サイバーセキュリティー対策が不十分であれば、事業を続けられなくなる。そんな未来が刻一刻と迫っている。
米国防総省は来年12月末までに、契約業者に対して米国立標準技術研究所(NIST)が定める厳重なセキュリティー対策ガイドライン「NIST SP800-171」の順守を義務化する方針だ。同省は戦闘機の設計図を筆頭に、極めて機密性の高い情報を取り扱う。契約業者がそうした情報を、社内できちんと管理することが求められる。
ポイントは「社内情報システム間の境界を含めて、監視、制御、通信保護を行う」こと。PART1で示したように、社内システムに侵入されてから1年以上も気が付かない日本企業は論外だ。
国防総省が直接取引している防衛関連企業に厳しい規制を課せば、サプライチェーン全体に波及するのは必至だ。米モルガン・ルイス&バッキアス法律事務所のマーク・クロトスキー氏は「取引先が重要情報を漏洩したら規制当局から責任を問われるため、米企業は取引先のセキュリティー対策を厳しくチェックするのが当たり前になっている」と指摘する。そうなれば、防衛産業に商品やサービスを納入している、多くの日本企業も無縁ではいられない。
これから1年2カ月のうちに対応できない企業は、年間数十兆円と言われる国防総省の調達市場から締め出されることになりかねない。だが、「日本の企業は、規制がもたらすインパクトをほとんど認識していない」と、安全保障に詳しい多摩大学ルール形成戦略研究所の國分俊史所長は嘆く。
国防総省以外のハードルも上がっている。米一般調達局は既に、連邦政府機関による調達に関わる全契約業者に、NISTの「サイバー・セキュリティー・フレームワーク(CSF)」に基づく対策を義務付けている。システムの防御だけでなく、サイバー攻撃を受けた際の復旧策も講じる必要がある。
背景にはオバマ政権の強い意向がある。2013年に大統領令を発し、「米国の重要インフラのセキュリティーとレジリエンスを高める」ことを掲げた。「レジリエンス」とは復元力という意味。サイバー攻撃は不可避であり、むしろ、どのように復旧するかが大事になった。攻撃に対処できない企業は、米国政府相手にビジネスができない。そんな時代が到来しつつあるのだ。
セキュリティーを無視する企業は、規制当局の制裁対象にもなる。
米控訴裁判所は2015年8月、企業のセキュリティー対策を監督する権限が米連邦取引委員会(FTC)にあると認定した。FTCはそれに先立ち、適切な対策を講じずにクレジットカード情報を3度漏洩した米ホテルチェーンを、「不公正な取引をした」として提訴した。
「デイズ・イン」などを展開するこのホテルチェーンはFTCに、セキュリティー対策の拡充などを命ぜられた。
政府からの圧力が急速に高まる中、米国企業はあの手この手でセキュリティー強化に乗り出している。
Powered by リゾーム?