国防総省などが主導して企業のセキュリティー強化を進める米国。無策のままでは差は縮まらない。脱却には「4つの方法」がある。

米国防総省は契約業者に対して厳しいセキュリティー対策を求める。米国では政府が規制強化を進めることで、民間企業のセキュリティー水準の向上を促している(写真=ロイター/アフロ)

 サイバーセキュリティー対策が不十分であれば、事業を続けられなくなる。そんな未来が刻一刻と迫っている。

 米国防総省は来年12月末までに、契約業者に対して米国立標準技術研究所(NIST)が定める厳重なセキュリティー対策ガイドライン「NIST SP800-171」の順守を義務化する方針だ。同省は戦闘機の設計図を筆頭に、極めて機密性の高い情報を取り扱う。契約業者がそうした情報を、社内できちんと管理することが求められる。

対策を強化する米政府
サイバー無策では国防総省に納入不可
国防総省は調達に関わる契約業者に対して、2017年12月31日までにセキュリティー対策ガイドライン「NIST SP 800-171」を順守するよう要求している
金融機関に年1回の検査を義務化へ
ニューヨーク州金融サービス局は2016年9月、同州で営業する銀行や保険会社を対象とした規則案を発表。毎年のリスクアセスメントなどを義務化するとした
サイバー無策は「不公正取引」として提訴
控訴裁判所は2015年8月、企業のセキュリティー対策を監督する権限が連邦取引委員会(FTC)にあると認定した
NIST基準に従わねば連邦政府に納入不可
国防総省と一般調達局は2014年1月、連邦政府機関による調達に関わる全契約業者に、国立標準技術研究所(NIST)の「サイバー・セキュリティー・フレームワーク」に基づくセキュリティー対策の実施を義務付けた

 ポイントは「社内情報システム間の境界を含めて、監視、制御、通信保護を行う」こと。PART1で示したように、社内システムに侵入されてから1年以上も気が付かない日本企業は論外だ。

 国防総省が直接取引している防衛関連企業に厳しい規制を課せば、サプライチェーン全体に波及するのは必至だ。米モルガン・ルイス&バッキアス法律事務所のマーク・クロトスキー氏は「取引先が重要情報を漏洩したら規制当局から責任を問われるため、米企業は取引先のセキュリティー対策を厳しくチェックするのが当たり前になっている」と指摘する。そうなれば、防衛産業に商品やサービスを納入している、多くの日本企業も無縁ではいられない。

 これから1年2カ月のうちに対応できない企業は、年間数十兆円と言われる国防総省の調達市場から締め出されることになりかねない。だが、「日本の企業は、規制がもたらすインパクトをほとんど認識していない」と、安全保障に詳しい多摩大学ルール形成戦略研究所の國分俊史所長は嘆く。

 国防総省以外のハードルも上がっている。米一般調達局は既に、連邦政府機関による調達に関わる全契約業者に、NISTの「サイバー・セキュリティー・フレームワーク(CSF)」に基づく対策を義務付けている。システムの防御だけでなく、サイバー攻撃を受けた際の復旧策も講じる必要がある。

 背景にはオバマ政権の強い意向がある。2013年に大統領令を発し、「米国の重要インフラのセキュリティーとレジリエンスを高める」ことを掲げた。「レジリエンス」とは復元力という意味。サイバー攻撃は不可避であり、むしろ、どのように復旧するかが大事になった。攻撃に対処できない企業は、米国政府相手にビジネスができない。そんな時代が到来しつつあるのだ。

 セキュリティーを無視する企業は、規制当局の制裁対象にもなる。

 米控訴裁判所は2015年8月、企業のセキュリティー対策を監督する権限が米連邦取引委員会(FTC)にあると認定した。FTCはそれに先立ち、適切な対策を講じずにクレジットカード情報を3度漏洩した米ホテルチェーンを、「不公正な取引をした」として提訴した。

 「デイズ・イン」などを展開するこのホテルチェーンはFTCに、セキュリティー対策の拡充などを命ぜられた。

 政府からの圧力が急速に高まる中、米国企業はあの手この手でセキュリティー強化に乗り出している。