これまでの「防衛産業サイバーセキュリティ基準」の歩み
防衛省は、情報漏えい防止に向け、2004年から調達などを依頼する防衛関連企業に情報セキュリティ対策の実施を求める「調達における情報セキュリティ基準」を整備した。同基準は2004年4月から情報システム分野で契約の特約条項の一部として締結が始まり、その後、航空機分野や誘導武器分野など適用の対象範囲を広げ、2010年4月には対象範囲はすべての装備品等および役務に至った。
その後、サイバー攻撃は2020年ごろから急激に増加している。国内のサイバー攻撃件数は、2020年から2023年の間に75%も増加。2017年1月から2022年6月までの約5年半の統計では、サイバー攻撃の被害件数率が最も多い業種は製造業で、その数値は21%となった。防衛関連企業は製造業が多く、近年では攻撃手法も巧妙なため、防衛関連企業の情報漏えいや流出リスクが増大している状況といえる。
竹口氏は、「これらのサイバー攻撃は今後も増加すると予想されます。そのため攻撃を防ぐ対策とともに、攻撃を受けた後の対策の重要性も高まっているのです」と近年の状況を説明した。
サイバー攻撃の増加に対応するため、防衛省は2022年3月に従来の「調達における情報セキュリティ基準」(旧基準)に新たな要件を加え、「防衛産業サイバーセキュリティ基準」(現基準)として整備。これを2023年4月以降の契約から適用開始した。この現基準は、米国国防省が国防産業に対して義務付けているセキュリティのガイドライン「NIST SP800-171」を参考にし、同水準の管理策を採用しているという。
新基準で強化されたのは「検知、対応、復旧」
竹口氏は、防衛産業サイバーセキュリティ基準の主な変更点について「情報システムへの攻撃に対する防御策に加え、サイバー攻撃の早期発見と対処のための措置の強化、加えてサイバーセキュリティ対策だけでなく、物理的セキュリティや組織的セキュリティ対策も網羅的に規定された点」を挙げ、「保護すべき情報を取り扱う下請け企業も対象になっています」と述べた。
新しい基準の項目数を見ると、旧基準の13から26と大幅に増加している。別紙の情報セキュリティ基準部分では、検知、対応、復旧の機能が拡充され、リスク査定が新たな要件として追加。付紙にあたるシステムセキュリティ実施要領は、新たにシステムセキュリティ実装計画書、構成管理、システムセキュリティ・メンテナンスが追加されている。こうした項目増加の背景には、旧基準が十数年前に制定され、当時は紙やスタンドアローンのパソコンでの運用が主流で、外部ネットワークに接続しない運用が一般的だったことが挙げられる。今や外部ネットワークに接続しない運用は現実的とはいえない。そこで現基準では、外部ネットワークへの接続が可能な管理策が策定されたのだ。
