セキュリティ・クリアランスを活用しよう~企業にとってのメリットと今後の課題とは~
みなさんこんにちは。シーイーシーセキュリティオペレーションセンター(CEC SOC)のセキュリティアナリストです。今回は法律案として検討が進められている、セキュリティ・クリアランスについて解説します。
日本のサイバーセキュリティレベル
突然ですがみなさんは、「わが国のサイバーセキュリティレベルは、世界的にはどれくらいに位置するだろう」と考えたことはありますか?
トレンドマイクロ社が公開する、28の国と地域を対象とした組織のサイバーセキュリティリスク意識調査「Cyber Risk Index(サイバーリスク指数)」によると、2022年下半期(7~12月)の日本は第6位、「他国と比較してサイバーセキュリティリスクに対する準備体制への意識が高いことを示している」と評価されています。
一方で、日本の防衛上の機密情報ネットワークが中国軍によりハッキングされていた、という記事が2023年に米ワシントン・ポスト紙に掲載されました。その後、「サイバー攻撃により防衛省の秘密情報が漏えいした事実は確認されていない」と松野官房長官から否定されていますが、もしかしたら日本はサイバーセキュリティレベルに対する諸外国からの信頼を勝ち得てないのかもしれない、と思わせる出来事でした。
サイバーセキュリティレベルへの信頼を得る方法は、おそらくいくつもあると思います。今回解説する「セキュリティ・クリアランス」は、それらのうちの一つではないかと考えています。
出典:
サイバーリスク国際意識調査「Cyber Risk Index」2022年下半期版を公開(トレンドマイクロ)
https://www.trendmicro.com/ja_jp/about/press-release/2023/pr-20230508-01.html
セキュリティ・クリアランスとは
「セキュリティ・クリアランス」という言葉を初めて聞く方もいるかもしれません。簡単に説明すると、「国家安全保障上の政府機密情報にアクセスできる資格者を事前に審査する」ことを言います。セキュリティ・クリアランス制度は、機密情報へのアクセスの厳格性を法律で定めるもので、欧米諸国ではすでに導入されています。
日本では、2023年2月の経済安全保障推進会議で、経済安全保障分野におけるセキュリティ・クリアランス制度の法整備などに向け、今後一年程度を目途に可能な限り速やかに検討作業を進めるよう岸田首相からの発言があり、現在注目が集まっています。
出典:経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 第1回 議事趣旨(内閣官房)
https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyo_sc/dai1/gijiyousi.pdf
特定秘密保護法との違い
日本には、すでに「特定秘密保護法」という法律があります。セキュリティ・クリアランスとよく比較されますが、どこに違いがあるのかそれぞれの特徴をまとめてみました。
2つを比べると、特定秘密保護法の機密範囲は狭く、運用は限定的で民間人の資格保有者は極めて少ないことが分かります。セキュリティ・クリアランス導入によって機密情報範囲を経済や技術などにも広げ、民間企業の職員もより広く対象とすることが狙いであることが窺えます。
出典:
中間論点整理 - 経済安全保障分野におけるセキュリティ・クリアランス 制度等に関する有識者会議(内閣官房)
https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyo_sc/pdf/chuukan_ronten.pdf
特定秘密保護法と諸外国の秘密保全制度の比較(内閣官房)
https://www.cas.go.jp/jp/tokuteihimitsu/ikenkekka/3_4.pdf
企業にとっての導入メリットと課題
企業がセキュリティ・クリアランスを導入した場合、どのようなメリットがあり、またどのような課題が生じるでしょうか。この2点について考察してみました。
メリット
・ビジネス機会の拡大
地経学研究所の「2022経済安全保障100社アンケート」によると、「日本に現状セキュリティ・クリアランス制度がないことにより、参画することのできなかった案件や会議などはありますか」との質問に対し、回答73社のうち40社(54.8%)が「これまでなかったが、将来的に参画できないことが予想される」と回答しています。
また今後、セキュリティ・クリアランス制度が海外政府や企業との取引において欠かせない前提条件となり、この制度のない国はセキュリティ対策が不十分と判断される懸念があります。逆に言うと、制度の導入によって国際ビジネス・研究に対する競争力が向上すると考えられます。
出典:2022経済安全保障100社アンケート(地経学研究所)
https://apinitiative.org/GaIeyudaTuFo/wp-content/uploads/2023/05/economic-security-survey_web.pdf
・セキュリティの強化
組織の中で機密情報を扱う資格者が明確になるため、情報漏えいのリスクが軽減できます。また過去には、日本企業の技術者が機密情報を持って他国企業へ転職し、その結果先端技術が流出するという事件もありましたが、セキュリティ・クリアランスの活用はその抑止にもつながります。
課題
・個人情報管理・プライバシーへの配慮
資格者の適格性審査には多様な身辺調査が必要となり、プライバシー侵害に対する懸念の声も上がっています。また個人情報の適切な管理や評価者による悪用への対策など、制定にはプライバシー・個人情報管理へ十分に配慮した体制づくりが不可欠です。
・共有機密情報の防衛策検討
国際ビジネスや共同研究への参画後は、相手国から機密情報の活用に対して不平等な制限がかけられないか、あるいは諸外国から機密情報を守れるかなど、多くのことを十分に検討し戦略的に動くという視点も重要となります。
出典:
日本のセキュリティ・クリアランス-求められる企業の経済安全保障対応(ニッセイ基礎研究所)
https://www.nli-research.co.jp/report/detail/id=75927?pno=1&site=nli
日本でも運用の拡大が予定されている「セキュリティクリアランス」(Modern Times)
https://www.moderntimes.tv/articles/20230831-01Security-clearance/
まとめ
セキュリティ・クリアランス制度の導入には、国際的な産業競争力を高め、さらにはセキュリティの強化を図れるという大きなメリットがあります。サイバーセキュリティの重要性が高まり信頼性の見える化が求められていく中、早ければ数年のうちに法律化されるかもしれないこの制度を、リスクだけに捕らわれず戦略的に活用していくことが求められると考えます。
CEC SOC マネージドセキュリティサービス|マルチベンダー対応可能[Cyber NEXT] (cec-ltd.co.jp)
CEC SOC(Security Operation Center)は「初動対処」「恒久支援」フェーズに対応するセキュリティ運用サービスを提供します。24時間365日体制で監視、異常と判断した際は即座に通報します。調査では必要に応じて周辺装置のログ確認を行い、同一原因による再感染防止の支援を実施します。