防衛産業はサイバー対策急務、防衛装備庁が調達新基準
近年サイバー攻撃被害が拡大する防衛関連産業で、中小企業も含めて新セキュリティー基準への対応が求められている。防衛装備庁は2023年度から、「防衛産業サイバーセキュリティ基準」を適用。攻撃防止の観点だけでなく、攻撃を受けた際の検知、対応、復旧策までを網羅した内容になる。適用まで1年を切る中、セキュリティー人材の不足や、対策製品の導入に伴うコスト増なども懸念され、政府には企業への支援策が求められそうだ。(狐塚真子)
新基準の基となるのが、米国立標準技術研究所(NIST)が15年に公開したセキュリティー基準「NIST SP800―171」。機密情報ではないが管理すべき重要情報と見なされる情報の保護を目的に、連邦政府機関外のシステム・民間企業を対象に適用される。情報システム分野では、設計書や技術報告書、ソースコードなどが該当する。
背景にあるのは、各国の防衛関連情報を標的とした攻撃の増加。21年には、中国が関与しているとみられるサイバー攻撃者グループが、日本の防衛・航空宇宙に関連する機密情報を有する企業への標的型攻撃を実行した。企業の海外拠点や取引先などのサプライチェーン(供給網)を含めた対策が必要になる。
23年度からの新基準では、サイバー攻撃の特定や防御だけではなく、攻撃を受けた際の検知、対応、復旧策の強化が盛り込まれた。セキュリティー製品大手のトレンドマイクロはこれを踏まえ、「攻撃の追跡や原因の追究ができる技術の実装や、サイバー攻撃を受けた場合の対応訓練の定期的な実施」などを推奨。加えて、ランサムウエア(身代金要求型ウイルス)による攻撃を想定し、保護すべき情報の定期的なバックアップ(予備保管)の重要性も指摘する。
一方で、人員や対策費用が限られる中小企業にとって、新基準を理解し対応できる人材の確保や、対策システムの導入は大きな壁となる。
近年、サプライチェーン上の弱みにつけ込み、標的企業に攻め入るサイバー攻撃が増えている。17年にはステルス戦闘機「F―35」などに関する重要情報が豪州の中小防衛契約業者から盗み出された事案が発生したが、この会社は、社内のIT担当者が1人しかいない“ひとり情シス”の状況だった。
業界全体のセキュリティー向上には、中小企業も巻き込んだ取り組みが欠かせない。政府はセキュリティー人材の育成推進策や、システム導入支援策などの実行が不可欠だ。