EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
防衛省が装備品等及び役務の調達において防衛関連企業に求めるセキュリティ対策として、2023年4月から適用されている「防衛産業サイバーセキュリティ基準」についてのポイントを解説します。
要点
- 防衛省と2023年4月以降に契約する場合は、原則として新基準である「防衛産業サイバーセキュリティ基準」にのっとったセキュリティ対策が求められている。
- 新基準では、特に技術的な対策が付紙「システムセキュリティ実施要領」にまとめられており、旧基準から細分化、詳細化され、厳しい管理が求められている。
- 防衛省との契約においては、防衛省の情報セキュリティ監査を受ける必要があり、指摘事項がある場合には、是正措置をとることが求められる場合がある。
1. 防衛産業サイバーセキュリティ基準について
1-1. 防衛産業サイバーセキュリティ基準の概要
防衛省では、調達に当たって防衛関連企業に対して求める情報セキュリティ対策として、2004年から「調達における情報セキュリティ基準」(以下、旧基準)での整備・運用を実施していましたが、昨今のサイバー攻撃の急増、深刻化を受けて、22年3月に「防衛産業サイバーセキュリティ基準」(以下、現行基準)を整備し、23年4月以降の新規契約から適用が開始されました。
現行基準は米国政府が自国の防衛産業に求める基準と同レベルのものを目指し、米国立標準技術研究所(以下、NIST)が発行するSP800-171を参考にして、「攻撃に対する防御に加えて、サイバー攻撃の早期発見と対処のための強化」(検知・対応・復旧の要素を強化)した内容に大幅にアップデートされました。
防衛装備庁「防衛産業サイバーセキュリティ基準の整備について」2025年6月 www.mod.go.jp/atla/cybersecurity.html(2025年6月6日アクセス)を基に当法人作成
旧基準は、紙媒体やスタンドアロン環境での運用を想定した対策基準であったのに対して、社内外のネットワークに接続する環境でシステムを構築することが一般的な現在の運用環境に合わせて、特に技術的対策の項目が追加・更新されており、防衛省との契約に当たって、自社が置かれている環境に合わせて現行基準にのっとった対策をとることが必要となります。
1-2. 現行基準の保護対象とする情報
防衛省との契約において取り扱う情報(保護対象情報)は、秘密情報である「特定秘密」「特別防衛秘密」「秘密」と、秘密情報ではないが機微な情報(注意情報)である「保護すべき情報」に分類され、それぞれに情報保全のための特約条項が定められています。
現行基準の対象となるのは、注意情報に当たる「保護すべき情報」が該当し、「装備品等及び役務の調達における情報セキュリティの確保に関する特約条項」(以下、特約条項)に定められています。
「保護すべき情報」は、防衛省との契約に当たって防衛省から指定されるもので、契約相手方(防衛関連企業)は指定された情報を保全するための適切な管理として、現行基準に従って、必要な措置をとることが求められています。
なお、保護すべき情報には、指定された情報そのものだけではなく、取り扱う過程で生成された情報やコピー情報等も含まれます。
防衛装備庁「防衛産業保全について」 P8「防衛省の保護対象情報」2023年5月 www.cas.go.jp/jp/seisaku/keizai_anzen_hosyo_sc/dai5/siryou4.pdf(2025年6月6日アクセス)を基に当法人作成
1-3. 対象企業と適用時期
現行基準では、2023年4月1日以降の装備品等及び役務の調達にかかる防衛省との契約のうち、保護すべき情報の取扱いが含まれるすべての契約が適用対象とされています。
また、適用範囲は防衛省と直接契約関係にある契約相手方(防衛関連企業)だけではなく、その委託先企業(下請負者)も現行基準の対象として含まれるため、防衛関連企業は下請負者の管理が求められます。
なお、原則として現行基準での適用が求められていますが、特約条項 第9条(適用の特例)の通り、現行基準に適合した対策をとるのに時間を要する等の理由により対応が困難である場合は、防衛省と合意の上で「事業計画」を提出し、適当であると認められた場合において旧基準での対応が特例として認められています。
ただし、当該対応は2028年3月31日までの経過措置であり、近年のセキュリティリスクの高まりを踏まえて、できるだけ早期に現行基準での対応が求められています。
1-4. 現行基準の構成と特徴
現行基準は、特約条項の別紙の位置づけである「装備品等及び役務の調達における情報セキュリティ基準」(以下、情報セキュリティ基準)とその付紙である「装備品等及び役務の調達における情報セキュリティの確保に関するシステムセキュリティ実施要領」(以下、システムセキュリティ実施要領)の構成になっています。
情報セキュリティ基準は、組織的・物理的・人的の各対策が中心なのに対して、システムセキュリティ実施要領は技術的対策が対象となり、セキュリティ対策の幅広い領域の対応が求められています。
防衛装備庁「防衛産業サイバーセキュリティ基準の整備について」2025年6月 www.mod.go.jp/atla/cybersecurity.html(2025年6月6日アクセス)を基に当法人作成
現行基準の特徴は、以下の通りであり、旧基準から大きくアップデートされた点でもあります。
特に技術的な対策は、付紙「システムセキュリティ実施要領」にまとめられており、旧基準から細分化、詳細化され、厳しい管理が求められています。
- 組織的対策として、自社体制の細分化、下請負者の管理が求められていること
- 取扱施設等の物理的及び環境的セキュリティ対策がより詳細化されていること(取扱施設に加えて関係施設の管理)
- 情報セキュリティ事故等の対応として、発生時の報告等だけではなく、計画策定や事前の対処テストまで求められていること
- 保護すべき情報に関連するリスク特定、分析、評価、査定といったリスク管理が求められていること
- 現行基準の対応に当たって、監査部門によりセキュリティ監査を実施する必要があること
- 技術的対策がより詳細化されており、自社の対策状況を「システムセキュリティ実装計画書」として作成し、防衛省に提出する必要があること
- 通信制御、システム監視、システムログ、バックアップ等の攻撃後の検知・対応・復旧に関する項目が新設または大幅に更新されていること
防衛装備庁「調達における情報セキュリティ基準」www.mod.go.jp/asdf/4dep/kokoroe.deta/jouhousecuritykijyun-R11202.pdf および
防衛装備庁「装備品等及び役務の調達における情報セキュリティ基準」www.mod.go.jp/atla/cybersecurity/01_kijun_0317_att_r07.pdf(いずれも2025年6月6日アクセス)を基に当法人作成
1-5. 防衛省に提出が求められる文書類
防衛関連企業では現行基準の内容に沿った情報セキュリティ基本方針等(情報セキュリティ基本方針、情報セキュリティ規則、情報セキュリティ実施手順)を作成し、防衛省の確認を受ける必要があります。
また、防衛省との契約において、保護すべき情報の取扱者として指名した者のリストである「取扱者名簿」や現行基準に規定する措置を実施・適合していることを証明するための「システムセキュリティ実装計画書」の提出が必要となっており、自社で実施したセキュリティ監査の結果で定められた期限までに対応ができない場合には「是正計画」の提出も必要となっています。
特に、「システムセキュリティ実装計画書」は、保護すべき情報を保護システムで取り扱うまでに防衛省の確認が完了している必要があり、契約締結後の提出から確認完了まで2カ月程度要することが示されているため、防衛省との契約締結が見込まれる場合には事前に準備しておくことが必要となります。
防衛装備庁「装備品等及び役務の調達における情報セキュリティ基準」www.mod.go.jp/atla/cybersecurity/01_kijun_0317_att_r07.pdf(2025年6月6日アクセス)を基に当法人作成
1-6. 保護すべき情報を扱う環境
保護すべき情報を扱う防衛関連企業の環境は、旧基準で主な対象とされていた紙媒体のみでの管理、スタンドアロン環境での管理に加えて、社内外のネットワークに接続した環境での管理が想定されており、保護すべき情報を扱う環境に応じて、現行基準が対象とする範囲が異なるため、自社の環境を整理し、適切な対策をとることが求められています。
しかしながら、現行基準に準拠したIT環境の構築には、設備の導入やツール・サービス等の導入が必要となり、新規で対応するには負担が大きくなる場合があります。
そこで、防衛省では、保護すべき情報を官民間で電子データの形で安全かつ効率的に供することを可能にする通信基盤である「防衛セキュリティゲートウェイ」(以下、DSG)を整備しています。
DSGは、防衛省との契約締結の見込みがあり、現行基準における取扱施設等の整備が行われている等の要件を満たせば加入申請をすることができます。
また、防衛省が提供する環境を利用することにより現行基準で求められている条項の一部の対応が不要(防衛省が提供する環境でカバー)となる場合があります。
参照:防衛装備庁「DSG概要」www.mod.go.jp/atla/dsg/gaiyo.html(2025年6月6日アクセス)
1-7. 契約における監査対応
保護すべき情報を扱う防衛関連企業は、防衛省の契約において特約条項 第5条(監査)の通り、防衛省から保護すべき情報の取扱いが適切に行われているかの監査(以下情報セキュリティ監査)を受ける必要があります。
情報セキュリティ監査は、「装備品等及び役務の調達における情報セキュリティ監査実施要領」(装装保4210号 装備品等及び役務の調達における情報セキュリティ監査実施要領について(通知)別添)に基づいて実施され、情報セキュリティ基本方針等の確認と実地監査が行われた結果、指摘事項がある場合には、是正措置をとることが求められる場合があります。
2. 現行基準の対応に当たっての防衛省の費用負担制度(防衛生産基盤強化法)
現行基準への対応に当たっては、取扱施設等の構築や技術的対策の導入等の高額な費用が発生することが想定され、防衛関連企業にとって大きな負担となることが考えられます。
防衛省ではその支援のため、防衛大臣への申請を行い、認められた場合に必要な費用を防衛省が負担する仕組みとして「防衛生産基盤強化法」が整備されています。
支援の範囲は、「特定取組」として定義されており、以下4類型となっています。
- 供給網(サプライチェーン)強靭化
- 製造工程効率化
- サイバーセキュリティ強化
- 事業承継等
そのうち、「3 サイバーセキュリティ強化」では、現行基準に適合するものとして、脆弱性調査、情報システム上の強化、物理的対策の強化、社内人材育成等が対象事業例として示されています。
申請に当たって「装備品安定製造等確保計画」を作成したり、認められた後に費用の妥当性チェックを受ける等の対応が必要となりますが、現行基準の対応において必要な支援を受けられる可能性があるため、自社で費用負担することが防衛省との契約の障壁となっている場合は検討する余地があるものと考えられます。
3. 米国の動き
現行基準が参考としているNIST SP800-171は、現行基準が公開された後の2024年5月にRev.3として改訂され、また、そのSP800-171が要件の一部に含まれる米国国防総省が防衛産業等から調達する際に求める要件であるサイバーセキュリティに関する認証プログラム「CMMC(Cybersecurity Maturity Model Certification)」も2.0として発表され、今後米国において適用が開始される見込みと考えられます。
諸外国との防衛装備・技術協力が拡大する中で、サイバーを含む情報保全の強化が必要であり、諸外国との間で実質的同等な制度を設けることが不可欠であることから、米国等の諸外国の動向を注視する必要があります。
【共同執筆者】
EY新日本有限責任監査法人 Technology Risk事業部
マネージャー 柴田 慎一郎
サマリー
防衛省との契約に当たっては、保護すべき情報を扱うまでに提出が求められる文書(適合チェックリストによるチェック含む)があり、また契約後においても防衛省の監査を受ける必要があることから、現行基準にのっとった組織的・人的・物理的・技術的な各対策を講じ、それらの対策が十分かつ適切であるかを第三者的な視点でチェックすることが必要と考えます。
EYの関連サービス
-
技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。
続きを読む