アメリカが定めた基準が日本のビジネスに影響する?
――西尾さんの活動内容を教えてください。
私はもともと技術畑出身で、サイバーセキュリティの研究をしてきました。多摩大学 ルール形成戦略研究所 所長の國分所長との出会いがあり、今はこちらで首席研究員を務めています。これまでは官民問わず情報セキュリティに関する調達要件はISO 27001/2等をベースにしていましたが、米国のサイバーセキュリティ政策の影響を受けるものに関しては、基本的にNISTが発行する基準が必須となるという動きがあり、4年ほど前から政策提言活動をしています。
――セキュリティやコンプライアンスの文脈で「NIST」や「CSF」を目にしますが、そもそも何なのか、基本的なところから教えていただけますでしょうか。
NISTはアメリカの技術規格などを扱う政府の研究所です。同時多発テロ事件の技術検証も行いました。NISTでサイバーセキュリティを扱うのがITL(情報技術研究所)で、ここで基準を策定しています。
オバマ政権時代に戦闘機の図面情報流出を端緒として、Controlled Unclassified Information、いわゆるCUI(機密指定されていないものの管理対象とする情報)のセキュリティ強化の取り組みが始まりました。
――CUIを保護するためなのですね。どのように?
サイバーセキュリティのために、どのような考え方をもって取り組むべきかを示したのがCSFです。CSFの基本は特定、防御、検知、対応、復旧の5機能です。企業にどのような資産があり、それらにはどのような潜在的脆弱性があるかを「特定」し、穴があったらふさぐなど「防御」します。ここまでは侵入されないための方策で、かつてはここまでやれば十分でした。
しかし近年では、侵入後にいかに早く「検知」して、「対応」するかのレジリエンスが重要視されています。数年前のログを見て「攻撃されていたようでした」では検知になりません。検知はリアルタイムで攻撃を把握する必要があります。そうでないと対応につながらないからです。そして然るべき対応をした後に、安全にシステムを稼働させるのが「復旧」です。
――それではNIST SP800から始まる文書群はなんのためにあるのでしょうか?
CSFは単なるセキュリティの考え方であり概念に過ぎません。例えばサイバー攻撃で株価が暴落して、株主代表が経営者に対して損害賠償を訴えたとしましょう。法廷では攻撃したハッカーが悪いのか、防御を怠った経営者が悪いのかで争います。何を持って過失責任があると認めるのか、具体的な判断基準が必要になります。CUIを適切に保護する体制にあったのか否かを明確な基準を持って判断すべく、CSFの技術的実装要件として、乱立するSP800シリーズ文書の体系的索引としてSP800-171が制定されました。
この動きにはサイバー攻撃に関わる裁判を長引かせないために、アメリカ政府と法曹界がサイバーセキュリティ対策における善管注意義務をまとめたという意味合いもあります。民間企業向けの善管注意義務が記載されているのがNIST SP800-171です。
--アメリカと日本におけるNIST文書の位置づけはどう違いますか?
アメリカ国内ではNISTの標準文書は自国の機関が推奨するもので、法制化もされているので法的強制力があります。
一方、日本からすれば国外の基準なので「従う必要があるのか」と疑問を持つ人もいるでしょう。しかし安全保障の同盟国なのでそうは言っていられません。例えば戦闘機が離発着する滑走路の設備。同盟国で異なると国防の現場で支障が生じますので、同じ基準で守りましょうとなります。国防に加えて、政府調達基準や民事上の善管注意義務などが絡むので準拠する必要が出てきます。
新基準に対応しないことで生じるデメリットは図りしれない
--企業の事業活動とどう関連してくるでしょうか。
デジタル化されたCUIを扱うセキュリティ基準としてNIST SP800-171があります。これからビジネスのデジタル化やグローバル化を進めていくなら、各国のルールに従う必要があります。例えばアメリカで提訴され、ルールに従わないことが善管注意義務違反とみなされれば敗訴のリスクもあります。
ここで2つのなすべきことがあります。1つは基準準拠に向けた取り組みです。アメリカに法人や開発拠点などがあれば、国内の本社も含め、NISTに従いセキュリティ対策を施す必要があります。NIST SP800-171は自己宣言式なのですが、もしインシデントが発生して、事後調査によって準拠していないことが判明したら各省庁が定める契約要件への違反に関する明らかな過失となります。これは賠償金請求や制裁の対象となり、場合によっては国家安全保障法の枠組みで裁かれる可能性があります。
またNIST SP800-171には取引先にCUIを一部でも共有する場合に、同等のセキュリティ水準を求めるフローダウンの考え方が存在するため、準拠していないことで、すでに準拠している企業のサプライチェーンから外されていくリスクも考えられます。選択肢の1つとしてSP800-171に準拠しているAWS、Azure、GCP等のパブリッククラウドを使う方法があります(詳しくは後述)。
もう1つはサプライチェーンのデカップリングです。これまで述べてきたようにアメリカにはアメリカの標準や法律があるので、アメリカ向けの環境を用意します。一方、中国は中国でインターネット安全法などがあります。どちらも「私たちと付き合うなら私たちのルールに従ってください」という意味では同じです。受け入れる必要はありますが、同じ環境で両立はできません。そのためデジタル空間をデカップリングします。
--基準は「やらなくてはいけない」と強制的なイメージですが、やるメリットがあるとしたら?
やるメリットより、やらないことで生じるデメリットを考えたほうが分かりやすいです。アメリカとビジネスを行うのなら、後2~3年もすれば、少なくともNIST SP800-171に準拠していないとビジネスが成り立たなくなります。それなら先行して進めたほうがビジネスで有利になります。実際に日本企業で早々とNIST準拠を宣言することで売上が伸びている企業もあります。
国内企業の中にはアメリカの取引先から「NISTに準拠しているか」と突如として問い合わせがあり、「準拠している」、あるいは「準拠に向けて準備している」との誓約書を提出しなければ契約を切られる企業も出てきています。私たちは4年前からNIST準拠の必要性を訴えてきているのですが。
NISTに対応していないとどうなるか、今後どう考えていくべきか?
--日本におけるNIST対応状況はどうでしょうか。
金融機関であれば歴史的にNISTが提唱するほとんどの対策は完了していると考えられるため、ほぼ準拠していると考えていいでしょう。ただし仮想通貨の取引所はまだのところがあります。銀行とのつながりがあるところはしっかりやっている印象です。
企業のITシステムがAWSやAzure、GCPなどSP800-171対応済みのインフラを使っているなら、自動的に対応しているようなものです。ただし厳密にはNIST SP800-171対応のテンプレートを適用し、かつSP800-171に準拠した適切な運用手順を持って運用されている環境である必要があります。使用しているクラウドがNIST対応していることでNIST対応済みになっているのが2割、自力でNIST対応したところが2割くらい、合わせて4割くらいでしょうか。
自動車で使われる電装品のサプライチェーンなど、今後はNIST対応が迫られてくるでしょう。私たちは2年前からNIST対応環境への移行オペレーションを推奨しており、主要なサプライヤーを招いた勉強会も開催してきました。参加を通じて「もうやるしかない」と覚悟を決めたところも増えてきています。関係者の温度は高まっています。
防衛省ではNISTを加味した情報セキュリティ特約が改訂されました。防衛省と取引がある企業は対応しなくてはなりません。しかし当事者からは「アメリカは軍需産業で成り立っているから投資に見合うが、日本で防衛部門がある企業は少なく、売上もわずかしかない(から、そこに多額の投資はできない)」とのご意見をたまに聞きます。これに関しては我が国の防衛産業の根本的な構造が持つジレンマでもありますが、根本的な考え方として、もともとセキュリティへの適切な投資量というのは、現在日本企業が思い描いているものよりも数段高いものだと再認識する必要があります。
--今後さらにアメリカの法制度は発展していくでしょうか。
今後は州ごとの法律も出てくるでしょう。現在、カリフォルニア州でプライバシー保護法が定められ、1人あたりの個人情報を一件当たり最大で750ドル、さらに法定損害金として一件につき最大で7500ドル、仮に1万人分の個人情報を流出させ、集団訴訟に持ち込まれ、過失責任が認められれば、80億ドル以上のキャッシュが失われます。ニューヨーク州やオハイオ州も続いています。
ヨーロッパの歴史を見ると、かつてEU内で各加盟国が独自にプライバシー保護に関する法律や制度を定めていました。次第に乱立して非効率になり、結果的には統合してNIS DirectiveによりGDPRに集約されました。アメリカでも連邦政府が各州のプライバシー保護法を統合したり、NISTに上乗せするような形で定まるかもしれません。すでにNISTでは政府機関向けのSP800-53をベースとしたPrivacy Frameworkが策定中です。
--サイバーセキュリティは、今後「経営ごと」に近づいていくと感じております。日本の経営者はどういう心構えを持つといいでしょうか。
数年前の経団連での企画記事では「正しく怖がってください」とお伝えしました。過度に怖れる必要はないですが、過信もよくありません。
セキュリティで人材不足を訴える経営者は多いのですが、どの部門にどのような能力を持った人が、どれだけ足りないのかを正確に把握することが大事です。今やサイバーセキュリティは情報システム部だけが対応すべきものではありません。経営戦略にも関わりますので、法務や経営企画にもサイバーが分かる人を置く必要があります。ここが大きなマインドチェンジになります。
企業はNISTに対応するためには、自社システムのどこをどう変更すべきか、サプライチェーンはどうすべきかを考えていく必要があります。それが「正しく怖がる」につながります。
