筆者:川辺直人
NIS-Beでは海外の情報セキュリティについて米国を中心に調査・発信していますが、今回のコラムではフランスの航空防衛分野における動向をご紹介します。
1.フランスの防衛基盤のサイバーセキュリティ
首相府防衛・国家安全総局 (SGDSN[1]) 下の国家情報システムセキュリティ庁 (ANSSI[2]) が、デジタルリスクの評価と対処の手法をまとめたベストプラクティスとしてEBIOS Risk Manager[3]を提唱しています。この手法では5つのワークショップを通じて、リスクエリアの特定から戦略的・実践的シナリオの検討、そしてリスク対処の方法を検討します。
防衛基盤に対しては、フランス国防省下の装備総局 (DGA[4]) がこれを利用して2020年にDiag-Cyber[5]というプログラムを導入しました。これは国防省とコントラクターの間の契約を拡張し、防衛基盤に属する中小企業までサイバーレディネスを高めようとするもので、フランスの公的投資銀行 (Bpifrance[6]) とDGAが共同でEBIOS Risk Managerを適用する費用を支援するものです。そして、最近このDiag-Cyberに代わり、新たに適用され始めているサイバーセキュリティマチュリティ認定としてAirCyber[7]があります。
ワークショップ[8]間の関係 (出典: EBIOS RISK MANAGER – THE METHOD)
2.AirCyberとは
AirCyberはBoostAeroSpace[9]によって提供されるサービスで、マチュリティレベル認定の他にも、セキュリティ関連製品やアセッサーのカタログ、ウェビナーやフォーラムの提供などを含みます。AirCyberは、各プライム企業からのセキュリティ要件に対し、中小企業が統一的な基準で対応することができるように開発されました。
マチュリティレベルにはブロンズ・シルバー・ゴールドの3段階があり、ブロンズはANSSI Hygiène[10]のベーシックレベル、シルバーはブロンズに加えて強化された認証や監査を行うアドバンスレベル、ゴールドはプライム企業相当のレベルとされており、防衛サプライチェーンに属する中小企業が、最終的にプライム企業のセキュリティレベルに到達することを目標としています。
公開されている質問票[11]には7分野128の標準質問があり、アセスメントを受ける企業の業態によって追加の質問項目が規定されています。現在はフランスのサプライヤを中心にアセスメントされた企業の拡大が図られています。
| Overall Governance 全体的なガバナンス Security event management セキュリティイベントの管理 Malware マルウェア End users’ devices protection エンドユーザーのデバイス保護 Secure network architecture セキュアなネットワークアーキテクチャ Identity & access management アイデンティティ・アクセス管理 Data protection and classification データ保護と分類 |
標準質問のカテゴリ (出典: AirCyber Public Maturity Level Matrix、★和訳は筆者)
3.今後について
BoostAeroSpaceは、2009年にエアバス、タレス、ダッソー、サフランの4社によって共同設立された企業で、AirCyberの他にも共通受発注システムであるAirSupply[12]など複数の標準サービスを欧州の航空防衛業界向けに提供し、業界内で確固とした地位を築いています。
現在AirCyberはフランスを中心に利用が拡大していますが、今後は国内外への一層の浸透を図り、やがて欧州の標準になるものと考えられます。
米国と比較してみると、BoostAeroSpaceはExostarと設立の背景が似ているように感じます。(ただし、AirCyberはExostarのManaged Access Gateway (MAG) のような統一した認証基盤を提供するには至っていません。) 将来的に、欧米両方に提供するサプライヤとしてはAirCyber・CMMCどちらかの認定を受けることで他方の認定を免除できるような仕組みが必要であり、BoostAeroSpaceとしてはAirCyberのCMMCとの相互互換性を図っていくとのことです。
