미 방위 조달의엄격화 일본 기업도 사이버공격 대책을급
미국이 방위 분야의 정부 조달로 정보 관리의 엄격화를 결정했다.이것이 국제 표준으로서 타산업으로 확대하는 염려도 있어, 일본의 산업계로서는 서플라이 체인(supply-chain) 전체로 대책을 서두를 필요가 있다.
새로운 규제에서는, 방위 관련으로 지금까지 비밀 지정하지 않았던 정보에 대해서도 일정한 순서에 근거하는 「CUI」관리의 체제를 의무 지운다.구체적으로는 미국립 표준 기술 연구소의 지침 「SP800―171」에 따라, 사이버 공격 등에 갖춘 시큐러티 체제를 정비한다.
이 규제는 간접적인 거래관계에 이르러, 예를 들면 미 레이세온이나 미국과 러시아 키드·마틴과 방위 장비품을 공동 개발하는 미츠비시중공업이 대응에 고심하고 있다.자사에서만 수억엔의 투자가 발생한다고 보여져 또 수백사에 이르는 하청 기업등의 정보 관리도 재확인해야 한다.
하청 기업안에는, 이것에 응한 비용 증가를 부정적으로 보는 케이스가 있을것이다.만약 거래 중지나 사업 철퇴가 되면, 일본의 방위 산업의 서플라이 체인(supply-chain)가 요동한다.또 미국에서는, 이것을 ISO 규격화하려는 움직임이 있어, 인프라나 자동차 등 타산업에서도 주의가 필요하다.
글로벌 밸류 체인의 확대와 함께 사이버 공격의 수법은 교묘화 해, 그 범죄의 기점도 국경을 넘어 퍼지고 있다.일본의 산업계라고 해도 적절한 대책은 불가결하다.
정보처리 추진 기구(IPA)의 조사에 의하면, 업무 위탁처의 시큐러티 대책 상황을 「충분히 확인 되어 있다」라고 한 기업의 수는, 미국의 반이하, 유럽의 3분의 2였다.또 경영자층이 정보 시큐리티의 의사결정에 관여하고 있는 비율도 구미보다 낮다.
기업은 사이버 공격에의 대책을 「투자」라고 파악해 준비를 만전으로 할 필요가 있다.대책이 불충분한 중소기업은, 서플라이 체인(supply-chain)로부터 떼어진다고 하는 위기감을 강하게 가져야 한다.
정부는 구미등과의 제도 조화를 도모하는 것과 동시에, 관계 부처가 제휴해 정책을 구체화해야 한다.동시에 사이버 시큐러티 인재를 육성하는 것으로, 산업계의 과제 해결에 연결하면 좋겠다.
https://www.nikkan.co.jp/articles/view/00463726
米防衛調達の厳格化 日本企業もサイバー攻撃対策を急げ
米国が防衛分野の政府調達で情報管理の厳格化を決めた。これが国際標準として他産業に拡大する懸念もあり、日本の産業界としてはサプライチェーン全体で対策を急ぐ必要がある。
新たな規制では、防衛関連でこれまで秘密指定していなかった情報に対しても一定の手順に基づく「CUI」管理の体制を義務づける。具体的には米国立標準技術研究所の指針『SP800―171』に従い、サイバー攻撃などに備えたセキュリティー体制を整備する。
この規制は間接的な取引関係に及び、例えば米レイセオンや米ロッキード・マーチンと防衛装備品を共同開発する三菱重工業が対応に苦慮している。自社だけで数億円の投資が発生するとみられ、また数百社に及ぶ下請け企業などの情報管理も再確認しなければならない。
下請け企業の中には、これに応じたコスト増を嫌気するケースがあろう。もし取引中止や事業撤退となれば、日本の防衛産業のサプライチェーンが揺らぐ。また米国では、これをISO規格化しようという動きがあり、インフラや自動車など他産業でも注意が必要だ。
グローバルバリューチェーンの広がりとともにサイバー攻撃の手口は巧妙化し、その犯罪の起点も国境を越えて広がっている。日本の産業界としても適切な対策は不可欠だ。
情報処理推進機構(IPA)の調査によると、業務委託先のセキュリティー対策状況を「十分に確認できている」とした企業の数は、米国の半分以下、欧州の3分の2だった。また経営者層が情報セキュリティーの意思決定に関与している比率も欧米より低い。
企業はサイバー攻撃への対策を「投資」と捉え、備えを万全にする必要がある。対策が不十分な中小企業は、サプライチェーンから外されるという危機感を強く持つべきだ。
政府は欧米などとの制度調和を図るとともに、関係省庁が連携して政策を具体化すべきだ。同時にサイバーセキュリティー人材を育成することで、産業界の課題解決につなげてほしい。
https://www.nikkan.co.jp/articles/view/00463726