防衛省、三菱電機への不正アクセスによる安全保障上の影響に関する調査結果 10
ストーリー by nagazou
指示内容が足りないような 部門より
指示内容が足りないような 部門より
防衛省は24日、2019年に発生した三菱電機への不正アクセスにより、安全保障へ影響を及ぼすおそれのあるデータが59件あったと発表した。当時、流出した可能性があるデータは約2万件ほどあった。防衛省内の関係部局で内容確認を行ったところ、その内59件に防衛に関わる情報が含まれていたとしている。防衛省は問題を深刻に受け止めているとし、米国の国防調達において義務化されているNIST SP800-171と同程度となる管理策を三菱電機側に求めたとしている(防衛省リリース[PDF]、三菱電機リリース[PDF]、ITmedia)。
NIST SP800-171 (スコア:1)
前々から導入する話はあったけど、これで導入決定的になった感じですかね。
防衛産業的には単にコストアップ(契約金額アップ)だけで済まないインパクトがあると思うけど、
あまり儲けの出る業界でもないし、大丈夫なのかねぇ…
Re:NIST SP800-171 (スコア:2, 参考になる)
リンク先読んだけど、情報流出事件のテンプレート(想定シナリオ)。
情報を流出させたこの契約企業は、プライムベンダーから2〜3階層下の中小企業であり、孫請け・曾孫請けなどと呼ばれる企業です。情報システム管理者も一人しかいないという状況でした。
この契約企業が使用していたログイン名やパスワードは、「admin」や「guest」といったものでした。
プライムベンダーと直接のコミュニケーションを取れる契約事業者であれば、このような脆弱なパスワードにはすぐさま指摘をすることも可能でしょう。
(略)
末端の業務委託先から米軍の兵器システムの詳細情報が漏洩というこの事例もきっかけとなり、米国は2016年に「DFARS Clause252.204-7012」を発行、米国防衛省と取引をするすべての企業に対して、NIST SP 800-171に準拠したITシステムの整備を要求しています。
ということでして、お国だけでなく、元請けのご理解ご協力も必要でしょうね。2次請以降との風通しや再委託不可の厳守なども。