脆弱なサイバーセキュリティは、日本に拠点を置く米国の兵器やその他の戦略的資産に対する脅威を増大させている。
Scott Foster
Asia Times
June 26, 2023
地元メディアの報道によると、岸田文雄首相は、政府関連企業に米国の基準を満たすよう義務付けることで、日本のサイバーセキュリティの劣勢を許容レベルまで引き上げたい考えだという。日本の防衛関連企業やその他の企業・機関への度重なるハッキングは、これを最優先事項としている。
NIST SP 800-171として知られる米国の基準は、米国防総省やその他の政府機関に供給する請負業者に適用される。この規格には、アクセス管理、監査と説明責任、セキュリティ評価、通信保護、サプライチェーンのリスク管理、インシデント対応などが含まれる。
これらは、米国商務省の国立標準技術研究所(NIST)によって定義され、監督されている。NIST SP 800-171の改訂版が5月10日に発表された。重要な変更点には、あいまいさを取り除き、有効性を向上させ、評価の範囲を明確にするための、より具体的な要求事項が含まれている。パブリックコメントの期限は7月14日。
日本政府のサイバーセキュリティ戦略本部がアップグレードを担当し、外部委託先が省庁や行政機関と協力する際に満たすべき情報セキュリティ基準を引き上げる。内閣府の一部で、内閣官房長官が率いる。
新基準は、2024年3月31日までの年度末までに実施されると言われている。1,000社以上の業者が影響を受けると思われる。
サイバーセキュリティは日米の長年の課題である。東京郊外にある慶應義塾大学湘南藤沢キャンパス(SFC)にある慶應義塾大学総合研究所の上級研究員で、サイバーセキュリティの専門家であるポール・カレンダー氏によると、「セキュリティのニーズは当初、主にイージス艦の弾道ミサイル防衛など、兵器プラットフォームを守るためにアメリカによって推進された」ものの、「現在ではすべてのセキュリティは商用ネットワークと軍事ネットワークのハイブリッドになっている」という。
日米が日本のBMD(弾道ミサイル防衛)システムの共同開発・配備に向けた準備を進める中で、情報保障(現在ではサイバーセキュリティと呼ばれるもの)に対する懸念から、米国が日本に「情報保障とコンピュータ・ネットワーク防衛に関する協力に関する覚書」を締結させ、さらに2007年には「日米軍事情報一般安全保障協定(GSOMIA)」を締結させた。今回の発表は、GSOMIAにさかのぼる努力の孫のようなものだ。
2011年、日本最大の防衛関連企業である三菱重工業(MHI)は、正体不明の攻撃者が同社の複数のオフィス、工場、研究開発施設のサーバーやコンピューターにアクセスし、マルウェアをインストールしていたことを認めた。三菱重工のミサイル、潜水艦、原子力発電所の技術が狙われたと報じられている。
カレンダー氏は言う。「三菱重工に起こったことは、日本が米国の請負業者と共同開発しているイージス艦ミサイルの高度化に関する技術(戦闘機や宇宙技術に関する技術も同様)が、日本の主要な軍事請負業者の脆弱性を明らかにしただけでなく、戦略的研究開発に従事している日本中の産業や研究が、高度に組織化された国家による高度持続的脅威の協調的キャンペーンの危険にさらされていることを明らかにしたと推測されています。」
日本にとっては、ゼロ年目のようなものであった。政府の誰か、つまり内閣総理大臣官邸が主導権を握り、多数の省庁にまたがる取り組みを調整し、一体となった国家的なサイバーセキュリティ計画と調整を行う必要があったのだ。
2021年12月、朝日新聞は、「2019年6月の三菱電機へのサイバー攻撃で、日本で初めて公に認められた国家機密情報の漏えいを構成するデータが漏洩したことを防衛省が認めた」と報じた。
同社関係者は、中国のハッカーの仕業だと思うと語ったが、証拠は提供されなかった。三菱電機は、日本の陸上自衛隊、海上自衛隊、航空自衛隊のためにレーダーやその他の電子システムを製造している。
2020年1月、NEC(日本の通信機器の大手メーカーであり、防衛省と日本の宇宙開発を主導する宇宙航空研究開発機構(JAXA)の両方の請負業者)は、2016年12月にサイバー攻撃の被害を受けていたものの、2017年6月までそれを検知できなかったことを明らかにした。
2018年7月にようやく関係するメッセージを解読できたとき、NECは防衛事業からファイルが盗まれていたことを発見した。2021年と2022年には、日本第2位の通信機器メーカーであり、コンピューティングとソフトウェア・サービスのプロバイダーである富士通がハッキングされた。これらのサイバー攻撃により、複数の政府機関に提供されていたクラウド型SaaSが侵害された。
また、日本では非国防企業やその他の組織に対するサイバー攻撃も増加しており、その標的は自動車メーカーから菓子メーカー、国営通信事業者のNTT、インターネット・メッセージング・サービスのLINE、ヤフー・ジャパン、日本航空など多岐にわたった。政策庁によると、ランサムウェア攻撃の件数は2021年の146件から2022年には230件に増加した。
米国が、日米安全保障条約の下で防衛し、空軍、海軍、海兵隊の基地を保持し、戦闘機やその他の兵器システムを製造している日本に対して、サイバーセキュリティの強化を求めているのも不思議ではない。
今年1月6日、西村康稔経済産業大臣とアレハンドロ・マヨルカス米国土安全保障長官は、ワシントンでサイバーセキュリティに関する協力覚書(MOC)に署名した。
このMOCは、産業用制御システムのセキュリティ向上、能力開発、規制・制度の調和を目的とした業務協力をカバーするものである。その目的は、リスクと脆弱性を特定し削減することにより、同等レベルのソフトウェア・セキュリティを確立することである。
日本と米国はまた、サイバーセキュリティにおける協力を、四極安全保障対話(Quadrilateral Security Dialogue)の他の2つのメンバーであるオーストラリアとインド、およびその他のインド太平洋地域の同盟国にも拡大することを目指す。
