次世代シーケンサーや再生医療に代表されるバイオ技術/バイオ製造の領域では、電子制御技術/OTと情報通信技術/ITの融合が進む一方、セーフティとサイバーセキュリティの両面でリスクをどのように管理するかが大きな課題となっている。
大統領令で加速した米国のバイオ技術/製造R&D推進策
2022年9月12日、米国大統領行政府は、「持続可能な安全でセキュアな米国のバイオエコノミーのために進化するバイオ技術/バイオ製造に関する大統領令」(関連情報)を発表した(https://www.whitehouse.gov/briefing-room/presidential-actions/2022/09/12/executive-order-on-advancing-biotechnology-and-biomanufacturing-innovation-for-a-sustainable-safe-and-secure-american-bioeconomy/)。この大統領令は、以下のような構成になっている。
第1条.政策
第2条.調整
第3条.さらなる社会的目標に向けたバイオ技術/バイオ製造R&Dの利用
第4条.バイオエコノミーのためのデータ
第5条.活気のある国内バイオ製造エコシステムの構築
第6条.バイオベース製品の調達
第7条.バイオ技術/バイオ製造の労働力
第8条.バイオ技術規制の明確性と効率性
第9条.バイオセーフティとバイオセキュリティの進化によるリスクの低減
第10条.バイオエコノミーの評価
第11条.米国のバイオエコノミーに対する脅威の評価
第12条.国際的な関与
第13条.定義
第14条.一般規定
サイバーセキュリティ/プライバシー保護の観点から大統領令をみると、「第1条.政策」の中で、以下のような政策を掲げている。
(b)バイオ技術/バイオ製造のイノベーションを進化させる生物学データエコシステムを促進する一方、セキュリティ、プライバシー、責任ある研究規範の原則を順守する
(j)脅威やリスク、潜在的脆弱性(外国の敵対者によるデジタル侵入、操作、流出の取組など)を評価、予想することによって、また、技術的リーダーシップや経済的競争力の保護目的で共同してリスクを低減するために、民間セクターおよびその他の主要なステークホルダーと連携することによって、前向きでプロアクティブなアプローチを採用し、米国のバイオエコノミーをセキュアにし、保護する
(k)米国の原則や価値と一貫した方法で、また安全でセキュアなバイオ技術/バイオ製造の研究やイノベーション、製品開発、利用のためのベストプラクティスを促進する方法で、バイオ技術R&Dにおける協力関係を強化するために、国際的なコミュニティに関与する
さらに、「第4条.バイオエコノミーのためのデータ」では、セキュリティ、プライバシーおよびその他のリスク(悪意のある誤用、操作、流出、削除など)を特定し、これらのリスクを低減するためのデータ保護計画を提供するとしている。また、国土安全保障省長官は、国防総省長官、農務省長官、商務省長官(NIST長官を通じて行動する)、保健福祉省長官、エネルギー省長官、行政管理予算局(OMB)長と調整しながら、国家サイバーセキュリティの向上に関する大統領令第14028号(2021年5月12日付)(https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/)および関連する法律に従って、連邦政府情報システムに保存された生物学的データ向けの適切なサイバーセキュリティベストプラクティスを特定し、提供するとしている。さらに、商務省長官は、NIST長官を通じて行動し、保健福祉省長官と調整しながら、大統領令第14028号の規定に従って、米国連邦政府に販売するソフトウェア開発向けベースラインセキュリティ標準規格を設定する際に、研究器具、計装機器、データマネジメント向けソフトウェアを含むバイオ関連ソフトウェアを考慮すべきであるとしている。
米国防総省のバイオ推進策に組み込まれたサイバーセキュリティ強化
この大統領令を受けて、国防総省(DoD)は、同月14日、「新たなバイオ技術大統領令は、米国の経済・国家安全保障のために国防総省のバイオ技術を進化させる」(https://www.defense.gov/News/Releases/Release/Article/3157504/new-biotechnology-executive-order-will-advance-dod-biotechnology-initiatives-fo/)と題した声明文を発表している。
その中で国防総省は、バイオ製造向けに総額12億米ドルの新規投資を行うことを発表した。新たなバイオ製造能力は、国防総省の複数のミッション領域に渡る物流課題への取組を支援するとしている。具体的なメリットとしては、以下のような点を挙げている。
- 脆弱なサプライチェーンに依存することなく、重要な材料を国内で供給する
- 極超音速機から潜水艦まで、新たな特性を有する材料を開発する
- 材料やエネルギー製品の開発のために、必要なポイントで製造することにより、物流や再供給のタイムラインを大幅に削減する
また、国防総省は、今後5年間で総額10億米ドルをバイオ産業の国内製造インフラストラクチャに投資し、米国のイノベーターがアクセス可能な国内バイオ産業の製造基盤構築を促進する計画を発表した。これが、民間および国防双方のサプライチェーンにとって重要な製品の製造能力を拡大するための官民連携パートナーシップに対するインセンティブとなるとしている。加えて、これらの施設のバイオセキュリティやサイバーセキュリティのポスチャーを強化するために、総額2億米ドルを投入するとしている。
さらに国防総省は、バイオ技術におけるプロトタイピングや運用の実証、迅速な生産を加速させるために、以下のような施策を踏襲するとしている。
- バイオ技術ソリューションをミッションのニーズに結びつけて提供する
- データ共有、標準的なワークフロー、自動化能力を実現する共有基盤により、迅速なプロトタイプのパイプラインを構築する
- バイオ倫理、バイオセーフティ、バイオセキュリティにおいてリードする
- 将来に向けて、多様で学際的な労働力を育成する
- 産業やアカデミック、国際的なパートナーと効果的に連携する
特に、バイオ技術の進化において重要な役割を担うのが、国防総省傘下の製造イノベーション研究所(MIIs)である。ここでは、2016年12月、国防長官府により創設された先進再生製造研究所(ARMI)傘下のBioFabUSA(https://www.armiusa.org/)と、2020年10月に創設されたバイオ産業製造・設計エコシステム(BioMADE)(https://www.biomade.org/)を挙げている。
米国防総省がバイオ製造戦略および付随するRFIを公表
その後2023年3月22日、国防総省傘下の研究工学担当国防次官室は、「国防総省バイオ製造戦略」(https://www.defense.gov/News/Releases/Release/Article/3337235/dod-releases-biomanufacturing-strategy/)を発表した。国防総省のバイオ戦略は、以下の3つの原則より構成される。
- 早期段階のイノベーションのために移行パートナーを確立する:
本戦略は、バイオ製造能力を求めるDoD顧客の確立がDoD技術投資を導く。早期段階の科学が、作戦指揮官のミッション達成に役立つような能力の進化を目的としている点を保証するために、正式な要求事項の構築プロセスなどを活用する。 - イノベーションの実践と適用を通して、バイオ製造を構築する:
本原則は、国防総省が、バイオ製造業を国内で構築し、同盟者やパートナーとともに、自立した国内バイオ製造エコシステムを構築して、国防上のニーズを満たすだけでなく、現場における米国の継続的な競争力を保証するよう仕向けるものである。 - バイオ製造エコシステムをマッピングし、将来の国防総省によるバイオ製造R&Dの取組を支援するようなメトリクスを追跡する:
バイオ製造エコシステムは、比較的新しいため、現行のエコシステムを評価し、構築に合わせて変更を追跡することが不可欠である。それにより、将来の投資を優先順位付けし、導入リスクを低減するのに役立つような知識を提供する。
これと合わせて国防総省は、バイオ製造戦略の支援措置として、国防上のニーズへの取組を支援し、国防総省の投資により開発および商用化の取組が可能となるようなバイオ製造製品およびプロセス能力に関して、正式な情報提供依頼(RFI)(https://sam.gov/opp/8fec24f77b6046c9ae28dc99b2417e42/view)を発出している(募集期間:2023年4月23日まで)。具体的には、バイオ製造に関して、以下のようなソリューションに関する情報を求めている。
- 国防総省が必要とする特殊化学品・素材(例.バイオ製造燃料およびエネルギー前駆体、スパイダーシルク、ポリマー、天然ゴム/ラテックスゴム、溶媒などの生合成ファイバー)を、利用可能で手頃な方法により製造する
- バイオ複合・生体材料(例.強化特性を備えた調整可能な素材、自己修復型素材)を通じた、物流の費用、時間、エネルギーの削減を可能にする
- 持続的な人体及び環境のインテリジェンス(例.水質モニタリング向けセンサー、海事システムにおけるバイオベースのエネルギー採取)のために、一貫したセンシング能力を維持する
- パフォーマンスや保護に影響を及ぼす人間拡張システム(例.テーラーメイドのタンパク質)
- 製品パフォーマンスの要求事項を充足または越えながら、環境面のインパクトを低減するような方法で、国防関連材料の製造を可能にする
国防総省がバイオ技術/製造関連企業に求めるセキュリティ調達要件
政府調達時のサイバーセキュリティ基準からみると、国防総省を含む連邦政府機関のサプライヤーとなる企業は、前提条件として、「NIST SP 800-53 連邦政府情報システム、および連邦組織のためのセキュリティ管理策とプライバシー管理策」(https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)の遵守が不可欠である。加えて、国防総省は、契約企業および再委託先企業に対して、国防総省調達規則附則(DFARS) の要求事項を遵守するよう求めている。国防総省傘下の教育・研究機関や医療施設とバイオ関連製品・サービスについて契約する企業も適用対象となる。
代表的なDFARSとしては、以下のようなものがある。
- DFARS 252.204-7012 適用対象国防情報の保護とサイバーインシデント報告(https://www.acquisition.gov/dfars/252.204-7012-safeguarding-covered-defense-information-and-cyber-incident-reporting.)
- DFARS 252.204-7019 NIST SP 800-171 国防総省評価要求事項の通知(https://www.acquisition.gov/dfars/252.204-7019-notice-nistsp-800-171-dod-assessment-requirements.)
- DFARS 252.204-7020 NIST SP 800-171 国防総省評価要求事項(https://www.acquisition.gov/dfars/252.204-7020-nist-sp-800-171dod-assessment-requirements.)
- DFARS 252.204-7021 サイバーセキュリティ成熟度モデル認証要求事項(https://www.acquisition.gov/dfars/252.204-7021-cybersecuritymaturity-model-certification-requirements.)
DFARSが参照する代表的な標準規格としては、「NIST SP 800-171 非連邦政府組織およびシステムにおけるCUI(管理対象非機密情報)の保護」(https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final)や、サイバーセキュリティ成熟度モデル(CMMI)フレームワーク(https://dodcio.defense.gov/CMMC/)がある。なお、NIST SP 800-171については、現在改訂第3版の改定作業が行われており(https://csrc.nist.gov/publications/detail/sp/800-171/rev-3/draft)、今後の動向を注視する必要がある。
国防総省独自のクラウドセキュリティ認証制度とFedRAMPの関係
クラウドセキュリティに関して、国防総省では、連邦情報セキュリティマネジメント法(FISMA)に基づくFedRAMP(Federal Risk and Authorization Management Program)(https://www.fedramp.gov/)とは別個に、国防情報システム局(DISA)が、国防総省指示に基づく「クラウドコンピューティングセキュリティ要求事項ガイド(SRG)」(最新版は2022年1月14日に発行されたVersion 1, Release 4)(https://public.cyber.mil/dccs/)に準拠した認証制度を運用している。最新版のSRGは、以下のような構成になっている。
1. イントロダクション
1.1 目的と対象読者
1.2 権限
1.3 スコープと適用可能性
1.4 SRGs/STIGs
1.5 SRGとSTIGの配分
1.6 文書改定と更新のサイクル
1.7 文書の構成
2. 背景
2.1 重要な用語
2.2 クラウドコンピューティング、クラウドサービスとクラウドデプロイメントモデル
2.3 クラウドサービスプロバイダー(CSP)とクラウドサービスオファリング(CSO)
2.4 国防総省リスク管理フレームワーク(DoD RMF)
2.5 連邦リスク認証管理プログラム(FedRAMP)
2.6 FedRAMP Plus
2.7 国防総省暫定認証
3 情報セキュリティ目標/インパクトレベル
3.1情報インパクトレベル
4. クラウドサービスオファリングのリスク評価/認証
4.1 エンタープライズ利用向け商用および国防総省以外のクラウドサービスの評価
4.2 国防総省編成&運用部門クラウドサービスおよびエンタープライズサービスアプリケーションの評価
4.3 クラウドサービスオファリングとミッションオーナーのりスク管理
4.4 CSPのCC SRGバージョン/リリースから最新のCC SRGバージョン/リリースへの移行
4.5 RFPへの対応と契約締結に関連する国防総省暫定認証:DFARSの翻訳
4.6 クラウドサービス対マネージドITサービス
5. セキュリティ要求事項
5.1 国防総省のセキュリティ制御関連ポリシー
5.2 法的考慮事項
5.3 継続的評価
5.4 CSPの国防総省公開鍵インフラストラクチャ(PKI)利用
5.5 ポリシー、ガイダンス、運用上の制約
5.6 物理的施設と人員の要求事項
5.7 データ漏えい
5.8クラウドサービスオファリングからの終了のためのデータ検索と破壊
5.9ストレージメディアとハードウェアの再利用と廃棄
5.10 アーキテクチャ
5.11 商用クラウドストレージにおける保存データの暗号化
5.12 バックアップ
5.13 国防総省の契約企業/国防総省コンポーネントのミッションオーナーのパートナーによるクラウドサービスオファリング利用
5.14 クラウドにおける国防総省ミッションオーナーのテストと開発
5.15 ポート、プロトコル、サービス、管理とクラウドベースのシステム/アプリケーション
5.16 モバイルコード
5.17クラウドベースのシステム/アプリケーション向けのレジストリとコネクション
5.18 サプライチェーンリスク管理評価
5.19 電子メールの保護
6. サイバー空間防衛とインシデント対応
6.1 サイバー空間防衛の概要
6.2 クラウドコンピューティング向け情報インパクトレベルの概念変更
6.3 サイバー空間防衛活動
6.4 サイバー空間防衛の役割と責任
6.5 サイバーインシデント報告と対応
6.6 警告、戦術指令と命令
6.7 継続的モニタリング/行動計画とマイルストーン(POA&Ms)
6.8 計画的停止の通知
6.9 サイバー空間防衛目的のPKI
6.10 脆弱性・脅威情報の共有
附表A. 参考文献
附表B. 用語集
附表C. 役割と責任
附表D. 暫定認証向けCSP評価パラメーター値
附表E. プライバシーオーバーレイ比較のコントロール/コントロール強化表と数値表
当初SRGのインパクトレベルは6段階が設定されていたが、現在はレベル2・4・5・6の4段階が使われている。各レベルの概要は以下の通りである。
- インパクトレベル2:管理対象外非機密情報(FedRAMPモデレートベースライン(MBL)認証)
- インパクトレベル4:管理対象非機密情報または管理対象外陽機密情報(インパクトレベル2認証+管理対象非機密情報固有のテーラーメイド設定による認証、またはFedRAMPハイベースライン(HBL)認証)
- インパクトレベル5:管理対象非機密情報および非機密国家安全保障情報(U-NSI)/国家安全保障システム(NSS)(インパクトレベル4認証+国家安全保障システム(NSS)固有のテーラーメイド設定により認証する)
- インパクトレベル6:機密情報でSECRET扱いの国家安全保障システム(NSS)(インパクトレベル5認証+機密情報のオーバーレイにより認証する)
その他、サイバーセキュリティのベストプラクティスに関連して、米国防総省傘下の国防情報システム局(DISA)は、「セキュリティ技術導入ガイド(STIGs)」(https://public.cyber.mil/stigs/)を公開している。国防総省は、「国防総省指令8500.01」により、DISAに対して、セキュリティ技術導入ガイド(STIG)のほか、コントロール相関識別子(CCI)、セキュリティ要求事項ガイド(SRGs)、そして国防総省のサイバーセキュリティポリシー、標準規格、アーキテクチャ、セキュリティコントロール、バリデーションの手順とともに導入した、一貫性のあるモバイルコードリスクカテゴリ・利用ガイドを構築・維持することを求めている。また同指令は、国防総省コンポーネントに対して、国防総省管轄下のすべてのITが、適用されるSTIGs、セキュリティ構成ガイド、SRGsを遵守するよう求めている。これらの規定は、国防総省向けにバイオ技術/バイオ製造関連製品・サービスを提供するサプライヤー企業にも適用される。
米国立衛生研究所(NIH)で、バイオ技術/バイオ製造領域のサイバーセキュリティに関わる専門家をみると、その多くが国防総省出身者であることがわかる。ミリタリーグレードのサイバーセキュリティ専門家をインハウスに抱えるNIHと同等レベルの体制を、日本国内に構築・運用することは容易でない。ここでキャッチアップできなければ、プラットフォーム力における日米間格差はさらに拡大することになる。日本のバイオテクノロジーは、まさに正念場を迎えている。
CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司