アメリカが定めた基準が日本のビジネスに影響する?
――西尾さんの活動内容を教えてください。
私はもともと技術畑出身で、サイバーセキュリティの研究をしてきました。多摩大学 ルール形成戦略研究所 所長の國分所長との出会いがあり、今はこちらで首席研究員を務めています。これまでは官民問わず情報セキュリティに関する調達要件はISO 27001/2等をベースにしていましたが、米国のサイバーセキュリティ政策の影響を受けるものに関しては、基本的にNISTが発行する基準が必須となるという動きがあり、4年ほど前から政策提言活動をしています。
――セキュリティやコンプライアンスの文脈で「NIST」や「CSF」を目にしますが、そもそも何なのか、基本的なところから教えていただけますでしょうか。
NISTはアメリカの技術規格などを扱う政府の研究所です。同時多発テロ事件の技術検証も行いました。NISTでサイバーセキュリティを扱うのがITL(情報技術研究所)で、ここで基準を策定しています。
オバマ政権時代に戦闘機の図面情報流出を端緒として、Controlled Unclassified Information、いわゆるCUI(機密指定されていないものの管理対象とする情報)のセキュリティ強化の取り組みが始まりました。
――CUIを保護するためなのですね。どのように?
サイバーセキュリティのために、どのような考え方をもって取り組むべきかを示したのがCSFです。CSFの基本は特定、防御、検知、対応、復旧の5機能です。企業にどのような資産があり、それらにはどのような潜在的脆弱性があるかを「特定」し、穴があったらふさぐなど「防御」します。ここまでは侵入されないための方策で、かつてはここまでやれば十分でした。
しかし近年では、侵入後にいかに早く「検知」して、「対応」するかのレジリエンスが重要視されています。数年前のログを見て「攻撃されていたようでした」では検知になりません。検知はリアルタイムで攻撃を把握する必要があります。そうでないと対応につながらないからです。そして然るべき対応をした後に、安全にシステムを稼働させるのが「復旧」です。
――それではNIST SP800から始まる文書群はなんのためにあるのでしょうか?
CSFは単なるセキュリティの考え方であり概念に過ぎません。例えばサイバー攻撃で株価が暴落して、株主代表が経営者に対して損害賠償を訴えたとしましょう。法廷では攻撃したハッカーが悪いのか、防御を怠った経営者が悪いのかで争います。何を持って過失責任があると認めるのか、具体的な判断基準が必要になります。CUIを適切に保護する体制にあったのか否かを明確な基準を持って判断すべく、CSFの技術的実装要件として、乱立するSP800シリーズ文書の体系的索引としてSP800-171が制定されました。
この動きにはサイバー攻撃に関わる裁判を長引かせないために、アメリカ政府と法曹界がサイバーセキュリティ対策における善管注意義務をまとめたという意味合いもあります。民間企業向けの善管注意義務が記載されているのがNIST SP800-171です。
--アメリカと日本におけるNIST文書の位置づけはどう違いますか?
アメリカ国内ではNISTの標準文書は自国の機関が推奨するもので、法制化もされているので法的強制力があります。
一方、日本からすれば国外の基準なので「従う必要があるのか」と疑問を持つ人もいるでしょう。しかし安全保障の同盟国なのでそうは言っていられません。例えば戦闘機が離発着する滑走路の設備。同盟国で異なると国防の現場で支障が生じますので、同じ基準で守りましょうとなります。国防に加えて、政府調達基準や民事上の善管注意義務などが絡むので準拠する必要が出てきます。
