。長期間にわたって持続的にターゲットを攻撃してくる手法だ。サプライチェーン全体をこのような攻撃から守っていかなければならないとロス氏は強調する。

　「高度な国防は、官と民の取り組みがワンセットになることで実現するものです。重要なのは官民の信頼関係です。情報の透明性とトレーサビリティを双方向的に確立することによって、信頼に基づいたパートナーシップを作ることができる。そう私たちは考えています」

　NISTにいつでも連絡してほしい。協力して両国のよりよい社会を、そしてよりよい未来を作っていこう──。そんな力強いメッセージでロス氏はこの日の講演を終えた。