情報漏洩対策ツール「漏洩チェッカー」の詳細はこちら

防衛産業サイバーセキュリティ基準とは

防衛産業サイバーセキュリティ基準とは、防衛省が新たに策定したセキュリティ基準のことです。防衛産業サイバーセキュリティ基準では、従来のセキュリティ基準と比較して、攻撃の早期発見や攻撃を受けた後の対策などが盛り込まれています。防衛省は2023年度からこの防衛産業サイバーセキュリティ基準を適用するために、関連企業に対応を求めています。

防衛省が防衛産業サイバーセキュリティ基準を作成する際に参考にしたのが「NIST SP800-171」です。「NIST SP800-171」とは、米国が採用しているセキュリティガイドラインのことです。このセキュリティガイドラインで規定されている基準と同レベルの対策を実施するために「NIST SP800-171」を参考にしたと言われています。

「NIST SP800-171」とは

「NIST SP800-171」とは、米国立標準技術研究所(NIST)が策定した「NIST SP800シリーズ」の一部のことです。「NIST SP800シリーズ」には、機密情報の管理などをまとめた「NIST SP800-53」や、パブリッククラウドのセキュリティーガイドラインをまとめた「NIST SP800-144」などがありますが、「NIST SP800-171」は、CUI(Controlled Unclassified Information)、「機密情報以外の重要な情報」を保護するための対策をまとめたものとなっています。CUIに分類されるカテゴリーは、重要インフラや防衛、輸出管理、金融などが挙げられます。また、SP800シリーズは、国際標準のISO/IEC 27001(ISMS)よりも内容が強化されているのが特徴であり、インシデントの防止だけではなく、インシデント発生後の検知や対応、復旧などに関するセキュリティ対策も網羅しています。

防衛産業サイバーセキュリティ基準の新設背景

防衛省が防衛産業サイバーセキュリティ基準を新設した背景は、下記の2つが関連しています。

1.サプライチェーンを標的とするサイバー攻撃が世界各国で発生している

近年、サプライチェーンを標的とするサイバー攻撃が世界各国で多発しており、日本国内でも防衛関連企業をターゲットにしたサイバー攻撃が発生しました。

例えば、2020年1月20日に三菱電機は、2019年6月に検知したサイバー攻撃によって一部の業務情報や個人情報8,122人分が流出していたことを公表しています。2020年1月31日にはNECも2016年以降に受けたサイバー攻撃によって、防衛事業部門のファイル2万7,455件が不正アクセスを受けたことを発表しています。

どちらも「情報流出による被害は報告されていない」ことを発表されましたが、防衛関連企業を狙ったサイバー攻撃が発生しているのは事実です。また、これらの攻撃は直接取引がない2次請け・3次請けの企業もターゲットになる点が厄介な点だと言われています。元請けである大手企業の場合、相応のセキュリティ対策を講じているケースが多いですが、2次請け・3次請けの企業のセキュリティの脆弱性を突かれ、そこから情報が盗まれるという事例が頻発しているのが現状です。

参考:「三菱電機とNECは氷山の一角、セキュリティー製品にまさかの脆弱性リスク」(日経クロステック)

このようなサプライチェーンをターゲットにしたサイバー攻撃から企業の重要情報を守るために「NIST SP800-171」が注目されるようになったのです。

2.諸外国からの信頼性を向上させる

さらに、防衛産業サイバーセキュリティ基準を新設することによって、諸外国からの信頼性を向上させる狙いもあります。

日本の防衛産業は、欧米企業がサイバー攻撃などの情報共有を目的としたネットワークである情報共有分析センター(ISAC)が設置されていません。そのため、「日本は情報を取り扱うセキュアなシステムが整備されていない」「日本の現在の法律では、防衛関連企業の従業員が情報にアクセスするための適切なトレーニングや確認を受けられない状態である。」といった不信感を与える恐れがあります。
そこで日本国内では、平成29年2月に主要な防衛関連企業等(23社4団体)との間で「防衛調達における情報セキュリティ強化に関する官民検討会」を設置することになりました。この検討会では下記の3点を主な目的としています。

・防衛関連企業との意見交換による問題点の把握
・米国の国防調達における新標準(NIST SP 800-171)の分析
・我が国の防衛調達における新情報セキュリティ基準の策定の検討

特に3つ目の新情報セキュリティ基準の策定の検討では、防衛関連企業に要求する情報セキュリティ基準について、NIST SP 800-171と同程度まで強化するといった狙いがあります。強化を進めていくことで、米国などの諸外国からの信頼性を向上させるのが主な目的です。

しかし、現在の日本国内では米国のNIST SP 800-171を満たすクラウドサービス事業者は存在しません。今後、防衛関連企業に対してクラウドサービスの提供を図る国内事業者は、新基準を満たす必要があります。また、日本国内の防衛産業も、新基準に対してもより安価に対応するための方策が求められるでしょう。さらに、新基準への対応は下請けとなる中小企業も対象となっています。

中小企業が取るべき3つのセキュリティ対策

新基準に対応するために、中小企業が取るべき主なセキュリティ対策は下記の3点です。

1.適切なパスワード設定・管理を実施する

昨今のクラウドサービスの増加により、ID・パスワードを使用してクラウドサービスやアプリケーションにログインする機会が増えています。しかし、これらのID・パスワードが第3者に悪用されると社内の顧客情報や機密情報などの漏洩に繋がる可能性が高まるため非常にリスクがあります。そのため、他人に推測されにくく、かつツールなどの機械的な処理で割り出しにくいパスワードを作成するようにしましょう。安全なパスワードの作成条件は下記の通りです。

・名前などの個人情報から推測できないものになっている
・英単語などをそのまま使用しない
・アルファベットと数字が混在している
・適切な長さの文字列になっている
・安易な組合せや推測しやすい並び方にしない

さらに、安全なパスワード作成だけでなく、作成したパスワードが他人に知られないように自身で管理する必要があります。また、パスワードは定期的に変更するよりも、パスワードを複数のサービスで使い回さないようにすることが求められています。

近年、1つのID・パスワードのみで様々なクラウドサービスにログインできる「シングルサインオン(Single Sign-On)」を導入する企業が増えています。シングルサインオンを導入することで、利用者の利便性向上やパスワード管理の負担軽減、パスワードを漏洩するリスクを軽減することが可能です。

2.内部社員のファイル操作やPCのログを適切に管理する

企業のセキュリティ事故の要因は、外部からのサイバー攻撃だけではなく、内部社員の誤操作や不正行為なども挙げられます。昨今のテレワークの普及に伴い、社内のデータを社外で取り扱うケースが増えており、データの不正コピーや持ち出しなどを可視化できるツールの必要性が高まっているのが現状です。

ログ管理製品を導入することで、許可のないクラウドサービスの利用や不正なファイル操作、許可のないWebサイトの閲覧などを把握できるようになります。

3.外部からの攻撃と内部の漏洩どちらも防ぐ仕組みを構築する

外部のサイバー攻撃と内部の情報漏洩どちらも防げるツールとして有効なのがUTM(Unified Threat Management=統合脅威管理)です。UTMは製品によって搭載機能は異なりますが、ウィルス対策をはじめ、ファイアウォールやVPN、不正侵入防御、コンテンツフィルタリングなど多くのセキュリティ機能を搭載しています。

様々な種類のセキュリティ製品を導入しなくてもUTMで基本的なセキュリティ対策は網羅できるため、コストパフォーマンスが高い点が特徴です。UTMは、予算が限られているケースが多い中小企業にとって、特に最適なセキュリティ製品だと言えるでしょう。

参考:UTMとは?製品比較、セキュリティ対策上の必要性を考える | 漏洩チェッカー

まとめ

防衛産業サイバーセキュリティ基準は、防衛省が新たに策定したセキュリティ基準であり、関連企業に対して適切な対応が求められています。新基準への対応は下請けとなる中小企業も対象です。

新基準への対応や、多様化・巧妙化しているサイバー攻撃に対応するためにも、まずはパスワードの設定などの基本的なセキュリティ対策ができているかを確認するようにしましょう。さらに、内部社員の不正な行為や情報漏洩などを防止するためにも、ログ管理製品やUTMなどの導入も検討してみてください。