NISTに対応していないとどうなるか、今後どう考えていくべきか?
--日本におけるNIST対応状況はどうでしょうか。
金融機関であれば歴史的にNISTが提唱するほとんどの対策は完了していると考えられるため、ほぼ準拠していると考えていいでしょう。ただし仮想通貨の取引所はまだのところがあります。銀行とのつながりがあるところはしっかりやっている印象です。
企業のITシステムがAWSやAzure、GCPなどSP800-171対応済みのインフラを使っているなら、自動的に対応しているようなものです。ただし厳密にはNIST SP800-171対応のテンプレートを適用し、かつSP800-171に準拠した適切な運用手順を持って運用されている環境である必要があります。使用しているクラウドがNIST対応していることでNIST対応済みになっているのが2割、自力でNIST対応したところが2割くらい、合わせて4割くらいでしょうか。
自動車で使われる電装品のサプライチェーンなど、今後はNIST対応が迫られてくるでしょう。私たちは2年前からNIST対応環境への移行オペレーションを推奨しており、主要なサプライヤーを招いた勉強会も開催してきました。参加を通じて「もうやるしかない」と覚悟を決めたところも増えてきています。関係者の温度は高まっています。
防衛省ではNISTを加味した情報セキュリティ特約が改訂されました。防衛省と取引がある企業は対応しなくてはなりません。しかし当事者からは「アメリカは軍需産業で成り立っているから投資に見合うが、日本で防衛部門がある企業は少なく、売上もわずかしかない(から、そこに多額の投資はできない)」とのご意見をたまに聞きます。これに関しては我が国の防衛産業の根本的な構造が持つジレンマでもありますが、根本的な考え方として、もともとセキュリティへの適切な投資量というのは、現在日本企業が思い描いているものよりも数段高いものだと再認識する必要があります。
--今後さらにアメリカの法制度は発展していくでしょうか。
今後は州ごとの法律も出てくるでしょう。現在、カリフォルニア州でプライバシー保護法が定められ、1人あたりの個人情報を一件当たり最大で750ドル、さらに法定損害金として一件につき最大で7500ドル、仮に1万人分の個人情報を流出させ、集団訴訟に持ち込まれ、過失責任が認められれば、80億ドル以上のキャッシュが失われます。ニューヨーク州やオハイオ州も続いています。
ヨーロッパの歴史を見ると、かつてEU内で各加盟国が独自にプライバシー保護に関する法律や制度を定めていました。次第に乱立して非効率になり、結果的には統合してNIS DirectiveによりGDPRに集約されました。アメリカでも連邦政府が各州のプライバシー保護法を統合したり、NISTに上乗せするような形で定まるかもしれません。すでにNISTでは政府機関向けのSP800-53をベースとしたPrivacy Frameworkが策定中です。
--サイバーセキュリティは、今後「経営ごと」に近づいていくと感じております。日本の経営者はどういう心構えを持つといいでしょうか。
数年前の経団連での企画記事では「正しく怖がってください」とお伝えしました。過度に怖れる必要はないですが、過信もよくありません。
セキュリティで人材不足を訴える経営者は多いのですが、どの部門にどのような能力を持った人が、どれだけ足りないのかを正確に把握することが大事です。今やサイバーセキュリティは情報システム部だけが対応すべきものではありません。経営戦略にも関わりますので、法務や経営企画にもサイバーが分かる人を置く必要があります。ここが大きなマインドチェンジになります。
企業はNISTに対応するためには、自社システムのどこをどう変更すべきか、サプライチェーンはどうすべきかを考えていく必要があります。それが「正しく怖がる」につながります。
