2019年03月26日
防衛産業から波及 ~企業が守る情報保全基準が厳格化へ~
セキュリティ・コラム by MM総研所長 中島洋
サイバー攻撃の激化に対応して米国・国防総省の動きに合わせ、日本政府も企業の情報保全を図るための基準を厳格化する。当分は防衛省の調達に関わるシステム製品が対象になるが、サイバー攻撃についてはサプライチェーンのすそ野まで、脆弱性をついて浴びせかけてくる可能性が指摘されている。いずれ、サプライチェーンをさかのぼってチェックすることが求められるようになる。その新しい基準がどこで自社の取引と関係してくるか分からない。情報システム関係者は、その内容と基準作りの動向に注目しておかなければならない。対岸の火事ではない。
米国がサイバー攻撃に神経をとがらせているのはトランプ政権以前からである。
北朝鮮からの攻撃、ロシアからの攻撃、さらに中国からの攻撃と推定されている「サイバーテロ」によって個人情報の流出、行政情報の流出、企業機密の流出、軍事関連の情報の流出、と被害が広がっている。攻撃元を特定する中で、中国製品に仕掛けられているスパイ機能を理由に同国製品の排撃を主張するに至ったが、たまたま大統領がトランプの時期になっただけで、「情報戦争」を担当する米国機関は大統領がだれであれ、現在の中国製品排撃の政策を要請しただろう。
単に製品レベルだけでなく、部品レベルのファームウェア、情報システムのソフトウェアにまで警戒の範囲を広げるのは当然である。軍事情報やある範囲で機密を共有することになる同盟国にも同じレベルの情報保護の厳格化を求めるのも、また、当然である。
基準の内容は「情報へのアクセス制限」「通信の監視」「記憶媒体の保管方法」など約100項目に及ぶというが、その中で、ファイルの防衛についての考え方がどうなのか、気になる。「記憶媒体の保管方法」の詳細が知りたいところだ。部品メーカーや製品メーカーの企業内の記憶媒体の保管だけなのだろうか。 特に、日本のいくつかの研究所や企業で開発し、話題になっている「秘密分散」の考え方もぜひ考慮してもらいたいものである。「情報漏洩を防ぐ」ということばかりに関心がゆき、保護基準の対象が「漏洩防止」にのみ絞り込まれているとすれば残念だ。「秘密分散」では、ファイルを裁断して意味のないものにしてから複数の記憶媒体に分散して保管している。この「裁断されて意味がなくなった」断片的なデータはそれぞれが流出しても再現性がない仕組みにでき、「情報」の「流出」を防ぐことができる。
米国の国防総省の基準に盛り込ませる努力は必要だが、その前に、日本の基準は「日本発」のこうした技術も織り込んで「日本独自」を付け加えてもらいたい。
日本政府は、まず試験的運用から始め、段階的に広げてゆく方針である。防衛省の調達品に使われる製品やその部品のメーカーは新基準を達成するための事業計画を提出することを要求されることになる。 今春にも1~2社程度で試験的に運用を始める。20年度以降段階的に広げ、契約を結ぶ企業に基準達成に向けた計画の提出を要求する。「三菱重工業や川崎重工業など防衛省と直接契約を結ぶ約300社程度」が対象になる見込みだ。しかし、その安全性を確実にするためには、さらにその取引先へとサプライチェーンを遡って取引メーカーに基準達成のための計画を要求されることになろう。日本の防衛産業は約2兆円規模で、戦闘機と戦車はそれぞれ1000社、護衛艦は約7000社の企業が関わると言われる。少なくとも、下請け企業も同水準の対応が求められることが予想される。