近年、サイバー空間の脅威は増大の一途をたどり、ランサムウェア攻撃やサプライチェーン企業へのサイバー攻撃など、企業や組織が直面するリスクは増えています。そして、これらの脅威は、企業のビジネス運営はもちろん、国家安全保障にも直結する問題となっています。特に防衛産業は、国家の安全保障を担保する重要な役割を果たしているため、サイバー脅威から自身を守るだけでなく、供給する製品やサービスが安全であることを保証する必要があります。

このような背景から、日本の防衛省は、防衛関連企業に対するサイバーセキュリティ基準として「防衛産業サイバーセキュリティ基準」を2022年4月に整備し、2023年度より運用を開始しています。これは、防衛産業に特化したサイバーセキュリティ基準であり、防衛関連企業の情報セキュリティの確保を通じて、国の防衛装備品及び役務の調達を安全に行うためのものです。

本サービスは防衛産業に関連する組織の皆様を対象とした、防衛産業サイバーセキュリティ基準に準拠しているかを評価し、改善に導くためのサービスです。

防衛産業サイバーセキュリティ基準（以下、新基準）は、国の防衛装備品の管理や調達を担う防衛装備庁が旧基準（「装備品等及び役務の調達における情報セキュリティの確保について」）に追加して新たに特約条項として整備した基準（正式名称：装備品等及び役務の調達における情報セキュリティの確保に関する特約条項）で、2023年度より適用が開始されています。この新基準は米国立標準技術研究所（NIST）が公開したガイドライン「NIST SP800-171（以下、NIST171）」を参考にしており、ほぼ同様の水準を調達先に求めるものです。

旧基準は、これまで日本でメジャーであったISO27001(ISMS)の防御を主眼においた考え方でしたが、新基準はこれに加え、NIST171を参考に、検知、対応、復旧の３要素が追加されています。

• 検知：システムログや通信の監視および分析
• 対応：不具合の修正・改善や被害の拡大防止
• 復旧：バックアップからのシステム再構成（復旧）など

また、基準の作成に当たっては、特に日本の風土や日本語の構造も考慮して、だれが行うべきか主語を明確にした記載が徹底されています。さらに、体制・役割・責任の明確化に加え、物理セキュリティやセキュリティ監査、防衛省監査の項目などがNIST171と比較すると強化されています。

米国の基準、日本の旧基準、新基準の比較

出典：防衛装備庁の資料(https://www.mod.go.jp/atla/cybersecurity.html)をもとにNCにて作成

【防衛産業サイバーセキュリティ基準の構成】

新基準は、「装備品等及び役務の調達における情報セキュリティ基準（以下、情報セキュリティ基準）」および「装備品等及び役務の調達における情報セキュリティの確保に関するシステムセキュリティ実施要領（以下、システムセキュリティ実施要領）」という二つの主要な部分から成り立っています。
「情報セキュリティ基準」は、保護すべき情報の適切な管理のために防衛省が求める対策を明示しており、趣旨を含めた14項目127要件から構成されています。また、「システムセキュリティ実施要領」は情報システムのセキュリティを確保するために必要な事項が定められており、12項目85要件から構成されています。

防衛産業サイバーセキュリティ基準の構成イメージ図

【適用対象】

新基準は、防衛装備庁と直接調達契約を締結する企業だけでなく、その調達企業のサプライチェーンネットワークに含まれる委託先企業も準拠が求められます。

【適用期間】

新基準の適用は、2023年度の調達契約から開始されています。実際にはシステム換装等を考慮し最長5年間の移行期間が設けられていますが、厳格な要求が課せられているため、対象企業は計画的に新基準への対応を進める必要があります。

【企業に求められる措置】

2023年度以降、新基準に準拠し調達契約を希望する企業は、防衛省に以下の書類の提出が求められます。

• ① 情報セキュリティ基本方針
• ② 情報セキュリティ規則
• ③ 情報セキュリティ実施手順
• ④ その他資料（システムセキュリティ実装計画書や取扱者名簿等）

企業が作成するセキュリティ基準および資料イメージ

• 防衛産業に何らかの形で関わっている
• 防衛装備庁や防衛省と直接契約を結ぶ企業だけでなく、サプライチェーンネットワークに含まれる委託先
• 防衛産業サイバーセキュリティ基準に準拠するための具体的な対策が不明確
• 自社での基準適用に向けた体制や手続きに不安を感じている
• 現行基準ISO27001/2022等には準拠しているが、防衛産業サイバーセキュリティ基準に準拠するための適切なアプローチが必要
• 最新のサイバーセキュリティ対策を導入し、事業の継続性と信頼性を保つことを希望している

1. NISTフレームワーク等を通じて、防衛産業向けに求められる基準を理解したコンサルタントが支援
新基準に準拠するには、各種基準等の詳細まで深く理解する必要があります。そのためコンサルタントの専門的知識が不足していると、対策を行う企業側に多大な負荷をかけてしまいます。豊富な知識と実績をもつコンサルタントが支援する本サービスであれば、最短距離での実装を可能にします。

2. NIST171と防衛産業向けの違い、特徴を押さえた支援
当社のコンサルタントは、新基準の参考となる米国のNIST171にも精通しています。具体的な対策を検討する際に、必ずどこまで対策すればよいか迷うポイントが出てきますが、このNIST171を理解していることで、本質的なコンサルティングの支援が可能となります。
　また、NIST171を参考としているとはいえ、比較すると新基準には以下のような違いがありますので、違いを踏まえた支援を致します。

• 体制と役割、責任を厳格に明確化(管理者、管理責任者、統括者等)
• 物理的・環境的セキュリティに関する詳細な要件
• 情報セキュリティ事故等発生時の統括者による防衛省への報告
• セキュリティ監査(防衛省による監査含む)
• アクセス制御方針の詳細な要件等

3. お客様の特性・ニーズに合わせた、柔軟な支援
お客様の組織の規模や状況、要望に応じて、サポート範囲や作業ステップをカスタマイズすることができます。
また優先すべき課題や対象とすべき範囲や期間などについても柔軟に対応致します。
また、評価後の各種対策の実装についてもオプションとしてアドバイス致します。

最終報告書を含め、評価・監査に用いた各種ツールや資料類を納品します。 以下は主な成果物の一例です。

• 防衛産業サイバーセキュリティ基準評価支援キックオフ資料
• トップインタビューシートおよび議事録
• 保護すべき情報一覧
• 現状分析・評価シート
• IT・セキュリティ部門インタビューシートおよび議事録
• 受領資料整理分類表
• 情報セキュリティ基本方針
• 情報セキュリティ規則
• 情報セキュリティ実施手順
• システムセキュリティ実装計画書
• 実装ロードマップ
• プロジェクト管理資料一式
• セキュリティレビュー資料一式
• プロジェクト報告書

下図は防衛産業サイバーセキュリティ基準評価支援コンサルティングサービスの一般的な流れです。
お客様のご要望によって支援範囲のカスタマイズも承ります。例えば、報告書作成や報告会の開催などが不要な場合には、推進計画の策定、各種セキュリティ対策の実装までをご支援範囲にすることもできます。