EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

今こそ知るべきサイバーセキュリティの「新基準」日本企業が対応すべきNISTとは何か─西尾素己氏に訊く

edited by Security Online   2020/04/22 11:00

NISTに対応していないとどうなるか、今後どう考えていくべきか?

 --日本におけるNIST対応状況はどうでしょうか。

 金融機関であれば歴史的にNISTが提唱するほとんどの対策は完了していると考えられるため、ほぼ準拠していると考えていいでしょう。ただし仮想通貨の取引所はまだのところがあります。銀行とのつながりがあるところはしっかりやっている印象です。

 企業のITシステムがAWSやAzure、GCPなどSP800-171対応済みのインフラを使っているなら、自動的に対応しているようなものです。ただし厳密にはNIST SP800-171対応のテンプレートを適用し、かつSP800-171に準拠した適切な運用手順を持って運用されている環境である必要があります。使用しているクラウドがNIST対応していることでNIST対応済みになっているのが2割、自力でNIST対応したところが2割くらい、合わせて4割くらいでしょうか。

 自動車で使われる電装品のサプライチェーンなど、今後はNIST対応が迫られてくるでしょう。私たちは2年前からNIST対応環境への移行オペレーションを推奨しており、主要なサプライヤーを招いた勉強会も開催してきました。参加を通じて「もうやるしかない」と覚悟を決めたところも増えてきています。関係者の温度は高まっています。

 防衛省ではNISTを加味した情報セキュリティ特約が改訂されました。防衛省と取引がある企業は対応しなくてはなりません。しかし当事者からは「アメリカは軍需産業で成り立っているから投資に見合うが、日本で防衛部門がある企業は少なく、売上もわずかしかない(から、そこに多額の投資はできない)」とのご意見をたまに聞きます。これに関しては我が国の防衛産業の根本的な構造が持つジレンマでもありますが、根本的な考え方として、もともとセキュリティへの適切な投資量というのは、現在日本企業が思い描いているものよりも数段高いものだと再認識する必要があります。

 --今後さらにアメリカの法制度は発展していくでしょうか。

 今後は州ごとの法律も出てくるでしょう。現在、カリフォルニア州でプライバシー保護法が定められ、1人あたりの個人情報を一件当たり最大で750ドル、さらに法定損害金として一件につき最大で7500ドル、仮に1万人分の個人情報を流出させ、集団訴訟に持ち込まれ、過失責任が認められれば、80億ドル以上のキャッシュが失われます。ニューヨーク州やオハイオ州も続いています。

 ヨーロッパの歴史を見ると、かつてEU内で各加盟国が独自にプライバシー保護に関する法律や制度を定めていました。次第に乱立して非効率になり、結果的には統合してNIS DirectiveによりGDPRに集約されました。アメリカでも連邦政府が各州のプライバシー保護法を統合したり、NISTに上乗せするような形で定まるかもしれません。すでにNISTでは政府機関向けのSP800-53をベースとしたPrivacy Frameworkが策定中です。

 --サイバーセキュリティは、今後「経営ごと」に近づいていくと感じております。日本の経営者はどういう心構えを持つといいでしょうか。

 数年前の経団連での企画記事では「正しく怖がってください」とお伝えしました。過度に怖れる必要はないですが、過信もよくありません。

 セキュリティで人材不足を訴える経営者は多いのですが、どの部門にどのような能力を持った人が、どれだけ足りないのかを正確に把握することが大事です。今やサイバーセキュリティは情報システム部だけが対応すべきものではありません。経営戦略にも関わりますので、法務や経営企画にもサイバーが分かる人を置く必要があります。ここが大きなマインドチェンジになります。

 企業はNISTに対応するためには、自社システムのどこをどう変更すべきか、サプライチェーンはどうすべきかを考えていく必要があります。それが「正しく怖がる」につながります。



関連リンク

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

  • 丸毛透(マルモトオル)

    インタビュー(人物)、ポートレート、商品撮影、料理写真をWeb雑誌中心に活動。  

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5