我々は、この一連のDFARS/171騒動の渦中で、米国のサイバーセキュリティ対策についての考えを次のように推測しています。
昨今の標的型攻撃のようにオレオレ詐欺的に人間感覚の隙をついて、システムの内部に入り込み、内側から操作して情報を盗み出すやり方については、どのように侵入に対する強固な防御システムを構築してもほとんど意味をなしません。そこで、究極の情報セキュリティの形を『守るべき情報は電子的に暗号化され、それを解くにはしかるべき権限を与えられた利用者しか見ることができない。権限の無い者が解読するには相当のコスト、期間を要するというハードルを課す。』というシステム運用形態を究極の目標としているに違いないと推定しました。
もちろん、その守るべき情報は全て電子データ化され、紙などに印刷もできません。USBなどの媒体にコピーしても構いませんが、閲覧時にはやはり認証と権限確認が必要となり漏洩時と同じく解読には多大な労力を要するわけです。また、正規利用者への成りすましも最大限防止するためにNIST SP800-63の体系に沿ってレベル2~3に相当する多要素認証を必須とします。
そこでDFARSを読み直すと、『下請け業者にCUIを渡す際にも、自らが課せられたと同じ制約をフローダウンせよ』とあります。先の仮説ではCUIを扱う全ての利用者が同じ条件で対応策を遵守することが必要ということになります。ゆえに、契約条件としてフローダウンを要求しているわけです。
契約によって縛られる相手方以外にもCUIは流れる可能性はありますが、このフローダウン規定によって、ほとんどの関係者はカバーするものと考えます。その場合でも、CUIが我々の仮説のように暗号化されていれば関係者以外に漏れても心配はありません。
さらに、DoDの関連文献によく書かれているのは、コストアップ要因にしないことです。ともかく本対策を実施することによって、調達のコストがあがってしまうことは避けなくてはなりません。従って、ひたすら無用な投資はしなくて良いとか、DoDへの届出や監査・認証なども一切行わないと宣言しているのです。
それでも、我々の読みではこれら暗号化と個人認証のしくみを使うには、それなりのコストが必要であることはしかたありません。ともかく、本要件に対応するコストを最小限に抑える、という方針が垣間見えます。特に、中小企業にとってはCUI対応によるコスト増は契約を取れるかどうか死活問題でもあり、それなりに安価に要件を満たす体制を作ることが重要です。
ところで、情報セキュリティの要件としてはISMS(ISO/IEC 27001)が一般的ですが、ISMSは主にPDCA(*9)により組織のセキュリティ意識や対策を逐次上げていくことを主眼としています。翻ってNIST SP800-171ではもちろんPDCAの要求はしていますが、中に何点かの具体的なレベルでの対策要求が含まれています。それは、
・多要素認証
・暗号化
ではないかと考えています。これらは、ISMSの最低限の合格ラインよりは高次な要求と言えます。その解は、我々は以下のように考えています。
① CUIは全て電子データとする
現実のCUI運用では、紙や媒体でも閲覧することは避けられません。将来は電子データのみで良いというシステムを検討するとしても、当面はCUIが紙に書かれた状態は無くすことは困難でしょう。NIST SP800-171は、紙の管理でもいいけれど、要件を満たすためには鍵のかかる保管場所で、鍵のアクセス管理や閲覧環境の制限などと考えれば、従来のClassified Informationなどの扱いに近い対策となってしまいます。
つまり、紙のCUIに対する対策は、従来の不便さや隔離管理のためのコスト負担などマイナスの要因が大きいわけです。これまで、「秘」を扱ってきた経験のある企業はまだしも、今回新たにフローダウンされるサプライチェーンの中小企業にとってはハードルが高いといわざるを得ません。
② クラウドの利用
さらに、昨今のアウトソーシングの流れから、受託した事業者社内に閉じて契約作業を行うことはまれで、いくつかの下請け企業に適材適所の作業分担をすることが一般的になっています。その場合は、情報の共有手段としてクラウドにより地理的な制約なくデータを共有できる仕事のやり方が望まれるとともに、作業効率・コスト最小化などに貢献する方法としてクラウド利用がその答えであると言えます。
このことから、『CUIは全て電子データとしてクラウドに管理し、正当な権限を保持した利用者のみが閲覧でき、紙等への印刷は行わず、データは全て暗号化され遺失しても問題にはしない』という運用が理想に見えてきます。
③ データ自身の暗号化
さて、そうした世界を実現できる実装可能なソリューションはDRM(*15)と呼ばれる、コンテンツそのものを暗号化などの方法によってロックするソリューションです。
④ 個人認証の基盤整備
DRMを運用するためには、様々な権限のある利用者を識別するための認証基盤も必要です。ただし、セキュリティポリシーが均一になる範囲でセミクローズなユーザーグループでの運用で良いと考えています。例えば、業界毎やそのサプライチェーンにわたる関係者だけのネットワークを構成するケースなどです。
その際の基本的な認証の枠組みは、やはり米国のNIST SP800-63が基本となると考えます。またSP800-63は今後、ISO化が検討されるなどでさらに世界標準になってゆくことでしょう。
サイバー対応は、複数のメンバが共同作業をする時には、全体のセキュリティレベルはもっとも低いメンバのセキュリティレベルになってしまう、という原則があります。従って、全てのメンバの対応力を底上げする以外に強度をあげる方法はありません。
中小企業も含めた我が国の新しい対応力は、NIST SP800-171を日本的に手直しし、意識改革(PDCA(*9) )+認証基盤(多要素認証)+暗号のしくみ(DRM)という情報インフラをクラウドサービスとともに普及させてゆくことが、全体の底上げとなってゆくものと我々は考えます。我々は特に中小企業の皆様をサポートすることで、この底上げに貢献してゆきたいと考えています。
※1 NARA(The U.S. National Archives and Records Administration)
※2 NIST(National Institute of Standards and Technology)
※3 DFARS(Defense Federal Acquisition Regulation Supplement)
※4 FAR(Federal Acquisition Regulation)
※5 CUI(Controlled Unclassified Information)
※6 CDI(Controlled Defense Information)
※7 CTI(Controlled Technical Information)
※8 ISMS(Information Security Management System)
※9 PDCA(plan-do-check-action cycle)
※10 SSP(System Security Plan)
※11 PoA(Plan of Action)
※12 DIB(the Defense Industrial Base Cybersecurity (CS) Program)
※13 FIPS(Federal Information Processing Standard(s))
※14 FedRAMP(The Federal Risk and Authorization Management Program)
※15 DRM(Digital Rights Management)
参考文献
- Executive Order 13556
— Controlled Unclassified Information November 04, 2010 - NIST SP800-171
Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations (NIST 2017)
「非連邦政府組織およびシステムにおける管理対象非機密情報(CUI)の保護」 - NIST SP800-63
Digital Identity Guidelines (NIST 2017)
「電子認証に関するガイドライン」 - DFARS 252.204-7012
Safeguarding Covered Defense Information and Cyber Incident Reporting
「管理対象防衛情報(CDI)の保護とサイバーインシデント報告」 - Exostar LLC
米国の航空・防衛企業らが共同で設立した認証サービスを提供する会社(Boeing, Lockheed Martin, Raytheon, BAE systems, Rolls-Royce, MERC) - Carillon Information Security Inc.
カナダの認証ソリューションを提供する企業
