防衛省、三菱電機への不正アクセスによる安全保障上の影響に関する調査結果 10
ストーリー by nagazou
指示内容が足りないような 部門より
指示内容が足りないような 部門より
防衛省は24日、2019年に発生した三菱電機への不正アクセスにより、安全保障へ影響を及ぼすおそれのあるデータが59件あったと発表した。当時、流出した可能性があるデータは約2万件ほどあった。防衛省内の関係部局で内容確認を行ったところ、その内59件に防衛に関わる情報が含まれていたとしている。防衛省は問題を深刻に受け止めているとし、米国の国防調達において義務化されているNIST SP800-171と同程度となる管理策を三菱電機側に求めたとしている(防衛省リリース[PDF]、三菱電機リリース[PDF]、ITmedia)。
NIST SP800-171 (スコア:1)
前々から導入する話はあったけど、これで導入決定的になった感じですかね。
防衛産業的には単にコストアップ(契約金額アップ)だけで済まないインパクトがあると思うけど、
あまり儲けの出る業界でもないし、大丈夫なのかねぇ…
Re: (スコア:0)
国次第じゃないの?追加費用を払うか、国産を諦めるか。
Re:NIST SP800-171 (スコア:2, 参考になる)
リンク先読んだけど、情報流出事件のテンプレート(想定シナリオ)。
情報を流出させたこの契約企業は、プライムベンダーから2〜3階層下の中小企業であり、孫請け・曾孫請けなどと呼ばれる企業です。情報システム管理者も一人しかいないという状況でした。
この契約企業が使用していたログイン名やパスワードは、「admin」や「guest」といったものでした。
プライムベンダーと直接のコミュニケーションを取れる契約事業者であれば、このような脆弱なパスワードにはすぐさま指摘をすることも可能でしょう。
(略)
末端の業務委託先から米軍の兵器システムの詳細情報が漏洩というこの事例もきっかけとなり、米国は2016年に「DFARS Clause252.204-7012」を発行、米国防衛省と取引をするすべての企業に対して、NIST SP 800-171に準拠したITシステムの整備を要求しています。
ということでして、お国だけでなく、元請けのご理解ご協力も必要でしょうね。2次請以降との風通しや再委託不可の厳守なども。
Re: (スコア:0)
愛国心「だけ」じゃ防衛産業も監督する省の職員も食えませんからねぇ‥
リスク管理をきっちり回させて、それを監督するだけでも双方にスキルと人手が必要。
まともに回そうとしたら171のノウハウあるコンサルでも入れないといけないけど、
それはそれで金かかるでしょうし。
Re: (スコア:0)
愛国心だけでは食べていけないし、それ以前に今の日本政府とかが愛国心に報いてないんだもん。
好きではいたいよ?でも色々なめんどくささを考慮しても海外の方が生きやすかったら、愛国心が薄らいだって仕方ないじゃん。
関連あるのか? (スコア:0)
中国人元留学生に逮捕状 ソフト不正購入未遂、軍指示か
https://www.nikkei.com/article/DGXZQOUE247ZL0U1A920C2000000/ [nikkei.com]
> プログラムを解析することでセキュリティー上の弱点を見つけ、サイバー攻撃に悪用する狙いがあったとみられる。
盗まれるものだということを前提に (スコア:0)
盗んだ情報そのまま作ったら重大な事故が発生するようなものを混ぜておいたらどうだろうか
Re: (スコア:0)
長崎製作所「すばらしい洞察」
Re: (スコア:0)
通常兵器で起こせる事故なんて大した規模にはならないよ
仮にうまく行くやり方があるなら有事の時に取っておいた方が効果的だと思う