米国の国防産業に対する調査：87％ がサイバー・セキュリティ要件に不適合

Majority of US Defense Contractors Not Meeting Basic Cybersecurity Requirements

2022/11/30 InfoSecurity — CyberSheath が委託した調査により、米国の防衛関連請負業者の 87％ が、基本的なサイバー・セキュリティ規制の要件を満たしていないことが判明した。米国国防総省 (DoD) の請負業者 300社を対象にした調査では、Supplier Risk Performance System (SPRS) スコアが 70点以上である回答者は、わずか 13% であることが明らかになった。国防連邦調達規則補足文書 (DFARS: Defense Federal Acquisition Regulation Supplement) では、完全なコンプライアンスを得るためには、110点のスコアが要求されている。

ただし、この調査の実施者によると、SPRS スコアが 70点であれば、十分にコンプライアンスに適合しているとも考えられるとのことだ。

2017年に法制化された DFARS は、防衛産業基盤のサイバー・セキュリティを強化するためにデザインされたものだ。また、国防総省に入札する防衛関連業者は、認証フレームワーク Cybersecurity Maturity Model Certification (CMMC) に準拠する必要がある。

CMMC のバージョン 1.0 は 2020年1月にリリースされたが、2023年5月にはバージョン 2.0 が発効される予定だ。CMMC では、５段階の認証レベルが提示され、５が最高レベルとなる。それぞれのレベルは、プロセスの成熟度ごとのレベルに対応している。

今回の調査では、国防総省の防衛関連業者の大半が、現行の DFARS の義務を満たしておらず、CMMC の最新版に準拠できる状態ではないことが示唆されている。

国家安全保障への脅威

この調査によると、国防総省との契約が失効した場合には、約半数が最大で 40% の収益を失うとされている。

InfoSecurity の取材に対して、CREST の米国会長である Tom Brennan は、「CMMC は、データを保護するための商業的に合理的な基準のセットが。それぞれの組織は、ビジネスの一環として対処しなければ、契約を失う可能性が生じる」と述べている。

しかし、この報告書によると、70% が Security Information and Event Management (SIEM) を導入せず、また、79% が包括的な多要素認証システムを、73% が Endpoint Detection Response (EDR) を、80% が脆弱性管理ソリューションを導入していないことも判明している。

防衛関連業者は、米軍に関連する機密データを保有しているため、国家に支援されたハッカー集団の主要な標的となっている。2022年10月に CISA は、防衛組織の企業ネットワークで観測された APT (Advanced Persistent Threat) アクティビティに注意すべきというアドバイザリを発表している。

心配なことに、CyberSheath の調査によると、防衛関連企業の80% 以上がサイバー侵害に関連する事象を経験したと回答し、60% 近くがサイバー攻撃による事業損失を経験したと回答しているとのことだ。

CyberSheath の CEO である Eric Noonan は、「この報告書における調査結果は、現時点の国家安全保障に対する明確な危険性を示している。サイバー攻撃を受けやすいサプライ・チェーンの危険性については、よく耳にするところだ。DIB (Defense Industrial Base) は国防総省のサプライチェーンであり、脅威アクターに狙われているが、請負業者の甚だしい準備不足が目につく。私たちの軍事機密は安全ではなく、最も基本的なサイバー・セキュリティの要件さえ満たしていないことが多い。このグループのサイバー・セキュリティの状態を、改善することが急務である」と述べている。

規制に対する理解の向上

コンプライアンス違反の主な要因は、政府のサイバー・セキュリティ規制に対する理解不足に起因し、回答者の 82% が同意している。回答者の約 60% は、CMMC コンプライアンスの理解の難しさに対して、10 点満点中の 7 点だと評価している。

CyberSheath の VP of Security Services である Carl Herberger は、「これまでに、政府による規制が実施されていなかったことが、企業が適応しなければならないコンプライアンスの難しさを物語っている。従来より、こうした規制に対する監視も施行もほとんど行われていないため、[たまたま] コンプライアンスが成立しているに過ぎない。このことに政府が気付き、法律が整備されるなら、もっと広く普及すると期待している。それは、持つ者と持たざる者の話でもある。それぞれの業者は、多額の技術投資をせずに事業を成功させているが、クラウドベースの規模の経済を利用していないため、他の業界から大きく遅れている。したがって、その学習曲線は険しく、苦労するだろう」と、InfoSecurity に述べている。

彼は、「第一に、CMMC の施行により、最終的にはコンプライアンスが向上する。サイバー・セキュリテ・コンプライアンスの不徹底が収益の妨げになるため、それに対する理解と導入が促進されるだろう。第二に、そこへの投資を、請負業者が迅速に行えるよう、税制など何らかのインセンティブが必要だ」と概説している。

Brennan は、「サイバー・セキュリティ・コンプライアンスを、請負業者たちのビジネス上の優先事項にする必要がある。それぞれの組織は、技術的およびビジネス的なスキルを持つ担当者を任命する必要がある。さらに、CEO は、証明書に連署する必要がある」とコメントしている。

今回の調査では、防衛関連の請負業者の多くが、サイバー・セキュリティに関する規制を遵守することの、重要性を認識していることが示された。半数近くが、DFARS の改善は国家安全保障に大きな影響を与えると回答し、約 60% が MSP／MSSP／IT プロバイダの認証が必要だと考えている。

さらに、Herberger は、「今回の調査結果は現実的なものだ。国防総省はサイバー・セキュリティ・コンプライアンスを徹底している。その一方で防衛産業基盤は、すべての要求事項を実施するための長い道のりを認めた上で、より安全であることの必要性を十分に理解している。これらの法律が、アメリカ政府のセキュリティと、企業レベルのサイバー・セキュリティを向上させるはずだと、大半の企業が認めるようになったのは、心強いことである」とに付け加えている。

米国国防総省 (DoD) の請負業者 300社を対象にした調査で、Supplier Risk Performance System (SPRS) の合格ラインとされる、70点以上の回答者が 13% に過ぎなかったとのことです。また、SIEM にいついては 70% が、MFA は 79% が、EDR は 73% が、脆弱性管理ソリューションは 80% が導入していないという、かなりお寒い結果だったようです。なお、Defense Industrial Base (DIB) について調べてみたら、「DIB は、軍事作戦の維持と展開を可能にする製品とサービスを提供する。DIB は、米軍のニーズを満たし、その効率を向上させるために、各種のサブシステム／コンポーネントの研究／製造／進歩／改良を行う企業で構成されている。 防衛産業には 10万社以上の企業が存在し、それらの企業は国防総省の契約に基づいて活動し、政府に物資やサービスを提供している」と記されています。