筆者:久野保之
~エヴァ・エッセンシャルズの挑戦~
我々がここ数年フォローしているCUI保護の施策根拠は、米国国防総省のDFARS 252.204-7012が呼び出しているNIST SP 800-171であり、ほぼ同レベルのもの(約20の項目が追加されています)がCMMC Level 3として有名になっています。これは、「厳守すれば、連邦政府の重要情報であるCUIを渡してもその秘匿性は確保される」と判断出来るという契約条件を規定するものです。
しかし、その米国でも現在では費用問題が燃え上がり、DoDの思惑通りの進捗をしているとはとても思えない状況が伺えます。防衛産業に関わる企業は米国だけで30万社あるそうで、その内70~80%は中小企業です。それらの全てがCUIを扱うわけではないにせよ、NIST SP 800-171の110項目レベル(以下、「CUIレベル」という)を実装したシステムを自社で構築するには相当な費用がかかるということで、施策の見直しも取りざたされる事態となっています。
一般論としては、「セキュリティ体制整備の費用は自己負担」とされることへの企業サイドの危機感の表れであり、専門的視点で捉えると、整備に最も費用がかかるのは電子データの扱いについての多要素認証とデータ暗号化に関わる部分だと考えられます。自社用にオンプレミスで作るには莫大な費用が必要ですし、数少ない認定されたクラウドサービスを使うにしてもまだまだ高額です。
ところで、昨今「Cyber Hygiene(サイバー予防策/衛生:サイバーハイジーン)」などといった言葉を耳にする機会もあるのではないでしょうか。近代医学の発展に伴い「衛生」という概念が一般社会にも浸透していったように、サイバーセキュリティ分野も成熟しつつあることを感じさせる語だと、個人的には捉えております。
そんなサイバーハイジーンは、CMMCにも登場します。CMMCにおいては前述のふんわりした概念としてのサイバーハイジーンと趣を異にし、段階的なレベル分けがなされています。詳細な解説はまたの機会に譲るとして、今回は①CMMC的なサイバーハイジーンを狭義、②サイバーセキュリティにおける、その時代にマッチしたマナー的な(人によってイメージするものが違う、明確な定義として統一がなされていない)サイバーハイジーンを広義。そのように仮置きしてお話を進めさせていただきます。
CMMC Level 1、UK Cyber Essentials、IPA・情報セキュリティ自社診断など、「狭義の」サイバーハイジーンを最低限確保し得ると考えられる具体的なポイントをまとめたものも多く目にするようになり、政府関係組織と契約するための基本的要件として求められたり、企業として当然実施しているべき基礎的なレベルの対策と認識されたりしています(ここで挙げた例は、CMMCにおけるベーシックのサイバーハイジーンに相当します)。
例えば米国のCMMC L1は、CUIを扱う条件とするほど高度な要求ではなく、FCIと呼ばれる米国連邦政府との契約に必要なデータ(非開示情報など)といったもう少し軽いレベルの情報の扱いに対して、国防総省は遵守を義務化する方針を出しています。英国でもCyber Essentialsを政府契約の応札者条件として設定しています。また、IPA・情報セキュリティ自社診断は(SECURITY ACTIONとして)、各種補助金申請などの要件として多くの中小企業が活用しています。
昨年、わが国の中小企業の対応状況について、事後対応支援の実証と合わせて市場状況を調査したIPAの「サイバーセキュリティお助け隊事業」において、弊社はCMMC Level 1、IPA・情報セキュリティ自社診断を取り込んだセルフアセスメント(35項目)を、独自で開発・適用し、航空宇宙業界企業の実態調査を行いました。
その過程で、「狭義の」サイバーハイジーンをもっと手軽に身近なものにすることができれば、主に中小企業のみなさまの現状の課題を解消できるのではないかとの意義を見出すことができ、我々はこのレベルの各国の規程をサイバーセキュリティ対策における「エッセンシャルなレベル」と位置づけ、整理し、独自に「エヴァ・エッセンシャルズ」と名付けた管理策セットを開発しています。現在は、そのコンセプトに沿ってUK Cyber Essentialsの追加など、更なる有用性の向上を図っているところです。
広義のサイバーハイジーンについては、お助け隊の活動や日頃の業務の中等で、多くの事業者さまが意識的に実践されていることを肌感覚として実感いたしますので、この「エッセンシャルなレベル」のルールを、全ての関係事業者が日常的に守っている状態を当たり前にすることが、国や業界全体がサイバーセキュリティ対応を底上げ出来た状態であると我々は考えます。そして「エヴァ・エッセンシャルズ」は、そうした「エッセンシャルなレベル」のルールへの効果的で実践的な対応を実現し得る提案であると考えています。
ただ単なる「管理策」として提供するだけでなく、VMSというアンケート形式のセルフアセスメントも用意しており、分かりやすい設問とサポート情報により回答をし易くする工夫をしています。また、各社・各プロジェクトの個別の要件の追加・削除も簡単に対応できるようにしています。
そして、このセルフアセスメントを活用することにより、自動的にCMMC Level 1、UK Cyber Essentials、IPA・情報セキュリティ自社診断の遵守状況評価も行うことが出来ます。
その他、「エヴァ・エッセンシャルズ」に対応した情報管理規定(雛型)のご提供や、継続的な従業員教育が出来るe-learningなどの仕組みや教育コンテンツもあわせてご提供いたします。
「エッセンシャルなレベル」のルールは当然、世の中の状況により変化していきますが、もちろん「エヴァ・エッセンシャルズ」もその変化に常に追随して、改善・進化していきます。
最後に、「CUIレベル」のセキュリティ対策においても「エヴァ・エッセンシャルズ」をベースとして、関連サプライチェーン全体で採用可能なソリューションの適用と併せ、容易に「CUIレベル」の対策を構築できるようなご提案も可能です。様々なセキュリティ対策の中で、最も信頼されるベースとして活用される「エッセンシャルなレベル」の管理策セットとなるべく、引き続き開発を行って参ります。「エヴァ・エッセンシャルズ」の挑戦にご期待ください。
