目次
1 はじめに
本稿は、防衛技術ジャーナル2026年1月号(第46巻第1号/通巻538号)の「ニッポン日本の注目技術」コーナーに掲載された『防衛省自衛隊の情報システムに対するリスク管理枠組みの導入と情報デバイスを伴う既存の装備品に対する適用とポイント』を、発行者である一般財団法人 防衛技術協会様から許可を得た上で、抜粋、紹介するものです。
防衛省自衛隊では、省訓第26号(令和5.3.31)により「防衛省の情報保証に関する訓令」(防衛省訓令第150号) ※1(以下情報保証訓令という。)の改正が行われ、情報システムと、他の情報システム又はネットワークに接続する情報デバイスを伴う装備品等及び器材は、同訓令第26条(運用承認)の規定に基づき、令和9(2027)年度末までに原則、運用承認を受けることが必須となっています ※2。このことは、米国政府、国防省が採用しているリスク管理枠組み(Risk Management Framework: RMF, RMFという。)の防衛省自衛隊への導入を意味しています。
本稿は、防衛装備品製造会社にRMFの概要と現状を理解頂くことを主な目的としています。まず、RMF、米国の状況、防衛省自衛隊のRMF導入の経緯と今後、対象となる情報システム、RMFプロセスについて公開されている ※3情報保証訓令を踏まえて流れを解説した上で、装備品に対するRMF適用にあたってのポイントと、国の防衛力の抜本的強化の取組を踏まえ、今後に向けた認識を共有させて頂きたいと思います。防衛装備品製造会社の管理者の皆様には「RMFプロセス」を除き、担当者の皆様は全文をご覧ください。
2 RMFと米国の状況
(1)RMFとは
RMFとは、情報システムの特性に応じたセキュリティ対策を実施し、最新の脅威動向を踏まえたリスク分析・評価を実施(脆弱性検査等)、セキュリティ対策の実施状況を監査(侵入試験等)するというサイクルを情報システム毎に適用・構築する考え方・枠組みのことで、これにより、ライフサイクルを通じて、情報システムのリスクを継続的に管理し、安全に運用することが可能になります(図1)。
図1:リスク管理枠組み ※4
(2)米国の状況
米国は2002年、連邦情報セキュリティ法(Federal Information Security Management Act:FISMA法)を発効し、情報セキュリティを強化するための企画やガイドラインを作成する役割を国立標準技術研究所(National Institute of Standards and Technology: NIST、NISTという。)に正式に付与するとともに、連邦政府機関と取引を行う国内の州、地方自治体、民間企業(クラウドサービスプロバイダを含む。)に対し、包括的な情報セキュリティプログラムを情報セキュリティの三要素(「機密性」、「完全性」、「可用性」)を重視して確立した上で(表1)、年次レビューを行うことを義務付けました。その後、2014年に同法を改正し、連邦政府の取組にあたっての国土安全保障省と行政管理予算局の監督責任を明確化しています。そして、同法が関係機関、団体の情報セキュリティプログラムに準拠を求めているのが、NIST SP ※5 800-37 Rev ※6 2(情報システム及び組織のためのリスクマネジメントフレームワーク)です。
表1:情報セキュリティの三要素
| 要素 | 説明 |
| 機密性 Confidentiality | 権限がある人のみがアクセスできる、秘密を守ること |
| 完全性 Integrity | 情報が改ざんや破壊がされていなく正しいこと |
| 可用性 Availability | 権限を持つ人がアクセスしたいときに、いつでもアクセスできること |
同年、国防省指令(DoDI8510.01)により、我が国に先行すること約10年、(兵器システムは2年)、RMFの導入が開始されています ※7。
(以下、目次のみ)
3 防衛省自衛隊のRMF導入の経緯と今後
4 対象となる情報システム
5 RMFプロセス
6 装備品製造会社のRMF適用のポイント
7 おわりに
(中略)
政府は、令和4(2022)年末に閣議決定された「国家防衛戦略」と「防衛力整備計画」について、最近の安全保障環境の急激な悪化を踏まえ、前倒しで改正する方向で検討に入ったとメディアは伝えています※8 。加えて、小泉防衛大臣は着任式の訓示において、安保三文書の見直しの検討の必要性の認識を示しました※9 。装備品製造会社の皆様におかれましては、材料費の高騰等の厳しき折ではありますが、わが国の国益に資するため、防衛省自衛隊による防衛力の抜本的強化に向けた取り組みの重要性を理解いただき、そして、その一つである情報デバイスを伴う既存の装備品等に対するRMF 適用にも積極的かつ柔軟に対応願います。米国においては、RMF の見直し(CSRMC)の動きが出ている模様 ※10,※11 ですが、当面、現行訓令に沿った対応が求められると考えます。
細部については、防衛技術ジャーナル2026年1月号紹介ページをご覧ください。
- 訓令とは、防衛省内部向けの防衛大臣による命令・指示であり、同情報保証訓令の命令・指示は、情報保証責任者、情報システム情報保証責任者、情報システム情報保証認証者、情報システム運用者などに対して発せられており、これらの防衛省自衛隊の組織内での手続きを律するもの。
- 防衛省訓練第160号「防衛省の情報保証に関する訓令」http://www.clearing.mod.go.jp/kunrei_data/a_fd/2007/ax20070920_00160_000.pdf (Accessed Oct.10 2025)
- 管理策を含む「リスク管理枠組み(RMF)におけるセキュリティ管理策について(通知) (防整サ第14550号(令和5年7月3日))や、「情報システムにおけるリスク管理枠組み(RMF)実施要領等について(通知) (防整サ第14550号(令和5年7月3日))については公開されていない。
- 防衛省自衛隊におけるこれまでの取組等(令和6年7月1日、防衛省)https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/dai2/siryou6-4.pdf(Accessed Oct.10 2025)
- Special Publication(特別出版物)の略
- Revision(修正版)の略
- 2014年に発出された指令が「DoD Instruction 8510.01 Risk Management Framework for DoD Information Technology」で、2022年に改訂された指令が「DoD Instruction 8510.01 Risk Management Framework for DoD Systems」。2022年の改訂で、IT以外のシステムを含んで適用範囲が明確化・拡大されることになった。
- <独自>「国家防衛戦略・整備計画改正前倒しへ 防衛費2% 超に、紛争頻発で安全保障環境悪化」(2025.8.12)産経新聞HP https://www.sankei.com/article/20250812-TFCUGU5O4FKKJBNGR7HTAKRLF4/(Accessed Oct.10 2025)
- (共同通信)「小泉氏、安保3文書改定に意欲 防衛相着任式で訓示」(2025.10.22)47NEWS HP https://www.47news.jp/13330465.html(Accessed Oct.22 2025)
- https://www.war.gov/News/Releases/Release/Article/4314411/department-of-war-announces-new-cybersecurity-riskmanagement-construct/(Accessed Nov.3 2025)
- 米国連邦政府、関係機関への「コンプライアンスベースモデル」であるRMF 導入は2005年(DoD 装備品システムへのRMF 導入は2022年)に行われた。導入当時と現在では環境(インフラ、ソフトウェア技術、求められる調達サイクル等)が大きく異なってきたため、その遅さ、柔軟性の欠如、官僚主義に対し多くの批判が集まっていた。そして、統合と自動化/運用の透明性/継続的な監視/財政的責任を優先した、自動で継続的監視・運用許可の体制の必要性を求める声が高まり、「リスクベースモデル」であるCSRMC の取組の検討・公表に至ったものである。併せて、その実現にあたり、実行に必要なSWFT(ソフトウェア・ファスト・トラック)イニシアティブも開始した。SWFT は、RMF と運用許可プロセスを自動化及び最新化し、ソフトウェアの取得と承認のため、高速なAI 主導型システムを構築することを目指しており、SWP(ソフトウェア取得パスウェイ)を活用することで、DevSecOps〔SW 開発(Dev)、セキュリティ(Sec)、運用(Ops)を連携させ、開発プロセス全体にセキュリティを統合するアプローチ〕を通じ、迅速かつ反復的なSW 開発と継続的な運用許可を可能にする。その際、サプライチェーン・セキュリティを向上させるため、SW 部品表(SBOM)を取り入れ、SW コンポーネントの可視性を向上させる模様である。