米ノースロップ・グラマン　ヴァイスプレジデント＆CISO　Michael Papay氏、デンソー コーポレート基盤本部 情報セキュリティ推進室室長 後藤俊二郎氏、経済産業省 大臣官房 サイバーセキュリティ・情報化審議官 三角育生氏の3人がパネリストとして登壇。慶應義塾大学 大学院政策・メディア研究科 特任教授 手塚悟氏がモデレータを務めた。

海外のサプライチェーン・サイバーセキュリティ対策強化に対する認識は？

慶應義塾大学大学院 手塚悟氏（以下、手塚氏）：米国ではNIST SP800-171（以下、SP800-171）が動き始めています。ノースロップも同基準への対応が求められるようになると思いますが、現状の取り組み状況について聞かせてください。


米ノースロップ・グラマン Michael Papay氏（以下、Papay氏）：サイバーセキュリティは米国の中でも特に政府主導で熱心な議論が行われています。私たちも米国内のパートナーをはじめ、航空宇宙産業全体が連携して取り組みをしています。なぜなら、1社だけでできることではないからです。

　つまり、同業他社は”competimate”（競合他社でありチームメイト）。そのために、私たちは情報共有できる仕組みの構築を行っています。なぜか。私たちにあるプログラムを提供してくれるサプライヤーは、ほかの会社のサプライヤーだったりします。そのサプライヤーがあらゆる取引先から、セキュリティのコントロールレベルについてバラバラに質問されるのは面倒だからです。

　そこで活用しているのが、SP800-171なのです。SP800-171で自己点検できれば、セキュリティレベルが統一された形でわかるようになります。

　しかもこのガイドラインの中にはセキュリティ侵害を受けやすいユーザー、プロセス、インフラストラクチャを対象に109の管理項目が示されています。当社1社で1万3000社もの膨大なサプライヤーを助けることはできませんが、この管理項目を使えば、小さな企業でもどこを強化すべきか理解でき、サプライヤー全員が同時に改善することができます。


手塚氏：デンソーではどういう議論が行われていますか？

デンソー 後藤俊二郎氏（以下、後藤氏）：当社では会社を守るセキュリティと車を守るセキュリティの2つにわけて取り組んでいますが、前者についてはノースロップ社と共通点が多いです。SP800-171以外にもISO27000、IEC 62443などさまざまな国際標準がありますが、会社はもちろん業界の中で同じ基準でやっていくべきだと議論しています。

　当社の仕入れ先のほとんどが従業員90人ぐらいの中小企業です。それらの中小企業の中には、計測機に接続されたPCのOSがサポート切れのまま使われていたりします。そのような企業もあるので、私たちは「無防備にインターネットに接続しないでください」と言っています。「万一つなぐのであれば、ちゃんと専門家にきいてからお願いします」と。ある程度大きな企業だと国際標準を見ながら、一緒になってレベルアップしていこうとしています。

　車を守るセキュリティについては、規格の標準化が進めるべく、国連のWP29（自動車基準調和世界フォーラム）やISOなどで議論がされています。開発プロセスに沿ってセキュリティをどうやって入れていくのか、国連ではルール化も視野に入れており、日本も積極的に参加しています。

　実際の製品セキュリティは既存の開発プロセスや節目管理にセキュリティ対策をうまく埋め込められるような取り組みを進めており、車両メーカーと私たちTear1、Tear2のサプライヤーがどう分担してどう実施し、どこまで責任を持つかなどについての詳細を議論しています。


手塚氏：米国では小さい企業のサイバーセキュリティ対策についてはどうなっているのでしょうか。

Papay氏：デンソーと異なり、私たちは小規模のサプライヤーと直接、接続することは行っていません。というのも、米国の小売業でネットワークしていた小規模のパートナーの脆弱性により、攻撃者の侵入を許してしまったという事例があったからです。防衛産業にとってはそのような事件は非常な脅威になります。そのため、私たちは互いに、リアルタイムに接続していません。

手塚氏：産業界の動向がわかったところで、経済産業省としては、どのような取り組みを行っているのでしょうか。

経済産業省 三角育生氏（以下、三角氏）：防衛省のほうで、SP800-171を調達の要件としていこうと考えていこうと具体的な議論を進めています。経済産業省ではその防衛省と連携し、産業界での活用という観点から協力しているところです。

セキュリティが競争力の源泉となる

手塚氏：サプライチェーンの信頼確保のためには、製造物に対するセキュリティ確保と製造に携わる人に対するセキュリティ確保が欠かせません。この課題に関して、今後、どのようなスピード感でどのように変化していくのか。またそこにはどういう課題があるのかお聞きできますか？

Papay氏：製造物に対するセキュリティ確保のためには製造環境の保護をしなければなりません。製造環境にはレガシーシステムが使われていたり、あるいはIoTのような最先システムも使われています。このように、非常に複雑な環境をネットワークで統合して活用できるようにすれば、製造現場のオペレーションがより効率化できるでしょう。

　しかしIoTのデバイスは必ずしもサイバーセキュリティに則った設計がなされているわけではありません。そこで品質と同様、セキュリティ対策がしっかりと入ったIoT製品をつくることが大事です。セキュリティに価値を見出す購入者であれば、価格が高くても支払ってくれるはずです。

後藤氏：コネクテッドカーや自動運転など、スマートカーを実現するためにも、製造物に対するセキュリティは待ったなしの状況となっています。

　自動車業界には元々、「品質は競争力の源泉」という考え方があります。これからはその“品質”の中にセキュリティも加え、競争力の源泉にしていく流れをつくりたいと思っています。

　ですが、製造現場ではセキュリティに対して、品質や安全ほどの意識の高さはありません。そこで会社目標に入れたりしてセキュリティへの意識を高めていき、また購入品のセキュリティ確保については、品質管理で行っているような社内認定リストを作って、対応していきたいと考えています。

　一方、製造に携わる人のセキュリティ確保についても、品質と似たところがあります。ルールや教育の整備も大事ですが、品質でいうところの“ぽかよけ”（不良品をつくりたくてもつくれないような道具立てや手順を踏まないと次に進めないような仕組み）が、セキュリティ対策にも必要なのです。

　たとえば多要素の認証やカメラの複数配置などに取り組んでいます。課題は、内部犯への対応です。悪意だけではなく、“うっかり”ということもあります。完全にそのようなことをなくそうとすると、対策が大変です。そのあたりをどこまでやればいいのか、相場が課題だと考えています。

手塚氏：グラマン社では内部犯行に対してどのような対策を取っているのでしょうか？

Papay氏：米国の軍事関連では、知財を盗もうとする内部犯の検出プログラムの導入が求められています。不注意や無知による事故などを防ぐため、知財を守る意識を植え付けるための教育が行われているのです。その一方で私たちは従業員のプライバシーも保護しなければなりません。「個人の情報保護」と「会社の知財保護」という微妙なバランスを取ることが求められています。

【次ページ】サプライチェーン・サイバーセキュリティ、日本の製造業に求められるもの