防衛産業サイバーセキュリティ基準とは

「防衛産業サイバーセキュリティ基準」は、防衛省(防衛装備庁)が防衛関連の契約企業に求める情報セキュリティ管理策の基準です。米国のNIST SP 800-171と同水準の管理策を要求するもので、2023年度(令和5年度)以降の装備品等・役務の調達契約から順次適用されています。

制度としては独立した「認証」ではなく、契約に付帯する特約条項(装備品等及び役務の調達における情報セキュリティの確保に関する特約条項)として要求される契約上の義務です。つまり、防衛省・防衛装備庁との契約、またはそのサプライチェーンで「保護すべき情報」を取り扱う限り、企業規模を問わず対応が求められます。

🔑 この記事の要点
  • NIST SP 800-171と同水準の管理策を、契約特約条項として要求する日本版の枠組み
  • 対象は「保護すべき情報」を扱うすべての契約相手方。下請・再委託先にもフローダウン
  • 米国のCMMCのような第三者認証制度ではなく、自己評価・確認ベースが中心
  • 一度に全要件を満たせない場合も、対応計画による段階的な適合が認められてきた(猶予に依存し続けるのはリスク)

なぜ導入されたのか

  • 防衛関連企業を狙った標的型攻撃の続発:2010年代後半から国内の防衛関連大手・サプライヤーへの不正アクセス事案が相次ぎ、装備品関連情報の漏えいリスクが顕在化
  • 日米の基準ギャップ:米国はDFARSによりNIST SP 800-171準拠を契約義務化していたのに対し、日本の旧基準(従来の調達における情報セキュリティ基準)はISMS相当の管理レベルにとどまり、同盟国間の情報共有における懸念となっていた
  • サプライチェーン攻撃への対応:プライム企業よりも対策の弱い中小サプライヤーが侵入口になる構図への対策として、サプライチェーン全体への適用が必要とされた

この流れは防衛分野に限らず、経済安全保障推進法の基幹インフラ規制など、日本のサプライチェーン規制全体の強化と軌を一にしています。

対象企業と「保護すべき情報」

対象となる企業

  • 防衛省・防衛装備庁と装備品等・役務の契約を結ぶプライム契約者
  • プライムから「保護すべき情報」の提供を受ける下請負者・再委託先(契約条項のフローダウンによる)
  • 製造業に限らず、整備・役務・IT サービス等の提供者も契約内容によって対象

「保護すべき情報」とは

米国制度のCUI(管理対象非機密情報)に相当する概念で、秘密指定には至らないものの、漏えいすれば防衛上の支障を生じ得る情報です。たとえば次のようなものが該当し得ます。

  • 装備品の仕様・性能・図面等の技術情報
  • 製造・整備・試験に関する情報
  • 調達・契約に関する非公開情報

どの情報が「保護すべき情報」に当たるかは契約ごとに指定されるため、まず自社の契約書・発注元からの指定を確認することが出発点になります。CUIの考え方の詳細はCUIの特定・マーキング実務を参照してください。

要求される管理策:NIST SP 800-171と同水準

基準の管理策はNIST SP 800-171をベースに構成されており、おおむね次の領域をカバーします。

領域要求の例
アクセス制御・識別認証保護すべき情報へのアクセスを必要最小限に限定、多要素認証
システム・通信の保護保存時・転送時の暗号化、ネットワーク境界の防御
監査・ログアクセス記録の取得・保全・定期レビュー
構成管理・脆弱性管理ベースライン構成、パッチ適用、脆弱性診断
インシデント対応検知体制、発生時の防衛省への報告、証拠保全
物理・人的セキュリティ入退管理、媒体管理、従業員教育、退職時の権限剥奪
体制・文書セキュリティ計画の整備、実施状況の確認・報告

旧基準がISMS的な「管理体制の整備」を中心としていたのに対し、新基準は暗号化・MFA・ログ保全といった技術的管理策を具体的に要求する点が大きな違いです。中小サプライヤーにとっては、オンプレ環境を個別に固めるよりもMicrosoft 365等のクラウド基盤の標準機能で一括実装する方が現実的なケースが多く、その具体的な設計はM365でのCUIエンクレーブ構築ガイドで解説しています。

適用スケジュールと経過措置

  • 2023年度(令和5年度)以降:新規契約から特約条項として順次適用
  • 経過措置:直ちに全要件を満たせない企業については、リスク評価や対応計画の提出を前提に段階的な適合が認められてきた。ただし経過措置はあくまで移行期間の救済であり、恒久的な免除ではない
  • 実務上の力学:プライム契約者は自社の契約義務を果たすため、下請に対して契約更新時に適合状況の確認・誓約を求める動きを強めている。「防衛省から直接言われていないから関係ない」は通用しなくなりつつある
⚠️ 注意

経過措置・適用範囲の詳細は契約時期・契約内容により異なります。必ず自社の契約書の特約条項と、発注元(プライム)からの要求文書を確認してください。本記事は制度の全体像を示すものであり、個別契約の解釈は契約当事者間での確認が必要です。

米CMMCとの違いと使い分け

観点防衛産業サイバーセキュリティ基準(防衛省)CMMC 2.0(米DoD)
位置づけ契約の特約条項認証制度(取得が契約条件)
評価方法自己評価・確認ベースが中心レベルに応じ自己評価/C3PAO第三者評価/政府評価
ベースNIST SP 800-171相当(日本向けにローカライズ)NIST SP 800-171(Level 2)
保護対象保護すべき情報FCI/CUI
虚偽申告のリスク契約違反・指名停止等米国虚偽請求法(False Claims Act)

重要なのは、両者の技術要件はほぼ同じNIST SP 800-171ベースだということです。防衛省向けと米DoD向け(またはその下請)の両方に関わる企業は、管理策を二重に整備する必要はなく、SP 800-171準拠の共通基盤を一度構築して両制度に流用するのが最も効率的です。CMMCの認証プロセス・費用・スケジュールはCMMC 2.0実務対応ガイドを参照してください。

対応ステップ(中小サプライヤー向け)

  1. 契約の確認:現行契約・更新予定の契約に特約条項が含まれるか、「保護すべき情報」として何が指定されているかを確認
  2. 情報の所在の特定:保護すべき情報がどのシステム・フォルダ・人に存在するかを棚卸し。取り扱う範囲を限定(エンクレーブ化)できれば対応コストを大幅に圧縮できる
  3. ギャップ分析:SP 800-171ベースの管理策と現状を突き合わせ、未達項目を特定。セキュリティアセスメントの枠組みが流用可能
  4. 対応計画の作成:未達項目の是正計画(優先度・期限・担当)を文書化。経過措置の適用を受ける場合の根拠資料にもなる
  5. 技術的是正の実施:MFA・暗号化・ログ保全・アクセス制御など、影響の大きい項目から実装
  6. 運用の定着:従業員教育、年次の自己点検、インシデント対応訓練を年間サイクルに組み込む

まとめ

防衛産業サイバーセキュリティ基準は、NIST SP 800-171と同水準の管理策を契約条項として要求する日本版の枠組みであり、防衛サプライチェーンに連なる企業は規模を問わず対応が避けられません。米CMMCと技術要件がほぼ共通であるため、SP 800-171準拠の基盤を一度きちんと作れば、防衛省・米DoD双方の要求に応えられます。

BTNコンサルティングでは、保護すべき情報の棚卸しとスコープ設計、SP 800-171ベースのギャップ分析、Microsoft 365での技術実装(Entra ID/Intune/Purview/Defender)までをITコンサルティングとして支援しています。「プライムから適合の確認を求められた」「何から手を付ければよいかわからない」という段階でも、60分の無料相談からお気軽にどうぞ。

関連記事・参考リンク
CMMC 2.0実務対応ガイド2026CMMC 2.0解説(制度概要)NIST SP 800-171解説CUIの特定・マーキング実務M365でのCUIエンクレーブ構築セキュリティアセスメントガイド防衛装備庁: 情報セキュリティ ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。