
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
サイバーセキュリティの成熟度モデル認定(The Cybersecurity Maturity Model Certification:CMMC)は、米国国防総省(DoD)が防衛産業基盤企業への認定として2020年から適用を開始しました。DoDは翌2021年12月、その改訂版となる「CMMC2.0」を発表しました。2024年12月にはCMMCプログラムの最終規則が発効され、1.0と比べて成熟度レベルや設問が簡素化されましたが、引き続き第三者認証機関による評価を3年ごとに受ける必要があります。DoDの連邦契約情報(FCI)と管理対象非機密情報(CUI)を取り扱う防衛産業基盤企業およびDoDのサプライチェーンに関係する企業が2028年を目途に準拠を求められるため、影響の裾野が広いことが想定されます。また、今後2028年に向けて12カ月ごとに要件がレベルアップすることが予定されています。日本も例外ではなく、防衛省傘下の官庁では発注先にCMMCでも引用されているセキュリティ強化要件(NIST SP800-171)への対応)を求めており、このような動向からもCMMCの今後の展開には注視が必要です。本稿では、CMMC2.0へのバージョンアップに伴う主な変更点と今後の変更マイルストーンについてまとめます。
DoSとの防衛契約に入札する企業は、プログラム展開のフェーズ1に該当する2025年から、CMMCの要件に準拠する必要があると推定されています。
過去の規制と比較すると、現在のCMMC要件は、コンプライアンスと説明責任の強化を促進するために設計された合理的なモデルになっています。
影響を受ける請負業者やサブコントラクターは、今すぐコンプライアンス計画を実装し、脅威アクターによる標的型攻撃への防御能力を強化する必要があります。
2024年10月15日、米国国防総省(DoD)は、管理対象非機密情報(CUI)を保護するためのCMMCプログラムの最終規則とされる「32 CFR(連邦規則集32)Part 170」の更新を発表しました。CMMCを有効にするには、48 CFR(Part 204、212、217、252)と32 CFR(Part 170)の両方を更新する必要があります。
規則更新案の公表時点では、CMMCレベルに応じて満たすべき一連の要求事項として、米国国立標準技術研究所(NIST)特別刊行物(SP)800-171改訂版2およびNIST SP 800-172の一部が参照されています。これは、新しいNIST SP 800-171改訂版3のCMMCへの適用を今のところ除外するという方針が公表されたことに従ったものです。この改訂版3が適用されるのは、CMMCプログラムが広く一般に採用された後と予想されます。また、この規則には、前回の規則案に対する多くの重要な更新が含まれています。
が含まれます。
図表1:レベル2およびレベル3の段階的展開予定
2020年、米国国防総省はセキュリティを強化し、機微な非機密情報を保護し、防衛サプライチェーンの可視性を強化するために設計されたCMMCプロセスを導入しました。
CMMCは、防衛産業基盤企業(DIB)だけでなく、DoDのサプライチェーン内の全ての企業が防衛契約に入札するために実装すべき標準、慣行、およびプロセスを義務付けています。DoDの運営とサポートに関する防衛予算要求は、2025年度には合計3,130億米ドル※4 に達しました。
防衛関連の請負業者は、標的型攻撃のターゲットになることがよくあります。連邦捜査局(FBI)がパートナー機関と共同で作成した報告書によると、少なくとも2020年以降、高度な脅威アクターが国防総省やその他の重要インフラを標的に、スパイ活動や破壊工作、評判の低下に関与していることが示されています※5 。対象には、米国政府のサービス、金融サービス、交通システム、エネルギー、ヘルスケアの各セクターに関連する事業体が含まれていました。
CMMCに準拠することは、大小合わせて22万もの請負業者とサブコントラクターに影響を与える重要な取り組みになる可能性があります※6 。CMMCは、The Defence Industrial Base(DIB)企業に加えて、高等教育(研究開発)、医療サービス、小売、重要インフラストラクチャプロバイダー(通信を含む)、テクノロジー(クラウドサービスプロバイダーを含む)など、伝統的業界と非伝統的業界の双方に影響を与えます。
CMMCプログラムのルールは、2024年10月15日付で連邦官報に掲載されました。CMMCプログラムの段階的な展開は、最終的なTitle 48 CFR CMMC取得ルールの発行から60日後に開始されます。
連邦政府のサイバーセキュリティ規制および要件の認証は、機密データの保護、サイバーセキュリティリスクの軽減、および契約の適格性の維持に不可欠です。
図表2:CMMCの各レベルと参照すべきその他の文書
出所:Office of the Under Secretary of Defense, Acquisition & Sustainment
CMMCプログラムの最終規則の更新が2024年10月に連邦官報に掲載され、CMMCの段階的展開が間近に迫っています。一部の請負業者やサブコントラクターに対しては、2025年中にDoDの契約募集要件にCMMC要件が含まれるようになると想定されますが、前述のようにDoDの裁量のもと、早ければ2024年12月16日以降の防衛契約の募集要件にCMMCが含まれる可能性があります。
複雑なCMMCコンプライアンスには、迅速かつ規律ある対応、DoDの物品やサービス取得ルールに関する深い知識が必要になる可能性があります。第三者評価の前に全ての要件を満たすには、過去の自己評価よりもはるかに多くの労力がかかります。
CMMCコンプライアンスに向けたプロセスを開始するには、請負業者はまず自社のコンプライアンス環境(文書化、制御の有効性、リソース)を評価し、文書化と準備を継続的に拡大する必要があります。
2025年時点ではレベル3取得は必須ではありませんが、2028年に向けて12カ月ごとに要件がレベルアップすることが予定されています。DoDの直接の請負業者だけでなく、サブコントラクターもCMMC遵守を想定した体制構築を考える必要があります。米国に限らず日本でも、防衛省傘下の官庁には発注先にセキュリティ強化要件(NIST SP800-171)への対応を求める動きがあり、防衛省のサプライヤーになっている日本企業もCMMCの今後の動向に注意が必要です。例えば、防衛装備庁から発表された「防衛産業サイバーセキュリティ基準について※7 」では、NIST800-171と同水準のサイバーセキュリティ対策の整備を、サプライチェーンに関わる企業に義務付けています。
※1 請負業者のCMMC評価範囲にセキュリティ機能または能力を提供する資産のこと。Security Protection Assets
※2 Organization Seeking Assessment
※3 Department of Defense, “Federal Risk and Authorization Management Program Moderate Equivalency for Cloud Service Provider’s Cloud Service Offerings”, https://dodcio.defense.gov/Portals/0/Documents/Library/FEDRAMP-EquivalencyCloudServiceProviders.pdf
※4 Congressional Budget Office, “Long-Term Implications of the 2024 Future Years Defense Program”, https://www.cbo.gov/publication/59511#data
※5 CISA, “FBI, CISA, NSA, and US and International Partners Release Advisory on Russian Military Cyber Actors Targeting US and Global Critical Infrastructure”, https://www.cisa.gov/news-events/alerts/2024/09/05/fbi-cisa-nsa-and-us-and-international-partners-release-advisory-russian-military-cyber-actors
※6 Department of Defence, “CMMC Program Final Rule”, https://www.govinfo.gov/content/pkg/FR-2024-10-15/pdf/2024-22905.pdf
※7 防衛装備庁『防衛産業サイバーセキュリティ基準について』 https://www.mod.go.jp/j/press/news/2024/05/17a_02.pdf
※8 CMMC(サイバーセキュリティ成熟度モデル認証)の認証を推進する、米国国防総省(DoD)と契約を結んだ非営利法人
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
IEC 62443シリーズは、OT環境のセキュリティを確保するための推奨事項を規定した国際標準規格です。IEC 62443シリーズの概要と活用するメリット、関連する認証制度とその動向について解説します。
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
「能動的サイバー防御」を議論していた政府の有識者会議は、2024年11月29日に法制化に向けた提言をまとめました。提言の背景や概要について解説します。
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。