SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press(AD)

今こそ知るべきサイバーセキュリティの「新基準」日本企業が対応すべきNISTとは何か─西尾素己氏に訊く

 サイバーセキュリティ対策の考え方が変わりつつある。かつてはISO27001/2等をベースに「侵入を防ぐこと」が重視されていたが、これからはアメリカの標準をベースに「復元力」や「弾性」を意味する、いわゆる「レジリエンス」を高めていく必要があるという。特にNIST(アメリカ国立標準技術研究所)が発行するCyber Security Framework(CSF)の理解は欠かせない。サイバーセキュリティ専門家で米国のサイバーセキュリティ政策に詳しい多摩大学 ルール形成戦略研究所の西尾素己氏に基本的な要素を解説してもらった。

アメリカが定めた基準が日本のビジネスに影響する?

 ――西尾さんの活動内容を教えてください。

 私はもともと技術畑出身で、サイバーセキュリティの研究をしてきました。多摩大学 ルール形成戦略研究所 所長の國分所長との出会いがあり、今はこちらで首席研究員を務めています。これまでは官民問わず情報セキュリティに関する調達要件はISO 27001/2等をベースにしていましたが、米国のサイバーセキュリティ政策の影響を受けるものに関しては、基本的にNISTが発行する基準が必須となるという動きがあり、4年ほど前から政策提言活動をしています。

多摩大学 ルール形成戦略研究所 首席研究員 西尾素己氏
多摩大学 ルール形成戦略研究所 首席研究員 西尾素己氏

 ――セキュリティやコンプライアンスの文脈で「NIST」や「CSF」を目にしますが、そもそも何なのか、基本的なところから教えていただけますでしょうか。

 NISTはアメリカの技術規格などを扱う政府の研究所です。同時多発テロ事件の技術検証も行いました。NISTでサイバーセキュリティを扱うのがITL(情報技術研究所)で、ここで基準を策定しています。

 オバマ政権時代に戦闘機の図面情報流出を端緒として、Controlled Unclassified Information、いわゆるCUI(機密指定されていないものの管理対象とする情報)のセキュリティ強化の取り組みが始まりました。

 ――CUIを保護するためなのですね。どのように?

 サイバーセキュリティのために、どのような考え方をもって取り組むべきかを示したのがCSFです。CSFの基本は特定、防御、検知、対応、復旧の5機能です。企業にどのような資産があり、それらにはどのような潜在的脆弱性があるかを「特定」し、穴があったらふさぐなど「防御」します。ここまでは侵入されないための方策で、かつてはここまでやれば十分でした。

 しかし近年では、侵入後にいかに早く「検知」して、「対応」するかのレジリエンスが重要視されています。数年前のログを見て「攻撃されていたようでした」では検知になりません。検知はリアルタイムで攻撃を把握する必要があります。そうでないと対応につながらないからです。そして然るべき対応をした後に、安全にシステムを稼働させるのが「復旧」です。

 ――それではNIST SP800から始まる文書群はなんのためにあるのでしょうか?

 CSFは単なるセキュリティの考え方であり概念に過ぎません。例えばサイバー攻撃で株価が暴落して、株主代表が経営者に対して損害賠償を訴えたとしましょう。法廷では攻撃したハッカーが悪いのか、防御を怠った経営者が悪いのかで争います。何を持って過失責任があると認めるのか、具体的な判断基準が必要になります。CUIを適切に保護する体制にあったのか否かを明確な基準を持って判断すべく、CSFの技術的実装要件として、乱立するSP800シリーズ文書の体系的索引としてSP800-171が制定されました。

 この動きにはサイバー攻撃に関わる裁判を長引かせないために、アメリカ政府と法曹界がサイバーセキュリティ対策における善管注意義務をまとめたという意味合いもあります。民間企業向けの善管注意義務が記載されているのがNIST SP800-171です。

 --アメリカと日本におけるNIST文書の位置づけはどう違いますか?

 アメリカ国内ではNISTの標準文書は自国の機関が推奨するもので、法制化もされているので法的強制力があります。

 一方、日本からすれば国外の基準なので「従う必要があるのか」と疑問を持つ人もいるでしょう。しかし安全保障の同盟国なのでそうは言っていられません。例えば戦闘機が離発着する滑走路の設備。同盟国で異なると国防の現場で支障が生じますので、同じ基準で守りましょうとなります。国防に加えて、政府調達基準や民事上の善管注意義務などが絡むので準拠する必要が出てきます。

次のページ
新基準に対応しないことで生じるデメリットは図りしれない

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12817 2020/09/18 12:13

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング