ホーム
サイバーセキュリティ
第3章:政府調達とサプライチェーン・セキュリティ

第3章:政府調達とサプライチェーン・セキュリティ

アメリカ連邦政府の年間調達額は数千億ドルにのぼり、防衛・IT・医療・研究開発など、あらゆる分野の民間企業がこの巨大な市場に参加しています。しかし、連邦政府と取引を行うことは、単に製品を納入したりサービスを提供したりする以上の意味を持ちます。それは、国家の安全保障と国民の信頼を担う一員として、世界で最も厳格なレベルのサイバーセキュリティ基準を遵守する義務を負うことを意味します。

かつて、政府機関のセキュリティ要件は、主に政府自身の情報システムを対象としていました。しかし、政府業務の多くが民間企業に委託され、ソフトウェアやクラウドサービスが広く利用されるようになった今日、セキュリティのリスクは政府のネットワークの境界線を越え、広大なサプライチェーン全体に拡散しています。SolarWinds事件に代表されるように、一社の民間事業者の脆弱性が、連邦政府全体の深刻なセキュリティ侵害に繋がる現実が、このリスクの大きさを物語っています。

このような背景から、アメリカ政府は近年、調達の仕組み(プロキュアメント)を強力なテコとして、サプライチェーン全体のサイバーセキュリティ水準を引き上げる政策を強力に推進しており、政府と直接契約する元請け企業(プライムコントラクター)だけでなく、その下に連なる無数の下請け・孫請け企業(サブコントラクター)に至るまで、すべての取引参加者に影響を及ぼしています。

3-1. 連邦政府の情報セキュリティ管理と調達要件

アメリカ連邦政府のサイバーセキュリティ政策の根幹をなすのが、政府機関自身の情報セキュリティ体制を規律する法律と、それを民間契約事業者にまで拡張するための調達規則です。この2つは、政府調達に関わるすべての企業が理解すべき出発点となります。

FISMA(連邦情報セキュリティマネジメント法)の概要

2002年に制定され、2014年に近代化法(Federal Information Security Modernization Act)によって大幅に改正されたFISMAは、連邦政府機関の情報セキュリティに関する包括的な枠組みを定めた法律です。その目的は、政府が保有する情報の機密性、完全性、可用性を確保し、サイバー攻撃によるリスクから政府のオペレーションと資産を保護することにあります。

FISMAは、各省庁の長に対し、以下の内容を含む機関全体での情報セキュリティプログラムを策定・実施する責任を課しています。

  • 定期的なリスク評価:取り扱う情報や情報システムの重要性に基づき、リスクを定期的に評価する。
  • リスクベースのポリシーと手順:リスク評価に基づき、費用対効果の高い形でリスクを許容可能なレベルまで低減するためのポリシーと手順を策定する。
  • 継続的な監視:セキュリティ対策の有効性を継続的にテスト・評価する。
  • インシデント対応能力の確立:セキュリティインシデントを検知し、報告し、対応するための手順を整備する。
  • セキュリティ意識向上トレーニング:職員および契約事業者に対して、セキュリティに関するトレーニングを義務付ける。

FISMAの最も重要な特徴の1つは、その適用範囲が政府機関内部に留まらない点です。政府機関に代わって情報システムを運用したり、政府の情報を扱ったりする民間契約事業者も、FISMAの定めるセキュリティ要件を遵守する義務を負います。これにより、FISMAは政府のサプライチェーン全体に影響を及ぼす基盤的な法律となっています。

連邦調達規則(FAR)と国防連邦調達規則補足(DFARS)

FISMAが定めるセキュリティ要件を、具体的な政府調達契約に落とし込むための法的ツールが連邦調達規則(Federal Acquisition Regulation, FAR)とその補足規則です。FARは、連邦政府が物品やサービスを調達する際の統一的なルールを定めたものです。

特に重要なのが、FAR 52.204-21「基本的な情報システムの安全保護措置」です。この条項は、連邦政府の契約情報を扱うすべての契約事業者の情報システムに対して、15項目の基本的なセキュリティ管理策(アクセス制御、マルウェア対策、定期的な脆弱性スキャンなど)を実装することを義務付けています。これは、ほぼすべての政府調達契約に盛り込まれる、最低限の要求事項と位置づけられています。

さらに、国防総省(DoD)との取引においては、より厳格な国防連邦調達規則補足(Defense Federal Acquisition Regulation Supplement, DFARS)が適用されます。特に、DFARS 252.204-7012「管理された非機密情報の保護とサイバーインシデント報告」は、国防サプライチェーンに参加する企業にとって極めて重要です。

この条項は、契約事業者が「管理された非機密情報(Controlled Unclassified Information, CUI)」を扱う場合、以下の2点を義務付けています。

  1. NIST SP800-171の遵守:CUIを保護するため、NISTが発行するSP800-171で定められたセキュリティ要件を実装すること。
  2. サイバーインシデントの迅速な報告:CUIに影響を及ぼすサイバーインシデントを発見した場合、発見から72時間以内に国防総省に報告すること。

DFARS 252.204-7012は、元請け企業だけでなく、CUIを扱うすべての下請け企業にも適用される「フロ―ダウン」条項です。これにより、NIST SP800-171は、米国の広大な防衛産業基盤(Defense Industrial Base, DIB)全体にわたる事実上の標準セキュリティ要件となっています。

3-2. CMMC(サイバーセキュリティ成熟度モデル認証)

DFARSによってNIST SP800-171の遵守が義務付けられたものの、国防総省は、多くの企業が要件を自己評価するだけで、実際には遵守していないという課題に直面しました。機密性の高いCUIがサプライチェーンの脆弱な部分から漏洩し続ける事態を受け、国防総省はより踏み込んだアプローチとして第三者による認証制度の導入を決定しました。それがCMMC(Cybersecurity Maturity Model Certification)です。

CMMCの目的は、契約事業者が適切なレベルのサイバーセキュリティ対策を確実に実施していることを、自己評価ではなく、客観的な評価・認証を通じて「検証」することにあります。

国防総省(DoD)の調達要件とCMMC 2.0のフレームワーク

CMMCは2020年に最初のバージョンが発表されましたが、中小企業への負担が大きいといった批判を受け、2021年に「CMMC 2.0」として改訂されました。CMMC 2.0は、よりシンプルで柔軟なフレームワークを目指しており、以下の3つのレベルで構成されています。

  • レベル1:基礎(Foundational)
    • 対象: CUIを扱わないが、連邦契約情報(FCI)を扱う企業
    • 要件: FAR 52.204-21に基づく基本的なセキュリティ対策
    • 評価: 年に1回の自己評価
  • レベル2:先進(Advanced)
    • 対象: CUIを扱う企業。国防サプライチェーンの多くの企業がこのレベルに該当します。
    • 要件: NIST SP800-171で定められたセキュリティ要件と完全に整合
    • 評価: 3年に1回の第三者機関による評価
  • レベル3:専門家(Expert)
    • 対象: 最も機微なCUIを扱い、国家安全保障上、特に重要なプログラムに関与するごく一部の企業
    • 要件: NIST SP800-171の要件に加え、NIST SP800-172に基づくより高度な管理策
    • 評価: 3年に1回の政府主導による評価

CMMC 2.0は、国防総省の調達プロセスに段階的に導入されており、将来的にはCUIを扱うほぼすべての国防関連契約において、要求されるレベルのCMMC認証を取得することが入札の前提条件となります。これは、日本企業を含む、米国の防衛サプライチェーンに連なるすべての企業にとって、避けては通れないコンプライアンス要件です。CMMC認証の取得は、単なる契約条件の充足にとどまらず、企業のサイバーセキュリティ体制の成熟度を客観的に証明するものとして、ビジネス上の競争優位性にも繋がると言えるでしょう。

3-3. ソフトウェア・サプライチェーン・セキュリティの強化

近年のサイバーセキュリティ政策において、最も大きなパラダイムシフトが起きている分野が、ソフトウェア・サプライチェーン・セキュリティです。現代のソフトウェアは、オープンソースコンポーネントやサードパーティ製のライブラリを複雑に組み合わせて作られており、その「サプライチェーン」は不透明です。SolarWinds事件は、広く信頼されていたIT管理ソフトウェアのアップデートに悪意のあるコードが混入され、それが政府機関や大企業に大規模な侵害をもたらしたことで、このリスクを世界に知らしめました。

この教訓を受け、アメリカ政府は、ソフトウェアの「消費者」としての立場を最大限に活用し、市場全体のソフトウェア開発プラクティスをより安全な方向へ導くための強力な政策を打ち出しました。

大統領令 EO14028の影響

2021年5月にバイデン大統領が署名した大統領令14028号「国家のサイバーセキュリティの向上」は、この分野における画期的な政策文書です。この大統領令は、連邦政府のセキュリティ近代化を目指す広範な内容を含みますが、その核心の1つが、政府にソフトウェアを販売する事業者に対する新たなセキュリティ要件の導入です。

EO14028は、NISTに対して、セキュアなソフトウェア開発のための基準やガイドラインを策定するよう指示しました。そして、連邦政府機関は、調達するソフトウェアがこれらの新しい基準を満たしていることを、供給者に対して要求しなければならないと定めています。これにより、政府調達を通じて、ソフトウェア業界全体にセキュアな開発慣行を普及させようという狙いがあります。

ソフトウェア部品表(SBOM)の要件化とセキュア開発(SSDF)

EO14028がもたらした最も具体的で影響の大きい変化が、ソフトウェア部品表(Software Bill of Materials, SBOM)の要件化です。

SBOMとは、食品の成分表示ラベルのように、1つのソフトウェアを構成するすべてのコンポーネント(ライブラリ、モジュール、オープンソースコードなど)の一覧です。SBOMを提供することで、ソフトウェアの購入者(政府機関や企業)は、以下のことが可能になります。

  • 脆弱性の迅速な特定:新たな脆弱性が発見された際に、自組織が使用しているソフトウェアにその脆弱なコンポーネントが含まれているかを即座に確認できます。
  • リスクの可視化:ソフトウェアの構成要素を把握することで、ライセンス違反のリスクや、メンテナンスされていない古いコンポーネントに起因するリスクを評価できます。

EO14028は、政府にソフトウェアを納入する事業者に対して、SBOMの提出を求めることを事実上義務化しました。これにより、SBOMはソフトウェア・サプライチェーンにおける透明性を確保するための基本ツールとして、急速に普及が進んでいます。

さらに、EO14028は、NISTが策定したセキュアソフトウェア開発フレームワーク(Secure Software Development Framework, SSDF)、すなわちNIST SP800-218への準拠を求めています。SSDFは、ソフトウェアのライフサイクル全体(設計、開発、テスト、リリース、保守)を通じて、セキュリティを確保するためのベストプラクティスを体系化したものです。これには、脅威モデリングの実施、セキュアコーディングの徹底、脆弱性テストの自動化などが含まれます。

これらの要件は、ソフトウェア開発者に対して、開発の初期段階からセキュリティを組み込む「セキュア・バイ・デザイン」のアプローチを強く促すものであり、アメリカのソフトウェア・サプライチェーン全体のセキュリティ水準を底上げする上で、極めて重要な役割を果たしています。

3-4. クラウドサービス調達(FedRAMP)

政府業務のクラウドへの移行が加速する中で、クラウドサービスのセキュリティを確保し、評価プロセスを標準化する必要性が高まりました。この課題に対応するために設立されたのが、FedRAMP(Federal Risk and Authorization Management Program)です。

FedRAMPは、連邦政府機関が利用するクラウドサービスに対するセキュリティ評価・認可・継続的監視のための標準化されたアプローチを定めた政府全体のプログラムです。政府機関が新たなクラウドサービスを導入するたびに、個別のセキュリティ評価を一から行う非効率をなくし、「一度評価すれば、多くの機関で利用できる(assess once, use many times)」仕組みを提供することを目的としています。

クラウドサービスプロバイダー(CSP)が連邦政府にサービスを提供するためには、原則としてFedRAMPの認可(Authorization to Operate, ATO)を取得する必要があります。

FedRAMPの認可プロセス:

  1. セキュリティ評価:CSPは、NIST SP800-53に基づき、自社のサービスが取り扱う情報の影響度(低・中・高)に応じたセキュリティ管理策を実装します。
  2. 第三者機関による監査:FedRAMPが認定した第三者評価機関(3PAO)が、CSPのセキュリティ管理策の実装状況を厳格に監査し、評価報告書を作成します。
  3. 認可:評価報告書は、特定の政府機関またはFedRAMPの合同認可委員会(JAB)によってレビューされます。リスクが許容可能と判断されれば、認可(ATO)が与えられます。
  4. 継続的監視:認可後も、CSPは月次の脆弱性スキャンレポートなどを提出し、継続的にセキュリティ体制を監視される必要があります。

FedRAMPの認可プロセスは非常に厳格で、多くの時間とコストを要しますが、取得できれば連邦政府という巨大な市場への参入資格を得ることができます。そのため、多くの主要なCSP(Amazon Web Services, Microsoft Azure, Google Cloudなど)がFedRAMP認可を取得しており、このプログラムは政府向けクラウドサービスのセキュリティ基準を定義する上で中心的な役割を果たしています。