「装備品等及び役務の調達における情報セキュリティ基準」を踏まえた企業側の対応

2. 「装備品等及び役務の調達における情報セキュリティ基準」の概観

防衛装備庁ではサイバー攻撃を受けるリスクを特定し防御する対策として、従来から契約時の特約事項や通達を公開していました。しかし、サイバー攻撃の完全な防御は困難であるとの考えなどの下、被害の発生を前提として疑われる事象を検知し、対応や復旧まで含めて対処する観点から内容が大幅に拡充され、2022年3月に本基準が整備されました。本基準は、防衛省によって指定される「保護すべき情報」を対象として適用されます（図1）。

図1：本基準の適用対象として指定される「保護すべき情報」

企業における本基準への準拠は、2028年3月末を最長の期限とする経過措置は設けられているものの、実態として契約後1～2年以内で早急に対応完了できる計画の提出を求められるケースが見受けられます（図2）。また防衛省との契約にあたっては、規則等のルール整備状況や施設・システム等の対策実装状況について、担当官等が本基準に基づく確認を行うことではじめて、保護すべき情報の取り扱いが当該企業に認められます。

なお本基準に関しては、調達契約ごと、秘密区分ごとの特約を１つの秘密保護契約にまとめ組織単位に適用することを目指した「防衛事業適合事業者制度」に含まれる形への切り替えが予定されています［参考］。

図2：本基準の適用までのスケジュール

本基準には、情報セキュリティ、組織的セキュリティ、物理的セキュリティ、システムセキュリティなど多層防御に基づく対策が必要とされています（図3）。また、本基準の要件は2025年7月に一部変更が加えられており、先述の「防衛事業適合事業者制度」における動向も含めて今後も継続的な注視が必要です。最新の要求事項や契約手続きの対応等については、防衛装備庁のウェブサイトに解説資料が公開されています［参考］。

図3：本基準において求められる多層的な対策

本基準の要件には、各種対策が反映されたシステム基盤の構築や、物理的セキュリティ対策を整備した専用施設の設置といった内容も含まれています。これらは中小規模の企業はもとより、大企業においても負担を要するものです。対策の負荷を軽減する手段の1つとして防衛装備庁は、防衛省と企業の間で保護すべき情報を安全で効率的に共有するための専用システム基盤「防衛セキュリティゲートウェイ（DSG）」を提供しています。また、防衛省は「防衛生産基盤強化法」に基づいてサイバーセキュリティ面での基盤強化を掲げており、費用面において企業は本基準の適合に係る「特定取組」への補助を申請することも可能です［参考］［参考］。

3. 本基準ならではの要求と、対応する上での難しさ

本基準は冒頭で触れた米国のNIST SP800-171等を参考に規定されており、いずれも機密情報（CIや特定秘密等）に該当しない重要情報（CUIや保護すべき情報）を保護する対策を求めていることは共通しています。一方で、本基準はガイドラインではなく防衛省との契約における特約事項である等の理由から、要件の具体性や認定に係る対応に違いも見られます。そのため、NIST SP800-171等への準拠を進めている企業であっても、本基準に関しては別途対応が必要になる場合があります。以下では、本基準に取り組む企業が対応を進めるにあたって難しさを感じる要因を3点に絞って整理します（図4）。

1. 広範かつ詳細に示される要求事項の把握が必要
   本基準にルール・実装両面での網羅的な対策が規定されていることは前述のとおりですが、これらの具体的な実現方法を解説する補助的な資料にも固有の対応事項が含まれる場合があります。例えば、本基準ではシステム対策の計画書を防衛省に提出し、確認を受ける必要があります。そして計画書の記載項目には、システムの復旧など本基準に基づく特定の活動に関して、復旧目標時間といったより具体性のある定量的な要求も見受けられます。そのため、対応の際には本基準そのものだけでなく付随する資料等もつぶさに読み込んだ上で、要求事項を取りこぼすことなく対応することが求められます。
2. 政府関連特有の要求事項への対応方針の整理が必要
   本基準の要求事項には、NIST SP800-171等にも通じる共通的なセキュリティ要件だけでなく、政府関連特有の報告や手続き等に絡む対応事項も含まれています。例えば、保護すべき情報を扱う業務の委託時には、下請負企業に対しても防衛省様式のチェックリストに基づいて対策状況を確認し、提出することが必要です。単に提出することがゴールではなく、下請負企業にも元請企業と同等水準の対策を実現させることが狙いだと考えられます。しかしながら、保護すべき情報を取り扱う専用の取扱施設やシステム基盤の整備も含めた要求事項について、下請負企業に元請企業と同様の対応を求めることは相当の困難を伴うことが予想されます。そのため、下請負企業側にて個別に環境を用意してもらうのではなく、自社で提供する取扱施設やシステムの共同利用を求める、といった対応も視野に入れて検討する必要があります。
3. 最新の要求事項までの準拠状況を継続的に説明できる状態が必要
   本基準については、時間的な継続性の観点からも要件の準拠状況を説明できることが必要とされます。本基準の適用時点における担当官等による確認だけでなく、認定を得た後にも契約継続のために、防衛省による定期的な確認を通じて本基準の要件を満たすことを示す必要があります。また、本基準自体の定期的な見直しや内容の更新が発生することも踏まえ、最新の要求事項を追跡して理解することが必要です。これらに加えて、上記の要因にも挙げたように自社のルールや対策として取り得る方法を検討しつつ、継続的に行われる防衛省による確認にも備えて対外的に説明できる状態を維持するよう管理することが求められます。

図4：本基準ならではの難しさと、対応におけるポイント

4. 本基準の対応におけるポイント

3. で挙げたような本基準への準拠を考える上での難しさを踏まえると、企業における対策方法としては以下のポイントなどを取り込むことが重要だと考えられます。

1. 広範かつ詳細な要求事項に対する精査方法の確立
   本基準には広範かつ詳細に示される要求事項が含まれていることから、本編だけでなく付属的な資料も含めて要求事項を取りこぼさずに丁寧に理解していくという地道な活動を必要とします。取り組みの一案として、チェックリストなどを活用して要求事項の詳細まで精査し、要求事項と自社規則との対応関係をマッピング整理することで影響範囲を特定しやすくする仕組みづくりが挙げられます。このような対策を講じることにより、規程類の見直しや教育コンテンツ準備における手戻り等に伴う負荷の低減につなげます。
2. 全社共通化する内容と、固有対応とする内容を区別した規則や実装の整備
   網羅的かつ具体性の高いセキュリティ対策を求める本基準について、全ての要求事項を自社の共通的な取り組みとした場合、関係のない業務運営に支障をきたすケースが多々生じることが想定されます。対策の一つとしては、要求事項のうち全社共通の取り組みとする内容と、本基準が適用される契約のみの固有対応とする内容を区別し、それぞれを共通または固有の規則や対策実装として整備する方法が考えられます。この時、両者を適切に区別するためには、自社における現状のアセスメント等を通じて客観的に精査した上で、今後どのような姿を目指すべきかゴールを定めることが重要になります。
3. 要件の準拠状況を継続的に把握し説明できる運用面の確立
   政府関連の要求に基づく本基準では、継続的に実施される調査の中で準拠状況を細部まで根拠立てて説明できなければなりません。加えて、要求事項そのものが都度更新されることも考慮する必要があります。前述した要求事項を精査する仕組みづくりを前提に、自社で策定する対応方針を対外的に納得できる形で説明するまでの実行が不可欠です。このような運用を成り立たせる上では、セキュリティだけでなく政府関連のやり取りの経験を持つ人材が対応にあたることも有効です。

以上のように、本基準ならではの難しさを踏まえ、工夫しながら取り組みを実践することも有効ではありますが、本基準以外の対応も求められるセキュリティ業務の中、上記のような活動を自社のみで完遂することは困難を伴うことが懸念されます。

PwCコンサルティングでは、セキュリティアセスメントや各種制度に基づく対応計画・ロードマップ策定支援などのサービスを展開しており、本基準に係る一連の対応についても支援することが可能です。セキュリティの専門知見に加えて政府関連の制度対応にも精通した有識者を擁し、規程策定や教育支援だけでなく、現場目線での運用業務の整備など伴走型のサポート体制も提供しています。