弊社は、我が国産業界に対して欧米の規則がスタンダードとして影響が及ぶことを未然にキャッチし、適切な対応をタイムリーに行えるための活動を推進いたします。
現在は、以下のポイントについて注目しています。
(1) 米国 NIST SP800-63 による認証規格を紹介し、我が国にも対応する認証基盤構築を推進
欧米の航空宇宙・防衛業界における機密度の高い情報の扱いについては、ISOなどの国際規格より、米国政府が策定するNISTが制定するNIST SP800-63に従うことが合理的かつ即効性のあるソリューションであると考えています。
「認証」は、昨今のサイバーセキュリティの課題であり、情報を取扱う入口を的確に押さえて初めてシステムによる対策が有効になってきます。その入口となるものです。
技術的には、PKI電子認証を核として、NIST SP800-63規格をベースとする体系をわが国に自律的に構築し、諸外国と対等な認証信頼関係を確立することです。
(2) 米国連邦政府調達に課せられたCUI情報の取り扱い規則を遵守できる態勢を構築
米国では、2010年の大統領令(Executive Order 13556 Controlled Unclassified Information)に基づき、NISTはSP800-171を制定しました。DoDは、いち早くその適用を業界に求めるDFARS(252.204-7012)を発行し、2017.12.31までにサプライチェーンに関わる全ての組織に対して遵守することを求めています。
NIST SP800-171は、SP800-53,63をベースに構成されており、ISMS(ISO/IEC 27001)とも対比される内容/構成となっており、情報システム自体への制約と、情報を扱う上での組織態勢やルールを適切に制定することが必要です。弊社は、すでに米国でNIST準拠のクラウドサービスとして認定されているExostar社のForumPass Defenseを紹介できます。
【参考】 米国防総省最新要件への対応〜保護対象防衛情報管理(Defense Information Controls) のセーフガード (Exostar)
【参考】 米国 NIST SP800-171 による連邦政府調達基準への対応について (EvaAviation)
(3) LSAP航空機ソフトウェア部品のセキュリティ基盤構築の支援
航空機の部品はIT技術の進化に伴い、ソフトウェアを持つシステム部品に変わりつつあります。米国FAAでは、ハードウェアの認証をRTCA DO-254により規定していますが、ソフトウェア(システム)部品についてはDO-178が適用されます。
DO-178は製造時における規約ですが、運航会社やMRO整備会社ではそのソフトウェアをアップデートする作業を現場で行う必要があります。欧米航空業界では、ソフトウェアメンテナンスを行う整備士や運航会社技術者には、PIV-AVというICカードによる認証が義務付けられることになります。この認証についてはATA Spec42により規定されています。(弊社はSpec42を検討するA4Aの会員です。)
弊社の活動や事業に関心持っていただいた場合は、以下のアドレスにメールいただけると嬉しく思います。よろしくお願い申し上げます。
株式会社エヴァアビエーション 代表 久野保之
MAIL : company@EvaAviation.com