防衛関連の中小企業向け 情報セキュリティ強化支援事業への協力について

株式会社DataClasysは、業務提携先の公益財団法人防衛基盤整備協会(以下「防衛基盤整備協会」)が防衛装備庁から受託した令和4年度「防衛装備品製造過程等におけるサイバーセキュリティ対策強化事業」へご支援することとなりました。本件に関しましては8月1日の日本経済新聞にもご掲載いただいたのですが※1、弊社はファイル暗号化ツールの開発元として、データ暗号化の観点から本事業へ協力致します。

2022年4月1日、防衛装備庁は防衛産業におけるサイバーセキュリティ体制の強化のための施策を促進するため、「防衛産業サイバーセキュリティ基準」を整備したことを発表しました※2。この新しいセキュリティ基準には米国国防省が契約企業に義務付けている「NIST SP800-171」と同水準の管理策が盛り込まれ、従来のISO27001をベースとした管理策より厳格なものとなりました。また対象は防衛省との契約に基づき保護すべき情報等を扱っている企業全てに適用されるとしています。
現行のセキュリティ基準ではサイバー攻撃を防止する対策までが求められていましたが、「NIST SP800-171」をベースにすることで、システムログや通信の監視、分析、不具合の修正・改善や被害の拡大防止、バックアップからのシステム再構成などの攻撃を受けた後の対策までもが求められるようになりました。

「NIST SP800-171」は米国国立標準技術研究所(NIST)が2016年に発行したガイドラインで、「機密指定はされていないが管理対象となる情報(CUI:Controlled Unclassified Information)」の適切な取扱い方を定めたものです。CUIとは、設計書のような機密情報とは異なり、仕様書のように機密情報と指定されていませんが、社外に流出すると安全保障上の問題が生じる可能性がある情報を指します。本ガイドラインでは、業務委託先がサプライチェーン攻撃などでCUIに分類される情報の漏洩を防ぐよう、適切な取扱い方を規定しています。米国の国防調達においてはCUIを取り扱う全ての調達先企業に対し、「NIST SP800-171」の要求事項を満たすことを既に義務化しています。

今回「防衛産業サイバーセキュリティ基準」が整備され、これを基に「装備品等及び役務の調達における情報セキュリティ基準※3」も刷新されたことにより、防衛装備品の調達に係るすべての企業がこれに準拠したセキュリティ強化を余儀なくされています。「装備品等及び役務の調達における情報セキュリティ基準」にはデータ暗号化の必要性も記されており、弊社もソリューション提供を通じてこれに貢献できると考えております。弊社の提供する暗号化ソフト『DataClasys』は重要情報をデータで保存する際に暗号化し、認可されたユーザ以外からのアクセスを禁止することが可能です。また、暗号化方式は電子政府推奨暗号を使用しており、暗号鍵は暗号データと分離した状態で管理されます。製品にご興味のある方は是非お問い合わせ下さい。

なお、本支援事業については実施企業数に限りがございますので、ご興味がある方は防衛基盤整備協会にて開催しています事業説明会にご参加頂けますでしょうか。

公益財団法人防衛基盤整備協会のサイトはこちら

皆様のご参加をお待ちしております。

参考

※1 防衛産業の中小企業向け 情報セキュリティーを支援 | 日本経済新聞 2022年8月1日

※2 防衛産業サイバーセキュリティ基準の整備について | 防衛装備庁

3 装備品等及び役務の調達における情報セキュリティ基準 | 防衛装備庁