医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
1.はじめに
サイバーセキュリティの成熟度モデル認定(The Cybersecurity Maturity Model Certification:CMMC)は、米国国防総省(DoD)が防衛産業基盤企業への認定として2020年から適用を開始しました。DoDは翌2021年12月、その改訂版となる「CMMC2.0」を発表しました。2024年12月にはCMMCプログラムの最終規則が発効され、1.0と比べて成熟度レベルや設問が簡素化されましたが、引き続き第三者認証機関による評価を3年ごとに受ける必要があります。DoDの連邦契約情報(FCI)と管理対象非機密情報(CUI)を取り扱う防衛産業基盤企業およびDoDのサプライチェーンに関係する企業が2028年を目途に準拠を求められるため、影響の裾野が広いことが想定されます。また、今後2028年に向けて12カ月ごとに要件がレベルアップすることが予定されています。日本も例外ではなく、防衛省傘下の官庁では発注先にCMMCでも引用されているセキュリティ強化要件(NIST SP800-171)への対応)を求めており、このような動向からもCMMCの今後の展開には注視が必要です。本稿では、CMMC2.0へのバージョンアップに伴う主な変更点と今後の変更マイルストーンについてまとめます。
2.防衛サプライチェーンにおけるサイバーセキュリティの向上
DoSとの防衛契約に入札する企業は、プログラム展開のフェーズ1に該当する2025年から、CMMCの要件に準拠する必要があると推定されています。
過去の規制と比較すると、現在のCMMC要件は、コンプライアンスと説明責任の強化を促進するために設計された合理的なモデルになっています。
影響を受ける請負業者やサブコントラクターは、今すぐコンプライアンス計画を実装し、脅威アクターによる標的型攻撃への防御能力を強化する必要があります。
3.CMMCプログラムの最終規則「32 CFR(連邦規則集32)Part 170」の更新
2024年10月15日、米国国防総省(DoD)は、管理対象非機密情報(CUI)を保護するためのCMMCプログラムの最終規則とされる「32 CFR(連邦規則集32)Part 170」の更新を発表しました。CMMCを有効にするには、48 CFR(Part 204、212、217、252)と32 CFR(Part 170)の両方を更新する必要があります。
規則更新案の公表時点では、CMMCレベルに応じて満たすべき一連の要求事項として、米国国立標準技術研究所(NIST)特別刊行物(SP)800-171改訂版2およびNIST SP 800-172の一部が参照されています。これは、新しいNIST SP 800-171改訂版3のCMMCへの適用を今のところ除外するという方針が公表されたことに従ったものです。この改訂版3が適用されるのは、CMMCプログラムが広く一般に採用された後と予想されます。また、この規則には、前回の規則案に対する多くの重要な更新が含まれています。
主なアップデート:
- 段階的アプローチのタイムライン
CMMC適用開始時の元の4つのフェーズは残っていますが、フェーズ1は6カ月延長されて12カ月になりました。フェーズ1は、32 CFR Part 170または48 CFR Part 204のいずれか遅い方の発効日に開始されます。32 CFR Part 170は、2024年12月16日をもって発効しましたが、48 CFRは、2025年のある時点までにレビューを完了すると予想されていて、その時期がフェーズ1の正式な開始時期になると考えられます。ただし、請負業者は、国防総省が2024年12月16日から契約募集要件にCMMCを含めることができることに注意する必要があります。そのため、48 CFR Part 204が確定した後、請負業者と国防総省との間で双務契約が必要になります。 - セキュリティ保護データ(SPD)の定義
SPDとは、「セキュリティ保護資産(SPA)※1 によって保存または処理され、評価対象組織(OSA)※2 の評価対象環境を保護するために使用されるデータ」と定義されます。ルールに示された例には、- SPAを操作するために必要な設定データ
- SPAによって生成または取り込まれたログファイル
- 評価対象資産の設定または脆弱性の状態に関連するデータ
- 評価対象環境へのアクセスを許可するパスワード
が含まれます。
- 外部サービスプロバイダー(ESP)とクラウドサービスプロバイダー(CSP)の明確化
更新されたCMMC2.0では、CMMCスコープ内のESPとCSPの要件が拡張されています。CUIを処理するESPは別途CMMC認定を必要としませんが、そのサービスは顧客の評価範囲に含める必要があります。SPDを処理するがCUIは処理しないCSPは、FedRAMP(クラウドサービスに対する米国政府機関の調達要件に関するセキュリティ認証制度)の要件を満たす必要はありませんが、それでも顧客の評価範囲に含める必要があります。CUIを管理するCSPは、FedRAMP Moderateの承認を取得するか、DoDのFedRAMP同等性メモ※3 で指定されている内容と同等のセキュリティ要件に対応し、FedRAMP Moderateの要件を満たす必要があります。これには、OSAとESP/CSPとの間の追加の協力が必要になる可能性が高いと推定されており、これらの第三者を評価する責任に対する期待は主にOSAに移っています。 - 仮想デスクトップ環境(VDI)のスコーピング
大きな変更点の1つとして、最終規則ではVDIアセットのスコープを明確に定義しています。VDIクライアントをホストするエンドポイントは、「クライアントが(VDIクライアントに送信されるキーボード、ビデオ、マウス入力を超えて)CUIの処理、保存、送信を許可しないように構成されている場合、スコープ対象外とみなすことができる」と明確化されました。 - 評価レコードの保持要件
この規則で強化されたのは、CMMC評価の成果物の保管と管理に関する要件です。この規則には、OSAと評価者はCMMC評価の成果物を6年間保管しなければならないという要件が含まれています。成果物は、主に評価中に使用された証拠から構成されます。さらにこの規則では、評価の証拠のハッシュを保管することを要求しており、成果物の完全性を維持するのに役立っています。すべての保管要件は、米国司法省(DOJ)の意見に従っています。
図表1:レベル2およびレベル3の段階的展開予定
4.国防総省は、2025年度に3,130億米ドルの防衛に関連する予算要求を実施
2020年、米国国防総省はセキュリティを強化し、機微な非機密情報を保護し、防衛サプライチェーンの可視性を強化するために設計されたCMMCプロセスを導入しました。
CMMCは、防衛産業基盤企業(DIB)だけでなく、DoDのサプライチェーン内の全ての企業が防衛契約に入札するために実装すべき標準、慣行、およびプロセスを義務付けています。DoDの運営とサポートに関する防衛予算要求は、2025年度には合計3,130億米ドル※4 に達しました。
防衛関連の請負業者は、標的型攻撃のターゲットになることがよくあります。連邦捜査局(FBI)がパートナー機関と共同で作成した報告書によると、少なくとも2020年以降、高度な脅威アクターが国防総省やその他の重要インフラを標的に、スパイ活動や破壊工作、評判の低下に関与していることが示されています※5 。対象には、米国政府のサービス、金融サービス、交通システム、エネルギー、ヘルスケアの各セクターに関連する事業体が含まれていました。
CMMCに準拠することは、大小合わせて22万もの請負業者とサブコントラクターに影響を与える重要な取り組みになる可能性があります※6 。CMMCは、The Defence Industrial Base(DIB)企業に加えて、高等教育(研究開発)、医療サービス、小売、重要インフラストラクチャプロバイダー(通信を含む)、テクノロジー(クラウドサービスプロバイダーを含む)など、伝統的業界と非伝統的業界の双方に影響を与えます。
CMMCプログラムのルールは、2024年10月15日付で連邦官報に掲載されました。CMMCプログラムの段階的な展開は、最終的なTitle 48 CFR CMMC取得ルールの発行から60日後に開始されます。
連邦政府のサイバーセキュリティ規制および要件の認証は、機密データの保護、サイバーセキュリティリスクの軽減、および契約の適格性の維持に不可欠です。
図表2:CMMCの各レベルと参照すべきその他の文書
出所:Office of the Under Secretary of Defense, Acquisition & Sustainment
5.ネクストステップ:CMMC2.0に備える
CMMCプログラムの最終規則の更新が2024年10月に連邦官報に掲載され、CMMCの段階的展開が間近に迫っています。一部の請負業者やサブコントラクターに対しては、2025年中にDoDの契約募集要件にCMMC要件が含まれるようになると想定されますが、前述のようにDoDの裁量のもと、早ければ2024年12月16日以降の防衛契約の募集要件にCMMCが含まれる可能性があります。
複雑なCMMCコンプライアンスには、迅速かつ規律ある対応、DoDの物品やサービス取得ルールに関する深い知識が必要になる可能性があります。第三者評価の前に全ての要件を満たすには、過去の自己評価よりもはるかに多くの労力がかかります。
CMMCコンプライアンスに向けたプロセスを開始するには、請負業者はまず自社のコンプライアンス環境(文書化、制御の有効性、リソース)を評価し、文書化と準備を継続的に拡大する必要があります。
6.2028年に向けて―日本企業への示唆
2025年時点ではレベル3取得は必須ではありませんが、2028年に向けて12カ月ごとに要件がレベルアップすることが予定されています。DoDの直接の請負業者だけでなく、サブコントラクターもCMMC遵守を想定した体制構築を考える必要があります。米国に限らず日本でも、防衛省傘下の官庁には発注先にセキュリティ強化要件(NIST SP800-171)への対応を求める動きがあり、防衛省のサプライヤーになっている日本企業もCMMCの今後の動向に注意が必要です。例えば、防衛装備庁から発表された「防衛産業サイバーセキュリティ基準について※7 」では、NIST800-171と同水準のサイバーセキュリティ対策の整備を、サプライチェーンに関わる企業に義務付けています。
7.PwCがCMMCコンプライアンスの達成にどのように役立つか
- PwCは、サイバー認定機関(Cyber AB)※8 のRegistered Practitioner Organization(RPO)であり、クライアントに最新のガイダンスを提供しています。PwCには、CMMC登録プラクティショナートレーニングを修了し、CMMCコンサルティングのアドバイスと推奨事項を提供する権限をCyber ABから付与されたプラクティショナーの専任チームがあります。さらに、DFARS 252.204-7012、DFARS 252.204-7019、およびDFARS 252.204-7021条項の経験も有しています。
- 私たちは、電力・公益事業、航空宇宙・防衛、研究開発、電気通信、テクノロジー、製薬、製造の各セクターのあらゆる規模の企業に対して、CMMCのスコーピング、ガバナンス、評価、修復、最終準備エンゲージメントを提供してきた経験を有しています。また複数の国・地域にグローバルに展開するDIB企業をサポートした経験を有しています。
※1 請負業者のCMMC評価範囲にセキュリティ機能または能力を提供する資産のこと。Security Protection Assets
※2 Organization Seeking Assessment
※3 Department of Defense, “Federal Risk and Authorization Management Program Moderate Equivalency for Cloud Service Provider’s Cloud Service Offerings”, https://dodcio.defense.gov/Portals/0/Documents/Library/FEDRAMP-EquivalencyCloudServiceProviders.pdf
※4 Congressional Budget Office, “Long-Term Implications of the 2024 Future Years Defense Program”, https://www.cbo.gov/publication/59511#data
※5 CISA, “FBI, CISA, NSA, and US and International Partners Release Advisory on Russian Military Cyber Actors Targeting US and Global Critical Infrastructure”, https://www.cisa.gov/news-events/alerts/2024/09/05/fbi-cisa-nsa-and-us-and-international-partners-release-advisory-russian-military-cyber-actors
※6 Department of Defence, “CMMC Program Final Rule”, https://www.govinfo.gov/content/pkg/FR-2024-10-15/pdf/2024-22905.pdf
※7 防衛装備庁『防衛産業サイバーセキュリティ基準について』 https://www.mod.go.jp/j/press/news/2024/05/17a_02.pdf
※8 CMMC(サイバーセキュリティ成熟度モデル認証)の認証を推進する、米国国防総省(DoD)と契約を結んだ非営利法人
デジタル化する工場のサイバーセキュリティ
20 results
Loading...
IEC 62443シリーズの概要と近年の動向
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
能動的サイバー防御有識者会議の提言解説
「能動的サイバー防御」を議論していた政府の有識者会議は、2024年11月29日に法制化に向けた提言をまとめました。提言の背景や概要について解説します。
Loading...
PSIRTが認知すべき海外法規制解説
27 results
Loading...
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
Loading...
インサイト/ニュース
20 results
Loading...
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
Loading...
