防衛産業サイバーセキュリティ基準とNIST SP800-171の軌跡 / 20251219 Mitsutoshi Matsuo

Transcript

1. Copyright Japan Aerospace & Defense Consulting Inc. All Rights Reserved.

   株式会社Japan Aerospace & Defense Consulting NCA Annual Conference 2025 防衛産業サイバーセキュリティ基準と NIST SP800-171の軌跡 2025.12.19 松尾 光敏

2. 2 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

   Reserved. はじめに（自己紹介）

3. 3 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

   Reserved. 1．防衛産業サイバーセキュリティ基準の導出

4. 4 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

   Reserved. 1.1 防衛産業サイバーセキュリティ基準とは 防衛産業サイバーセキュリティ基準（以下、「産業CS基準」）は、防衛関連企業が保護すべき情報を取り扱うために 準拠すべきセキュリティ基準になります。 出所）装備品等及び役務の調達における情報セキュリティ基準について https://www.mod.go.jp/atla/cybersecurity.html

5. 5 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

   Reserved. 1.2 保護すべき情報の機密性の位置づけ 保護情報は、下図でCUIにあたります。ここでの”機密”は、民間企業ではなく、連邦政府にとっての機密『CUI（非機密の 中でも重要な情報）』を一定量収集すると、『CI（機密情報）』を推測できるという点に着目する必要があります。

6. 6 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

   Reserved. 1.3 防衛産業サイバーセキュリティ基準の導出 産業CS基準は、NIST SP800-171より導出されています。なお、NIST SP800-171のセキュリティ管理策は、 NIST SP800-53のModerate相当の管理策を抽出したものとなっています。

7. 7 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

   Reserved. 1.4 NIST SP800-171とNIST SP800-53の関係性 NIST SP800-171の管理策内容では、必要な要求事項が示されるだけで具体的なセキュリティ管理策が記載されていない ケースがほとんどであるため、各要求事項に対応したNIST SP800-53の管理策を参照する必要があります。 3.1.2e / NIST SP800-171 AC-20(3) / NIST SP800-53 NIST SP800-171の管理策内容では具体的にどう実装したら よいのかわからないので該当のNIST SP800-53の管理策を参照する。 出所）NIST SP800-53 Rev.5およびNIST SP800-171 Rev.2（IPA）を引用し、作成 https://www.ipa.go.jp/security/reports/oversea/nist/about.html

8. 8 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

   Reserved. 2．防衛産業サイバーセキュリティ基準の詳細

9. 9 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

   Reserved. 2.1 規則類の整備 保護すべき情報を取り扱うためには、『情報セキュリティ三文書』および『システムセキュリティ実装計画書（SSP）』を 情報セキュリティ基準に基づき整備する必要があります。防衛関連企業は当規則類に従って保護すべき情報を取り扱わなければなりません。 装備品等及び役務の調達における 情報セキュリティの確保について（通達） ※特約条項 情報セキュリティ 基本方針 情報セキュリティ三文書、システムセキュリティ実装計画書および帳票様式 情報セキュリティ 規則 情報セキュリティ 実施手順 システム セキュリティ 実装計画書 （SSP） 帳票様式（例） 特約条項の内容を基に、防衛関 連企業側で運用体制等の最適化 をしながら情報セキュリティ三 文書等の必要文書を作成 文書 定義 情報セキュリティ基本方針 情報セキュリティへの取組み方針を定めたもの。 情報セキュリティ規則 情報セキュリティ対策について定めたもの（組織的、人的、物理的、技術的なセキュリティ対策）。 情報セキュリティ実施手順 使用する保護システムに対する管理策を定めたもの。保護システムについて、実施手順に規定する措置を適切に実施及び適合していることを確認す る「システムセキュリティ実装計画書（SSP）」を含みます。

10. 10 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

    Reserved. 2.2 「装備品等及び役務の調達における情報セキュリティ基準の解説① 装備品等及び役務の調達における情報セキュリティの確保に関する情報セキュリティ基準について 第１.2版」（防衛装備庁） （https://www.mod.go.jp/atla/cybersecurity/02_kaisetsu01_ver1.2_r070611.pdf）を加工して作成 （装備品等及び役務の調達における情報セキュリティ基準 第5 組織のセキュリティより抜粋） ２ 経営者等及び取扱者の責務 (1) 取扱者の指定等 ア 経営者等は、取扱者の指定の範囲を業務の遂行上必要最小限度に制限するとともに、次に掲げる事項に合意した者の中からふさわしい者を取扱者に指定するものとする。 (ｱ) 在職中及び離職後において、業務上知り得た保護すべき情報を、第三者に漏えいしないこと（以下「守秘義務」という。）。 （中略） イ 経営者等は、保護すべき情報に係る全ての情報セキュリティの責任を明確にするため、取扱者のうち、ふさわしいと認める者を次に掲げる者に指定するものとする。 (ｱ) 総括者 (ｲ) 保護すべき情報及びこれに関連する資産ごとに、それぞれ管理責任を負う者（以下「管理者」という。） （中略） (2) 保護システム利用者の指定等 ア 経営者等は、保護システム利用者を指定するものとし、その指定の範囲を業務の遂行上必要最小限度に制限するものとする。 （中略） イ 経営者等は、保護システムに係る全ての情報セキュリティの責任を明確にするため、保護システム利用者のうち、ふさわしいと認める者を次に掲げる者に指定するものとする。 (ｱ) 保護システムの運用管理に責任を負う者（以下「保護システム管理者」という。） (ｲ) 保護システム管理者の業務遂行を補佐する者（以下「保護システム担当者」という。） 産業CS基準で求められる組織管理要件 ～防衛情報セキュリティ体制～（1/2）

11. 11 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

    Reserved. 2.3 ＊産業CS基準： 「装備品等及び役務の調達における情報セキュリティ基準」 https://www.mod.go.jp/atla/cybersecurity/01_kijun_0137_att_r07.pdf 防衛省特約条項：「装備品等及び役務の調達における情報セキュリティの確保に関する特約条項」 https://www.mod.go.jp/atla/cybersecurity/01_kijun_0137_tokuyaku_r07.pdf 取扱者／保護システム利用者 監査責任者 防衛情報セキュリティ体制（産業CS基準/防衛省特約条項）* 防衛関連の統一組織の中に、各職責者が 設置され、配下に保護すべき情報を取り扱う取扱 者・保護システム利用者が所属している体制 防衛関連の案件に関わる従業員は、防衛関連の統一組織に所属し、他組織から分離することが防衛省より求められます。 産業CS基準で求められる組織管理要件 ～防衛情報セキュリティ体制～（2/2）

12. 12 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

    Reserved. 2.4 産業CS基準で求められる組織管理要件 ～守秘義務違反者に対する対処～（根拠） （装備品等及び役務の調達における情報セキュリティ基準 第5 組織のセキュリティより抜粋） ２ 経営者等及び取扱者の責務 (3) 情報セキュリティの確保 （中略） ウ 経営者等は、情報セキュリティ基本方針等に違反した取扱者に対する対処方針及び懲戒手続を定め、違反が生じた場合には、当該対処方針及び懲戒手続に基づき対処 するものとする。 「装備品等及び役務の調達における情報セキュリティ基準の解説① 装備品等及び役務の調達における情報セキュリティの確保に関する情報セキュリティ基準について 第１.2版」（防衛装備庁） （https://www.mod.go.jp/atla/cybersecurity/02_kaisetsu01_ver1.2_r070611.pdf）を加工して作成 適切な対処 特定 防御 検知 対応 復旧 情報セキュリティ 事故等対処計画 新基準で求められる、 サイバー攻撃を受けた 後の対策 サイバー攻撃への対処 （新基準） 対処計画の 作成

13. 13 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

    Reserved. 産業CS基準で求められるファシリティ要件 保護すべき情報を取扱うためには、防衛関連企業は取扱施設および関係施設を用意し、必要な設備（赤色箇所） を揃える必要があります。 廊下 DSG用ラック 施錠ロッカー 窓 窓 ブラインド 扉 利用端末 静脈認証用機器 Webカメラ 入退管理機器 扉 監視カメラ 監視カメラ 入退管理機器 ：取扱施設 ：関係施設 光学ディスク ドライブ USBメモリ シュレッダー 有線LAN 机 ワイヤーロック DSG用専用線(官側工事) プリンタ USB 2.5 【保護システムにDSGを利用した場合の図面（例）】

14. 14 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

    Reserved. （参考）情報セキュリティ基準等の防衛装備庁HPリンク ▲ 「防衛装備庁HP >装備品等及び役務の調達における情報セキュリティ 基準について」より抜粋 https://www.mod.go.jp/atla/cybersecurity.html 解説書*：マニュアル１ (＊) 「防衛装備庁HP>装備品等及び役務の調達における情報セキュリティ基準について」に掲載されている「マニュアル」が特約条項および情報セキュリティ基準の解説書に なっています。 「UP！」表示のあるものが最新版です。 解説書*：マニュアル２

15. 15 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

    Reserved. 3．防衛産業サイバーセキュリティ基準と CMMCの違い

16. 16 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

    Reserved. 3.1 CMMCとは CMMC（Cybersecurity Maturity Model Certification）とは、 NIST SP800-171の管理策ベースでCUI等の情報を保護 するためのセキュリティ認証プログラムです。米国国防総省（DoD）が2025年11月よりDoD関連のサプライチェーン全体 のサイバーセキュリティを強化するため、防衛関連企業にCMMC認証を義務付けました。 レベル1 自己評価 レベル2 第三者機関（C3PAO）による評価 レベル3 政府主導による評価（※） （※）レベル3はDoD側で製作中 レベル3 対象情報 高度に優先されるCUIや国家安全保障に関連する情報の保護が目的 要件 NIST SP800-171に基づく24項目の追加要件を実施 評価方法 特定分野では政府関係者による評価が必要 特徴 APT（標的型攻撃）等の高度な脅威に対応可能な能力を備える サイバーセキュリティ活動を継続的にレビューし、適応させる能力が求められる レベル2 対象情報 CUIの保護が主な目的 要件 NIST SP800-171 Rev.2に基づく110項目の要件を実施 評価方法 基本的に第三者機関（C3PAO）評価による認証 特徴 サイバーセキュリティポリシーを確立し、それを文書化する レベル1 対象情報 連邦契約情報（FCI）の保護が主な目的 要件 連邦調達規則（FAR）52.204-21に基づく15項目の基本的なサイバーセキュリティ 対策を実施 評価方法 自己評価 特徴 最低限のサイバーセキュリティ基準を満たす文書化されたプロセスは不要で、実践 の実行に重点を置く 出所）世界各国のサイバーセキュリティ評価制度を考察～日本の新たな枠組みに向けたヒント～（トレンドマイクロ社）を引用し、一部内容を改編 https://www.trendmicro.com/ja_jp/jp-security/25/b/expertview-20250219-01.html CUIの保護

17. 17 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

    Reserved. 3.2 産業CS基準とCMMCとの比較 産業CS基準（防衛省）とCMMC（DoD）の違いは、防衛関連企業が実装したセキュリティ管理策の準拠性を評価する機関が 防衛組織か第三者機関かとなります。また、産業CS基準においてはCMMCのようにセキュリティ管理策準拠の認証制度がなく、 防衛関連企業に対して当管理策に準拠した運用となっているかを確認するための、防衛省による監査が独自にあります。 防衛省 防衛関連企業 DoD 防衛関連企業 第三者評価機関 （C3PAO） ②規則類（※）に準拠した 運用に対する監査 ①規則類（※）を作成し、 防衛省より承認を受ける （※）情報セキュリティ三文書およびシステムセキュリティ実装計画書（SSP） ②’ 実装された管理策の準拠性 を審査の上、認証 CMMC認証をC3PAO へ委託 ①’ 実装した管理策 内容の提出 防衛産業サイバーセキュリティ基準 CMMC

18. 18 Copyright Japan Aerospace & Defense Consulting Inc. All Rights

    Reserved. （参考） 防衛省による監査チェックリスト 防衛省の監査チェックリスト（一部）では、NIST SP800-171の管理策ベースの内容となっています。 出所）装備品等及び役務の調達における情報セキュリティ監査実施要領（令和5年3月） https://www.mod.go.jp/atla/cybersecurity/03_tsuchi_4210_r070617.pdf