お客様の売れるソフトウェアサービス/製品づくりを支援する株式会社 SHIFT(本社:東京都港区、代表取締役社長:丹下 大、プライム市場:3697、以下 SHIFT)は、防衛省がサイバーセキュリティ対策として導入したリスク管理枠組み(RMF:Risk Management Framework)に関する選任チームを立ち上げ、防衛省の委託によりRMF対応業務を担う、装備品製造会社に対して「RMF対応支援コンサルティングサービス」の提供を開始しました。
同時に、SHIFTでは国家安全保障およびサイバーセキュリティ領域に精通する社内の有識者および知見者とともに独自に育成プログラムを整備し、RMF対応の専門人材育成に向けた取り組みも開始しています。
背景
昨今、日本政府は、日々高度化・巧妙化を重ねるサイバー領域の脅威や地政学的リスクを背景に、国家安全保障対応への取り組みを強化してきました。令和5年度(2023年度)には、防衛省の情報セキュリティポリシーである「防衛省の情報保証に関する訓令」(以下 「情報保証訓令」)が改正され、これまでIT分野のみであったポリシー適用の対象装備品は、IoT(Internet of Things)やOT(Operational Technology)を含む領域にまで大幅に拡大しました。
AIなどの先端技術を含むテクノロジーの進化は、サイバーセキュリティの在り方にも大きな変化をもたらします。国家や企業にとってまもるべきデータやシステムの重要性が増し、その扱いがより複雑化すると同時に、これらを狙ったサイバー攻撃もまた高度なテクノロジーを駆使し巧妙化していきます。SHIFTは、今後さらなる高度化を遂げていくことが予想されるサイバーセキュリティ分野には、早期からの課題の洗い出しと対策が急務と捉え、有識者や専門人材を交えた選任チームを立ち上げ、準備を進めていました。
その結果、SHIFTは、2022年度より防衛関連システムの整備に関する工程管理案件を受託し、情報保証訓令の改正に先んじて運用承認に向けた要件調査にも取り組んできました。また、 2023年度よりセキュリティ管理策の計画と実装をはじめ、RMFの承認支援や関連文書の作成支援、脆弱性診断など案件を受託することとなり、この分野における複数の情報システムにおいてRMF運用承認取得の支援実績を重ねてきました。
SHIFTは、今後、各種装備品や関連情報システムに対するRMF対応がますます重要性、必要性を増し、対応が急がれることを想定し、装備品製造会社に向けた「RMF対応支援コンサルティングサービス(以下 本サービス)」の提供を新たに開始しました。
「RMF対応支援コンサルティングサービス」について
本サービスは、防衛省が取り組む対象装備品、情報システムに対するRMF実施対応の各ステップに寄り添い、成果物ドキュメントの作成支援までをご支援する、業界内でも希少性、専門性の非常に高いコンサルティングサービスです。NIST SP800-37 RMF※1およびDoDI 8510.01 RMF※2に精通する有識者や、各分野のITシステムに精通した人材、IoT、セキュリティ、AI技術の知見者など、さまざまな領域のプロフェッショナルがチームを組み、対象となる情報システムや装備品に対するRMFの導入を支援します。
本サービスは、RMF対応の準備段階からプロジェクトに関わり、分類・選択・実装・アセスメントの各ステップにおいてSHIFTが一貫したご支援を提供できること、また、防衛省側での審査・運用承認に必須となる成果物ドキュメントの作成を高い精度で支援できることを特長としています。これらは、SHIFTに国家安全保障およびサイバーセキュリティ領域に精通する有識者および知見者が複数在籍し、組織的な支援体制を構築しているからこそ実現できる取り組みです。なかでもNIST SP800-37およびDoDI 8510.01双方の規定に関する理解と、関連する業務経験者の存在は日本国内においても稀であり、SHIFTの強力な競争優位性になると考えます。
RMF対応業務は、国家安全保障の観点からも非常に重要性、緊急性の高い取り組みですが、専門人材の少なさから一般的な企業において即座に対応可能なものではなく、このままでは今後も限られた人材のみで取り組まざるを得ない状況が想定されます。そのためSHIFTでは、RMF対応業務の支援に関わることができる専門人材の育成プログラムを開発し、独自の教育体制による育成を開始しました。現在SHIFTには、約45名の専門人材が在籍しており、この先数年を目途に新規採用と平行して倍以上の体制まで人材規模を確保する計画で育成に取り組み、今後も増え続ける装備品製造会社からの支援ニーズに対応していきます。
本サービスの立ち上げにともない、初代防衛装備庁長官であり、現在は防衛技術協会理事長を務められる渡辺 秀明氏よりコメントをちょうだいしております。なお、渡辺氏は、2023年10月にSHIFTのインダストリー部門の顧問にご就任いただいております。
SHIFT インダストリー顧問 渡辺 秀明氏 コメント
近年のサイバー攻撃の激化にともない、防衛省では米国政府の情報セキュリティ基準の導入を検討してきた結果、令和5年の情報保証訓令を改正した。新情報保証訓令により、膨大な数の情報システムのリスク管理を行うためのリスク管理枠組み(RMF)の導入が必要となり、防衛省としては、リスク管理関連業務を円滑かつ効率的に実施するため、専門的な知見・技術を有する部外力の活用を決定した。しかし、民間においても、RMFに詳しく、かつ実務経験を有する者は少ないのが実情である。SHIFTは、他社と異なり、RMFが防衛省で制度化されることを予期して、RMFを実施するための方策や、専門的な要員の育成などをこれまで着実に行なってきたと承知している。RMFは、一過性のものではなく、防衛省の情報セキュリティの中核となるべきものである。一般の武器システムは、今後はネットワーク化の進展に従って情報システムに組み入れられるため、防衛省の装備システム全体が、RMFの対象となり、大規模な取組みが必要となる。従って、SHIFTには、情報保証全体の取組みについて、民間会社を代表して、率先して取り組むことが期待されることになるであろう。これは、日本の防衛における大きな役割を果たせるチャンスであり、サイバーセキュリティの分野において、SHIFTが各社をリードしていく時代が到来したものと考える。
SHIFTは、本サービスを通じて、RMF実施対応に関する知見とノウハウを一層蓄積し、防衛関連の案件により広く対応できる体制を目指し、国家安全保障の観点から重要な施策となるRMF関連業務推進において、日本の重要インフラ産業をサイバー攻撃の脅威から守る取り組みに貢献していきます。
お客様各位:本サービスに関するお問い合わせは、
お問い合わせフォーム
よりお願いします。
※1 NIST SP800-37
NIST Special Publication 800-37 Revision 2
:Risk Management Framework for Information Systems and Organizations ― A System Life Cycle Approach for Security and Privacy(訳:情報システムおよび組織のためのリスクマネジメントフレームワーク -セキュリティとプライバシーのためのシステムライフサイクルアプローチ)_ NIST(米国国立標準技術研究所)_2018年12月公開
※2 DoDI 8510.01
DoD INSTRUCTION 8510.01 RISK MANAGEMENT FRAMEWORK FOR DoD SYSTEMS
_米国国防総省_2022年7月公開