最新鋭ミサイルの性能情報漏洩か 三菱電機サイバー攻撃
コメント
選択しているユーザー
米国やオーストラリア、イギリス等の政策決定者や識者と議論すると「本音では日本とより広範な情報共有を進めて行きたい」と言われることが少なくない。IoT時代が進展することで日本しか持たないサイバーインシデント情報や、米中競争の激化により日本が周辺国家に関して持つインテリジェンスの情報価値が増大しているからだ。
このような背景から「ファイブアイズ」と呼ばれる米英豪加星の5ヶ国が加盟国である機密情報共有ネットワークの第六カ国目として日本も入るべきではないか、との提案もチラホラ聞かれるようになってきた。経済と安全保障が従来に比べてより緊密に絡む時代において、この情報共有ネットワークから日本が得られるであろうサイバーセキュリティや地政学的リスクに関する情報は日本にとって非常に有益だ。
しかし、この議論は最終的には同じ結論に至ってしまう。それは、「日本は政府・民間レベル共に機密情報の扱いに関する『人材』・『制度』・『文化』の全てが成熟していないため、日本を『ファイブアイズ』の一員とするには時期尚早だ」と言うものだ。
今回の最新鋭ミサイルに関する情報漏洩は、残念ながら「日本の機密情報保護の成熟度」に対する各国の懐疑的な評価が正しいことを示してしまっている。日本がすべきは、この漏洩を新たなる教訓の一つとして粛々と再発防止を進めて行き、各国の信頼を得ていくことだろう。
注目のコメント
①企業側の情報管理の甘さ、②民間のネットワークのセキュリティーの質の両方に課題があることが露呈した事件。本来であれば紙で保存すべきものをネットワークにアップロードしたという、初歩的なミスは問題外。
井形先生が書かれているよう、ファイブアイズに加わるレベルに達していないことが明らかになったことはもちろん、今後装備品の他国との共同開発の可能性にも影響が出てきそうな、非常に残念な事件。以下に関しては防衛省側に落ち度があります
当時の契約条項にはいわゆる情報セキュリティ特約が付与されていましたが、その内容はあいまいで、明確な技術的基準にまで踏み込んだものではなかったので簡単に過失責任を問うことはできません。
「ただ、「防衛業務の遂行に支障を与える恐れがある」とした「注意情報」に該当。防衛装備庁は三菱電機にも情報保全の徹底を誓約させていた。」
ただし、大きな問題なのは、米国との関係です。
彼らが漏洩させた情報は米国におけるControlled Unclassified Information(CUI)に該当する可能性が高い
そうなってくると米国は、米国の国家安全保障に重要な役割を果たす情報(CUI)が漏洩したと判断するでしょう
この時に、当時有効な何らかの契約関係にあったとすれば、すでに米国側で何らかの協議がなされているはずです。
制裁であり今後の発注にかかわることです
特にDFARS 252.204-7012もしくはFAR 52.204-21などを契約条項として含むものが存在した場合にはCUIの保護はNIST SP800-171に基づいていなければなりませんが、同社が発表した声明には「NIST CSFに準拠していた」ということでした
ある記者が「171かCSFかどっちだ」と聞いたところ最初は171と答えていたところを撤回したと聞いています(真偽は保証できかねますが)
もし仮に当時SP800-171に準拠しない形でこのインシデントが起きていたとするならば過失責任が確定します
また、前述した日本の防衛省、正確には防衛装備庁の情報セキュリティ特約改定の動きがコロナで遅れているとはいえ1年2年くらいのスパンで、我が国の基準も実質SP800-171の基準まで来ます
さらに言うとDIBが主導するCMMCのレベル3以降はすべてSP800-171の基準がないと入札に参加できません
このようなことは随分と昔から日本政府と対話してきましたし、うちの研究所からも幾度となく警告してきたにもかかわらず滑稽でなりません
同社を含め日本の防衛産業の一部は大急ぎで大枚をはたいてNIST対応をすることになるでしょう
さらにCMMCは全産業展開の方向性で動いています
別産業も対岸の火事ではないことを認識する必要があります。