米防衛請負業者MORSE社、虚偽のセキュリティ自己評価で460万ドル支払い – 内部告発で発覚した-142点の実態

2025年3月27日8:45

サイバーセキュリティニュース

米防衛請負業者MORSE社、虚偽のセキュリティ自己評価で460万ドル支払い - 内部告発で発覚した-142点の実態 - innovaTopia - （イノベトピア）

Last Updated on 2025-03-27 11:09 by admin

米国防請負業者MORSE社が、サイバーセキュリティ要件不履行と虚偽請求の疑いで460万ドル（約6.9億円）の和解金を支払うことになった。マサチューセッツ州を拠点とするこの企業は、米陸軍および空軍との契約においてサイバーセキュリティ上の複数の不備があったことを認めた。問題は同社の元セキュリティ責任者による内部告発で明らかになった。

MORSE社は軍用車両の誘導・航法技術を開発しており、2018年の時点で第三者プロバイダーを使用してメールをホスティングする際、要求されていたFedRAMP Moderateベースラインの確認を怠っていた。また、2018年から2021年初頭にかけて、契約で要求されていたシステムの包括的な文書化されたセキュリティ計画を持っていなかった。

特に問題視されたのは同社のサイバーセキュリティ自己評価スコアの扱いである。2021年1月、MORSE社は国防総省のサプライヤーパフォーマンスリスクシステム（SPRS）に104点（最高110点、最低-203点）を報告した。しかし2022年5月に第三者コンサルタントによる再評価を行ったところ、実際のスコアは-142点で、必要な管理策のわずか22%しか実装されていないことが判明した。それにもかかわらず、同社はITセキュリティに関する連邦の召喚状を受け取った後の2023年6月までSPRSスコアを更新しなかった。

和解の一環として、MORSE社は連邦政府に460万ドルを返還し、そのうち85.1万ドル（約1.3億円）が内部告発者に支払われる。MORSE社の広報担当者は「サイバーセキュリティ詐欺に関与していない」と主張し、「現在はすべてのサイバーセキュリティ要件に準拠しており、第三者によって検証された現在のNISTスコアは110点である」と述べている。

なお、MORSE社は2024年に米陸軍から「データおよびソフトウェアエンジニアリング」支援のために6,700万ドル（約100億円）の契約を獲得している。

from:US defense contractor cops to sloppy security, settles after infosec lead blows whistle

【編集部解説】

今回のMORSE社の事例は、防衛産業におけるサイバーセキュリティコンプライアンスの重要性と、その実態の乖離を浮き彫りにしています。米国政府は特に防衛関連企業に対して厳格なセキュリティ基準（NIST SP 800-171など）を設けていますが、自己申告制度の脆弱性が露呈した形です。

注目すべきは、単なるコンプライアンス違反ではなく「虚偽請求防止法」（False Claims Act）違反として扱われた点です。これは、セキュリティ要件を満たさない状態で政府契約を受注し代金を受け取ることが、詐欺的行為と同等に扱われることを意味します。日本でも防衛装備品調達や重要インフラ関連の契約において、同様の厳格な基準適用が進んでいくでしょう。

内部告発者の役割も見逃せません。訴訟文書から、元セキュリティ責任者が2023年1月に内部告発を行ったことが分かります。彼は「機密政府情報を保護するための残された選択肢がないと感じた」と述べており、組織内での改善努力が行き詰まっていた可能性があります。

この和解は防衛産業におけるサイバーセキュリティ違反に関する重要な事例となっています。米司法省の民事部門は「政府データをリスクにさらす企業を追及する」と明言しており、サイバーセキュリティ執行の姿勢は継続していることが窺えます。

特に重要なのは、MORSE社のケースが「サイバーセキュリティ詐欺」の新たな形を示している点です。従来の情報漏洩やデータ侵害とは異なり、実際の被害が発生する前の「潜在的リスク」の段階で法的責任が問われています。これは予防的なセキュリティガバナンスの重要性を示すものです。

また、2024年12月に成立した「行政虚偽請求法」（AFCA）により、連邦機関は独自に政府請負業者に対する請求を追求できるようになりました。従来の上限15万ドルから100万ドルに引き上げられ、小規模なサイバーセキュリティ違反も追及しやすくなっています。

日本企業にとっての教訓も大きいでしょう。グローバルに事業展開する企業は、各国・地域のセキュリティ要件を理解し、適切に対応することが競争力の源泉となります。特に米国政府との取引を行う企業は、NIST基準への準拠状況を正確に把握・報告する体制が不可欠です。

さらに、この事例は「セキュリティ対策の実装」と「その証明」の両方が重要であることを示しています。MORSE社は第三者評価によって実態が明らかになりましたが、定期的な外部監査や客観的な評価を自主的に行うことで、このようなリスクを回避できた可能性があります。

防衛産業に限らず、重要インフラや医療、金融など様々な分野でサイバーセキュリティ要件は厳格化の一途をたどっています。形式的なコンプライアンスではなく、実効性のあるセキュリティガバナンスの構築が、今後ますます重要になるでしょう。

【用語解説】

NIST SP 800-171:
米国国立標準技術研究所(NIST)が発行するセキュリティガイドライン。米国防衛省と取引するすべての企業に対して準拠を要求している。機密以外の重要情報(CUI)を保護するための110の要件から構成される。日本でも防衛産業に関わる企業が影響を受けると見込まれている。

FedRAMP:
Federal Risk and Authorization Management Program（連邦リスク認証管理プログラム）の略。米国政府機関が利用するクラウドサービスのセキュリティ評価・認証の標準的なアプローチを提供するプログラム。

虚偽請求防止法(False Claims Act):
連邦政府からの金銭の不正受給、納付すべき金銭の過少申告等の取締りを目的とする法律。重要なのは「knowingly」の解釈で、実際に認識していた場合だけでなく、真実性を敢えて無視していた場合や軽視していた場合も含まれる。

SPRS:
Supplier Performance Risk System（サプライヤーパフォーマンスリスクシステム）。米国防総省が請負業者のパフォーマンスやリスクを評価・管理するためのシステム。

【参考リンク】

MORSE Corp（米国防請負業者）（外部）
軍用車両の誘導・航法技術を開発する米国の防衛請負業者。先端技術を開発

米国国立標準技術研究所(NIST)（外部）
米国商務省に属する連邦政府機関で、産業競争力強化のための標準や技術を開発

防衛装備庁（外部）
日本の防衛省の外局で、防衛装備品の研究開発や調達を担当する組織

【編集部後記】

テクノロジーの進化とともに、サイバーセキュリティの重要性は増す一方です。特に防衛や重要インフラなど国家安全保障に関わる分野では、「コンプライアンスは単なる形式ではなく実質を伴うもの」という認識が不可欠です。皆さんの組織では、セキュリティ対策の実装状況を正確に把握し、経営層に適切に報告する仕組みが機能していますか？また、問題を早期に是正できる組織文化は育まれていますか？形式的な対応ではなく、実効性のあるセキュリティガバナンスの構築こそが、これからの競争力の源泉になるのではないでしょうか。