防衛産業におけるサイバーセキュリティ関連規則

本連載は、日経産業新聞（2023年8月）に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。

防衛省のサイバーセキュリティ関連規則は、自衛隊におけるサイバーセキュリティ対策について定めたもので、米国の先進的な考え方を取り入れているのが特徴です。防衛産業にかかわる企業はもちろん、防衛産業以外の民間企業にもヒントになると言えるでしょう。

サイバーセキュリティ関連規則は、防衛省・自衛隊の情報システムと情報資産の保護に関する基本方針やルールを記載、情報の機密性を確保するための措置を盛り込んでいます。米国立標準技術研究所（NIST）が策定した情報セキュリティ基準「SP800‐53」や「SP800‐37」を参考に、情報システムを継続的に監視・評価するリスクマネジメントの仕組みを導入することを推奨しています。

改定前の規則には企業側の情報システムのセキュリティ管理策の見直しを担保する仕組みがありませんでした。しかし、今回の改定で、認可後も管理策が適切か継続的に監視・評価する仕組みとなりました。
改定の背景には、サプライチェーンの弱点を狙った攻撃が増えていることが挙げられます。情報処理推進機構（IPA）の「情報セキュリティ10大脅威2023」によると、2021年に4位だった「サプライチェーンの弱点を悪用した攻撃」は2位に浮上しています。セキュリティ対策が手薄な関連企業や取引先を踏み台に、標的の「本丸」組織を攻撃する手法への対策が急務となっています。

防衛省は2023年4月防衛産業にかかわる企業を対象にした「防衛産業サイバーセキュリティ基準」を施行しました。近年高度化するサイバー攻撃は、組織がどれだけセキュリティ対策を実施しても完全に防ぐことは困難です。サイバーセキュリティ関連規則の1つである防衛産業サイバーセキュリティ基準は、防衛装備品の調達先企業の重要資産を守るため、攻撃の早期発見や事後対処までの措置について詳細な内容を盛り込んだものとなっています。

具体的には、防衛省は契約する民間企業に対し、不正アクセスや不正通信を検知するための専用の検知システムの構築や、生体情報など複数の要素を利用した認証システムの導入を求めています。改定後の基準に対応するには、企業側は専門的かつ高度な知識、コスト、システムの運用負荷などが発生します。特に、中小企業にとって負担が大きくなる可能性があります。

2022年12月に閣議決定した政府の国家安全保障戦略は、防衛力の抜本的強化を目標に掲げています。防衛産業に関連するサイバーセキュリティ対策の強化は、官民双方にとって喫緊の課題です。日本のサイバーセキュリティへの対応は先進国のなかでも周回遅れと揶揄されることが多く、このままだと重要な防衛機密の共有などで他国から懸念を示されかねません。

今回の規則改定が、防衛産業に限らず日本全体のサイバーセキュリティ能力の向上につながれば、総合的な安全保障強化という点でも意義は大きいと言えるでしょう。

日経産業新聞　2023年8月25日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
シニアコンサルタント　小熊 航一郎