2019年4月から日本でも「NIST（米国標準技術研究所）SP800-171」相当のセキュリティー対策を求める新防衛調達基準が試行導入される。防衛省と取引がある企業だけでなく、幅広い業種に影響を及ぼす可能性が指摘されている。対象となる企業は約9000社とみられ、「セキュリティーは経営課題」という機運をさらに推し進めるきっかけになりそうだ。NIST SP800-171は、企業が今後取り組むべきサイバーセキュリティーの新たな基準になるのか。（取材・文／大河原克行）

セキュリティー意識の変革なくして
日本企業の成長なし

米国政府機関が策定した
NIST SP800-171

　防衛省の新たな調達基準の影響を理解するには、NIST SP800-171を理解しておく必要がある。

　NIST SP800-171は、米国政府機関が調達する製品や技術などを開発・製造する企業に対して、一定のセキュリティー基準に準拠するように求めるガイドラインだ。保全が必要な情報（Controlled Unclassified Information：CUI）について、調達先企業などが取り扱う際に順守すべきセキュリティー要件を定めている。これによって、米国政府機関が使用する機器などがハッキングされにくい環境の整備や、取引先からの情報漏えいを阻止することを目指しているというわけだ。

　この背景には、米国政府に向けたハッキング事件がある。

　例えば、ステルス戦闘機「F-35」の開発において、契約事業者である豪州の防衛企業が脆弱なIDとパスワードを利用していたため、F-35に関する30GB分のデータが盗まれたという事件があった。16年には、米セキュリティー会社が、携帯電話のフラッシュメモリーのファームウェアに仕込まれている不正プログラムを発見。それが中国企業が開発・製造したものであり、ユーザーの同意なしに、72時間おきに携帯電話内の情報が中国のサーバーに送信されていることが分かった。

　米国では、安全保障政策の一つとして、中国製IT機器の利用禁止を発表。中国企業5社の電子通信製品の取引を禁止した。昨今、話題となっている中国ファーウェイの締め出しもこの流れの中にある。

　さらに、米国政府は、調達における製品、技術、サービスの推奨リストをカテゴリーごとに公開。その一方で、ブラックリストも公開しており、スマートフォン、アンチウイルス、仮想化、リモートアクセス管理などの領域では、日本企業の製品の一部が含まれているという。

　ちなみに、NIST SP800-171の策定は、トランプ政権になって、新たにスタートしたものではない。発端となったCUIの定義や登録、保護策に関する大統領令が発行されたのは10年11月のことであり、オバマ政権時代から着々と進められてきたものだ。トランプ政権による強硬策という意味合いで捉えるのではなく、米国が段階を踏んで進めてきたものと理解しておいたほうがいい。

新セキュリティー基準の影響が
あらゆる企業に波及

　防衛省が19年4月から試行導入する新防衛調達基準は、防衛省が調達する機器などを対象に、一定のセキュリティーレベルを有することを定めたものだ。防衛省が調達する製品や技術などを開発、製造する企業に対しても、一定のセキュリティー基準に準拠するように求めている。
 
　背景には、運用段階でのセキュリティー対策だけでなく、調達段階からセキュリティー対策を図り、使用している機器の安全性を確保する狙いがある。特に防衛調達は、「海外との共同研究や開発が多く、同盟国と同等のセキュリティーレベルを維持することが重要な課題となっている」（防衛装備庁の藤井敏彦長官官房審議官）という。
 
　防衛調達のセキュリティーガイドラインの策定は米国が先行しており、NIST SP800-171では14分野109項目にわたる具体的なセキュリティー要件を定義。16年10月には、米国防総省は取引を行う全ての企業に対してNIST SP800-171に準拠したITシステムを利用しなければならないとの通達を出し、17年12月31日までに、これを順守するように徹底してきた。

　防衛省が、19年4月から開始する新防衛調達基準も、この流れに合わせたもので、NIST SP800-171相当が採用されることになる。

　日本政府は17年2月に、防衛調達における情報セキュリティー強化に関する官民検討会を23社4団体により設置し、防衛調達における新情報セキュリティー基準策定の検討を開始。18年9月までに7回の検討会を開催し、ここで設ける基準をNIST SP800-171と同等にすることを決定した。

　対象となるのは、防衛省との取引がある約9000社の企業だ。しかし、この制度の導入が本格化すれば、制度の影響が及ぶのは、直接取引がある約9000社だけに限定した話ではなくなる可能性が高い。大手企業だけでなく、下請けとなる中小企業にも影響がおよび、日本のあらゆる企業に影響することが予想される。

グローバル経営に
NIST SP800-171対応は必須になる

　NIST SP800-171の対象は、米国政府と調達契約を結んだ直接取引がある企業だけではない。

　例えば、米政府と直接取引を行う企業から見ると「孫孫請け」という立場の企業であっても、その企業が使用しているPCは、NIST SP800-171の基準を満たしたPCでなくてはならないと定めている。また、そのPCを搬入する物流会社の選定においても、NIST SP800-171を満たしたITシステムを導入していることが前提となる。

　つまり、米国政府の調達におけるサプライチェーン全体に関わる全ての企業が、NIST SP800-171による調達基準のガイドラインが適用されることになるというわけだ。
 
　この分野に詳しい、多摩大学大学院の教授でルール形成戦略研究所の國分俊史所長は、「NIST SP800-171に準拠しなければ『調達先対象から外れてくれ』と言われる危険性が、企業経営を左右するできごとだ」と警笛を鳴らす。そして、「日本の企業の多くは、NIST SP800-171に準拠することに対して、あまりにも危機感がなさすぎる。この仕組みを無視して、グローバル経営を推進することはできない。危機感を持たないことは、市場環境を誤認した状態で経営をしているのと同じだ」と指摘する。

　米国の各業界団体は対応に追われている。

　全米自動車産業協会（AIAG）では、18年5月から会員企業に向けて、NIST SP800-171のガイドラインへの対応を支援する体制を構築。北米電力信頼度協議会（NERC）や官民連携R&Dセンター（NCCoE）でも同様の動きが見られており、サプライチェーンに関わるあらゆる企業が、これに準拠するための取り組みを進めている。

　実際、FedEXやDHLといった米国の大手物流会社は、使用する情報システムなどに関して、すでにNIST SP800-171のガイドラインに準拠したものに刷新し、対策を実施済みだという。
 

「Controlled Unclassified Information（CUI）」とは

　NIST SP800-171では、企業などの非政府機関が、Controlled Unclassified Information（CUI）を取り扱う際に、順守すべきセキュリティー要件を定めている。この内容は、14分野109項目という多岐に渡るもので、具体的なセキュリティー要件を示している。

　対象となるCUIとは、「保全が必要な情報」と定義されるものだ。

　CUIは非機密情報ではあるが、「米国にとっての重要情報」であり、これらを広範囲に収集すれば、機密が特定される可能性がある情報といった意味合いで捉えることができる。

　そして、CUIは、米国政府が持つ情報にはとどまらず、一般企業が生成したり、保持したりする情報も含まれている。

　米国では、10年のオバマ前大統領による大統領令によって、各省庁がCUIに該当する情報を定義。16年9月には連邦規則で、CUIを処理、格納、通信する民間企業に対して、ITシステムを特定の技術体系で構築して、CUIを保護することを義務づけている。

　すでに、CUIとされた情報の中には、ヘルスケア企業が持つ個人情報や自動車メーカーが持つ自動走行のテストデータ、エネルギーの生産、生成、輸送、配分に関する情報、通信事業における基地局の通信データ、農業に関する経営情報、害虫情報などまで含まれる。このように、自動車、電力・ガス、ヘルスケア、重化学工業、食品と幅広い業種が対象になってている。

　そして重要なのは、企業側の意図とは別に、政府側がCUIであることを定義するという点だ。

　ここでCUIに定義された情報を保有する企業は、NIST SP800-171に準拠した形で、機器を調達し、運用しなくてはならない。

[次のページ]CUIを持つ企業は「NIST SP800-53」の対応が前提