CISOと外部コンサルの“二刀流”、内海氏がNIST「171ガイドライン」から必要な対策を読み解く

多様化するサプライチェーン攻撃

　「一口に『サプライチェーン攻撃』と言っても、昨今では複数のタイプがあり、それぞれが思い描く攻撃イメージが異なる可能性がある」と内海氏は指摘する。JPCERTコーディネーションセンターの資料を参考に、内海氏は以下の3つでサプライチェーン攻撃を整理する。

　このようにサプライチェーン攻撃には複数の種類があるが、「日本と海外で毛色の違いがあるように思う」と内海氏は続ける。海外ではソフトウェアサプライチェーン攻撃が中心で、攻撃テクニックにも様々なものがあるが、ターゲットになる資産がソフトウェアであるケースが多いという。具体的には、先行的に公開されているソフトウェアやライブラリーである。世の中のソフトウェアの99％がオープンソースソフトウェアのコードを利用しているとの指摘もあり、その関係でSBOM（Software Bill Of Materials：ソフトウェア部品表）を公開するべきという意見も聞かれる。

サプライチェーンセキュリティの必要性

　サプライチェーン攻撃に関するニュースが増えている。IPAが毎年発表している10大脅威の中でも、ここ数年、サプライチェーン攻撃は常に上位に位置するという。多発するサプライチェーン攻撃にどう対処すればいいのか。

　さらに、昨今の世界情勢が対応を急がせる要因になっている。キーワードは「経済安全保障」。2022年5月に成立した経済安全保障推進法は、「1. 供給網の強化」「2. インフラの安全確保」「3. 先端技術の官民協力」「4. 特許の非公開」の4つの柱で基本政策を立案し、2年以内の施行を目指す方向性が決定している。

　まず、1番の「供給網」とはサプライチェーンのことである。その途絶の発生で、国民生活や経済活動に甚大な影響を及ぼす恐れのある物資を「特定重要物資」として指定し、その安定供給のための財政支援を行う方向である。2番については、14業種を対象に安全保障上の脅威になりうる外国製品が入らないような仕組みづくりを目指す。3番は、AIや量子テクノロジーのように、軍事転用の可能性のあるものの保護を強化する。4番は安全保障と関連する特許情報については海外に漏洩しないようにするなどだ。

　内海氏によると、国内サイバーセキュリティ戦略でも、経済安全保障の観点を強く意識する傾向が顕著だという。内閣サイバーセキュリティセンター（NISC）のサイバーセキュリティ戦略をよく読むと、「サプライチェーン」という言葉が頻出する。セキュリティリーダーには、自組織を守るだけでなく、取引先を含めたサプライチェーン全体を守るという考え方への転換が求められるようになってきた。

　また、防衛省が2022年4月に発表した新しい調達基準は、現行のものよりも厳格なものになった。2023年度から適用開始となるこの新基準では、米国防省の調達基準と同じ「NIST SP800-171」への準拠が求められることになった。米国政府が採用するクラウドのセキュリティ認証制度「FedRAMP」が、日本で「ISMAP」として制度化されたように、今後の日本政府の調達基準も“日本版NIST SP800-171”として制度化される可能性は高い。経済安全保障の文脈で、大企業のセキュリティリーダーには、サプライチェーン全体で制度に即した対策ができるかが問われている。

　もう1つ、米国政府の動向で重要なのが、連邦政府が利用するソフトウェアベンダーへのSBOM開示を義務付ける大統領令が2021年5月に発令されたことだ。日本政府への影響波及を見越して、SBOM開示への対応の準備を進める必要も出てきそうだ。

NIST SP800-171を読み解いてわかったポイント

　NIST（National Institute of Standards and Technology：米国立標準技術研究所）が提示するガイドライン「NIST SP800-171（以下、171ガイドライン）」が求める対策とはどのようなものか。

　171ガイドラインは、企業単体ではなく、サプライチェーン全体で実施すべきセキュリティ要件を、14分類、110のセキュリティ要件でまとめたものである。内海氏は14分類を「組織・スキル」「ルール・プロセス」「テクノロジー」「物理セキュリティ」の4つに分類。分類に即してシステム共通に考えるべきことと個別に考えるべきことに分けて整理することを勧めた。

　171ガイドラインへの対応は「CUI（Controlled Unclassified Information）の定義・可視化」「現状分析・評価(As-IsとTo-Beの明確化)」「対応推進計画の策定」「実装」「運用」「モニタリング・改善」の順で進める。このプロセスは継続的なものであり、モニタリング中に問題が見つかった場合は、最初の「CUIの定義・可視化」に戻り、対応推進計画を見直し、実装へと進めていく。「これから取り組む企業にとって最初のチャレンジは、CUIの定義と現状分析になる」と内海氏はみている。

　CUIの保護が重視されるようになったのは、極秘情報や機密情報とは異なり、広範囲に集めると機密を特定しうる可能性があるためだ。米国の場合、その特定方法は調達形態に応じて大きく2つに分かれる。まず、連邦政府と直接的に取引を行う事業者の場合は、連邦政府の方針を基にNARA（National Archives and Records Administration：国立公文書記録管理局）のCUIレジストリーを参照しつつ、契約元の政府機関と協議しながらCUIを定義する。これには該当しないが、連邦政府と間接的に取引を行うことになる事業者の場合は、政府あるいは国防省と直接契約する事業者が、発注者として、開発や生産を委託する請負事業者に対しCUIを指示、伝達しなくてはならない。

　米国政府調達サプライチェーンの構成企業であれば、日本企業もこの171ガイドラインに即した対応が必要だ。CUIレジストリーは、組織インデックスグループごとに安全保障や経済に影響を及ぼす情報を分類するために「CUIカテゴリー」を提示している。たとえば、「重要インフラ」に該当する組織インデックスグループであれば、CUIカテゴリーとして、テロ攻撃に使われる硫酸アンモニウムなどに混じり、サイバー攻撃の対象になる情報システムの脆弱性情報が指定されている。このCUIレジストリーを参照しながら、サービスごとにCUI、ビジネスプロセス、システム拠点、CUI保管場所、接続ネットワーク、認証形式などを整理する作業を進めることが必要になる。

CUIの特定と対応

　次の「現状分析・評価」を行うにも、171ガイドラインの内容を読み込まないといけない。内海氏は「171に関連する他のガイドラインもあわせて読む必要がある」と話した。場合によっては、専門家の判断を仰ぐことも必要になる。内海氏が挙げた対応に際して、特に重要になる観点が「システム境界」と「暗号化」の2つである。

　ここまで見てきた通り、これからのサプライチェーンセキュリティには、より厳格な管理が求められることが確実だ。これまでがNDA（秘密保持契約）やセキュリティ調査票を中心にしたものだったとすると、これからはプラスアルファで契約書の中にセキュリティ施策の条項を追加し、それに合意しなくてはならなくなる。

　サプライチェーンセキュリティ評価ツールによる非侵入型の検査も必要になるだろう。ツールの選択肢も増えてきた。中には「SecurityScorecard」のように日本語対応のものもある。

　サプライチェーンセキュリティが重視されるようになった背景を理解し、171ガイドラインの制度化に備え、積極的に対応の備えをする姿勢がセキュリティリーダーには求められている。