CUIを持つ企業は
「NIST SP800-53」の対応が前提

　NIST SP800-171は一つの目安であり、米国政府と直接取引を行う企業は、それ以上のセキュリティー基準に準拠しなくてはならない。

　というのも、米国では、米国政府と取引がある企業に関して、17年12月末までにNIST SP800-171への準拠を完了させたが、この監査においては、NIST SP800-53の基準を用いて実施したのである。

　NIST SP800-53とは、連邦政府情報システムおよび連邦組織を対象にしたセキュリティー管理およびプライバシー管理を定めたものであり、政府との取引先を対象に制定したNIST SP800-171よりも厳しい内容となっている。

　例えば、NIST SP800-171では、CUIの管理においてはパスワードをかけることが示されているだけだが、NIST SP800-53では、より強固なパスワードを用いることが示されている。また、退職した社員の情報については、NIST SP800-171では手作業で削除することで準拠することになるが、NIST SP800-53では自動的に削除されることが定められている。

　そうした厳しい基準によって監査が実施されたことで、多くの企業が未対応であるとの判定を受ける事態が発生した。これ以降、米国政府と直接取引したり、CUIを持つ企業は、NIST SP800-171よりも、NIST SP800-53に対応することが前提というのが共通認識になっている。

セキュリティーを巡る
欧州の動きにも要注目

　米国政府は、NIST SP800-171を国際標準化とすることを検討しているほか、主要国でもこの動きに追随する流れがすでに出ている。日本も、その流れの中にあるのは明らかだ。

　一方で、欧州の動きにも注視しておく必要がある。欧州理事会および欧州ネットワーク情報セキュリティ庁は、18年5月10日までに国際標準で定められたサイバーセキュリティー技術を用いた社内システムに移行しなければ、欧州での事業活動を許さない新たな法律を発効。また、GDPR（一般データ保護規則）の運用を開始し、情報漏えい企業に対しては、グループ連結売上げの4％の罰金を課す方針を示している。多摩大学大学院の國分教授は、「この条文の中では、セキュリティーに関する具体的なタスクが義務化され、罰則規定まで設けられている。日本企業にとって、欧州市場におけるビジネスの新たな障壁になる可能性が高い」と指摘する。

　また、NISTと、欧州理事会および欧州ネットワーク情報セキュリティ庁では、サイバーセキュリティーに対する技術レベルでISO化の検討を進めており、今後、これを基にして、世界各国に、国際標準として採用することを求めることになりそうだ。言い方を変えれば、NIST SP800-171とGDPRが密接なつながりを持つことになる。

セキュリティー対策厳格化
日本でも本格検討

　19年4月から、防衛省において試行導入される新防衛調達基準が、すでに、米国で実施されているNIST SP800-171をベースにしていることを考えると、日本でも米国と同様のことが起こる可能性が高いことが分かるだろう。

　防衛装備庁の藤井長官官房審議官は、「防衛省や防衛装備庁の中を守ればいいというわけではない。調達に関しては、一般企業を含むサプライチェーン全体において、機微な情報を守る必要がある。そのためには、防衛調達における契約企業に適用されるセキュリティー基準を、米国の新たな基準と同程度まで強化する必要がある」と語り、「防衛産業だけが堅牢性を上げていくだけでなく、広い産業において、さまざまな企業が守らなくてはならないものは何かを知り、自社のセキュリティー強化だけでなく、サプライチェーン全体でのセキュリティー強化に取り組んでほしいと考えている。防衛産業にかかわる企業以外も、こうした調達基準を用いることが、日本全体のセキュリティー環境を高めることにつながる」と話す。

　経済産業省の産業サイバーセキュリティ研究会では、ワーキンググループ1において、制度・技術・標準化に関する検討を行っており、ここでは、サイバー・フィジカル・セキュリティー対策フレームワークを標準モデルとして策定する取り組みを行っている。その中で、今後は、産業分野横断型サブワーキンググループを設置し、防衛産業だけでなく、ビル、電力、自動車産業、スマートホームなどの分野にもこれを適用。防衛産業の取り組みが、ほかの産業の道標になることを想定しているという。

　安倍晋三首相も、18年12月の記者会見において、政府のITシステムの調達について言及。「サイバーセキュリティーを確保する上で、情報の摂取、破壊、情報システムの停止など、悪意のある機能が組み込まれた機器を調達しないようにすることが極めて重要であると認識をしている。そのため、政府におけるIT調達にかかわるサイバーセキュリティーの一層の確保を図るため、関係省庁による申し合わせを行ったところである」と語っている。

NIST SP800-171相当の
デバイスを採用する動きが加速

　日本の政府調達において、NIST SP800-171相当とされる調達ガイドラインが採用されることで、ITセキュリティーに対する考え方は根本から変わる。

　日本では、これまで、国際標準であるISO27001に準拠することが政府入札の条件になっていたが、多摩大学大学院の國分教授は、「ISO27001は、情報セキュリティーマネジメントシステムであり、精神論といえるものしか示されていないのが実態。技術フレームワークであるNIST SP800-171は、7割の項目が技術面から、何をどうすべきか、ということが細かく示されており、ISO27001とはまったく異なる要件をクリアすることが必要」とし、「今後の政府入札に用いられる可能性がある」と指摘する。

　また、セキュリティーに対しては、データの漏えいを阻止したり、保護したりといった捉え方ではなく、経営という観点や、事業継続という観点で捉えることが重要だ。

　仮に、NIST SP800-171のブラックリストに記載されているPCを、社内ITシステムの一部使っていただけで、サプライチェーンから外れることになるといったことが、米国同様、日本でも起こる可能性がある。

　その結果、サプライチェーンを維持するために、NIST SP800-171に準拠したPCやスマホに入れ替えなくてはならないという事態に陥る企業もあるだろう。その影響は、当然、大手企業だけでなく、中小企業などにも及ぶ。

　防衛装備庁の藤井長官官房審議官は、今後の新たな調達基準の導入に向けて、「新基準に準拠するために、コスト増にならないようにするための課題解決や、下請けとなる中小企業に対するケアをどうするのかといった課題がある」と指摘する。このあたりは、今後、議論する必要があるだろう。
 
　こうした中、米HPでセキュリティリサーチ＆イノベーション担当フェロー兼バイスプレジデントを務めるBoris Balache氏は、「今後のデバイスの調達においては、セキュリティー要件を含むことが前提となり、その最低限のレベルは、NIST SP800-171に準拠することになる」と言う。日本HPが国内で販売するPCは、NIST SP800-171に準拠しており、さらに、NIST SP800-171に対応するための業務コンサルティングやシステム構築の提供も開始している。富士通でも同様の取り組みを開始しているが、日系PCメーカーを含めて、多くのIT企業がほとんど手つかずの状態だ。

　今後、IT業界の企業は、製品やサービスが、NIST SP800-171に準拠していることを明確に示す必要が生まれそうだ。

クラウドサービスも
NIST SP800-171準拠が必須化か

　防衛省の新たな調達基準の試行導入をきっかけに、日本政府は、調達に関わる基準を刷新することになる。

　政府の高度情報通信ネットワーク社会推進戦略本部と官民データ活用推進戦略会議は、18年12月19日、合同会議を開催し、ここでまとめた基本方針を基に、19年度春を目標に、「新たなIT政策大綱」として取りまとめることに明らかにした。

　この中は、IT調達に関わる国の物品や薬務の調達方針、調達手続きに関する申し合わせが含まれており、政府のIT調達に関するサプライチェーンリスク対策の実効性を確保するための具体的な方策を提示することが盛り込まれた。

　一方で、18年8月には、経済産業省と総務省において、クラウドサービスの安全性評価方法を検討するため、有識者から構成される「クラウドサービスの安全性評価に関する検討会」を設置。ここでもガイドラインが示されることになる。

　現在、パブリッククラウドの政府調達においては、第三者による認証や、各クラウドサービスの提供している監査報告書を利用することを示し、ISO/IEC 27017による認証取得、クラウドセキュリティ推進協議会によるクラウドセキュリティー基準であるCSゴールドマークの取得、米国FedRAMP（Federal Risk and Authorization Management Program）への準拠といった、いずれかの制度の認証を取得し、監査フレームワークに対応していることが推奨されている。すでに、アマゾン・ドットコムやマイクロソフト、グーグルがFedRAMPへの対応をサイト上で公表しているが、「日本では、NIST SP800-171には準拠した国産クラウドサービス事業者が存在しておらず、今後、防衛関連企業にクラウドサービスを提供する企業は、NIST SP800-171をベースにした新たな基準を満たす必要がある」（防衛装備庁の藤井長官官房審議官）という指摘もある。

　日本政府は、17年5月に、「世界最先端IT国家創造宣言・官民データ活用推進基本計画」および「デジタル・ガバメント推進方針」により、政府情報システムを整備する際に、クラウドサービスの利用を第一候補とする「クラウド・バイ・デフォルト」のコンセプトを打ち出した。これにより、政府におけるクラウドの広がりとビッグデータの活用が一般化しようとしている。こうした流れの中で、クラウドサービスにおいても、新たな調達基準を適用した選別が進むことになるだろう。

「セキュリティーは経営課題」
意識変革のきっかけになるか

　このように、防衛省が導入する新たな調達基準は、今後、IT業界やITを活用する全ての企業に影響を与え、大きなうねりを起こす可能性がある。

　「どんなITシステムを調達するかが、企業経営にも影響する可能性を持つ」と、多摩大学大学院の國分教授は語り、「サイバーセキュリティーは、技術や情報漏えいの話でなく、経営戦略として考えていく必要がある。これからの時代は、どんな技術を採用しているかということではなく、何を利用しているかが経営を左右することになる。裏を返せば、NIST SP800-171で推奨された製品や技術、サービスを利用していることが営業ツールになりうる」とする。

　日本HPの九嶋俊一・専務執行役員パーソナルシステムズ事業統括も異口同音に、「政府の調達基準の変更は、民間企業にも広がっていくことになる。セキュリティーは、もはや経営課題であり、データ保護という捉え方ではなく、事業継続という観点で捉えなくてはならない。どんなPCを選定するかが、セキュリティーの基準になってくる」と話す。

　防衛省が導入する新たな調達基準と、NIST SP800-171がもたらすうねりは、いま思っている以上に大きなものになるかもしれない。
 

NIST SP800-171が及ぼすモノづくりの変化

　NIST SP800-171は、IT産業におけるモノづくりの考え方や、ITを利用する企業の調達の仕方、運用の仕方に変化を及ぼす点も見逃せない要素の一つだ。

　というのも、NIST SP800-171においては、従来の「壊れない」「防御すればいい」という考え方は通用せず、ITシステムに脅威が侵入することを前提としたモノづくりを行うことが前提となり、同時に、ハッキングされたあとに、リブートするまでのシナリオを提示することが求められる。

　そして、この考え方が前提となることは、日本の企業にとってはマイナス要素に働く可能性があると、多摩大学大学院の國分教授は指摘する。

　「仮に、脅威が侵入した際には、ログを取り、問題を解決すればいいという、IT産業的な考え方ではなく、製品の設計思想そのものとして、ハッキングされることを前提に、製品化段階から、その解決に向けたシナリオを明確に示す必要があり、それを世界に対して説明しなくてはならない」と前置きし、「壊れないモノづくりを目指してきた日本の企業には、発想の転換が必要になる」とする。

　日本は、IoT分野において、リーダー的存在の一角を担うが、これらのモノづくりにおいても、壊れないモノづくりからの発想を変えないと、NIST SP800-171には準拠できず、調達対象から外れる可能性が生まれる。

　「IoT機器の設計段階で、考慮すべきサイバー攻撃のシナリオ数が、品質指標となってくる。これまでの考え方のままでは、日本のメーカーは劣位になる可能性がある」というわけだ。