SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2022レポート(AD)

CISOと外部コンサルの“二刀流”、内海氏がNIST「171ガイドライン」から必要な対策を読み解く

厳格化が進むサプライチェーンセキュリティ

サプライチェーンセキュリティの必要性

 サプライチェーン攻撃に関するニュースが増えている。IPAが毎年発表している10大脅威の中でも、ここ数年、サプライチェーン攻撃は常に上位に位置するという。多発するサプライチェーン攻撃にどう対処すればいいのか。

 さらに、昨今の世界情勢が対応を急がせる要因になっている。キーワードは「経済安全保障」。2022年5月に成立した経済安全保障推進法は、「1. 供給網の強化」「2. インフラの安全確保」「3. 先端技術の官民協力」「4. 特許の非公開」の4つの柱で基本政策を立案し、2年以内の施行を目指す方向性が決定している。

 まず、1番の「供給網」とはサプライチェーンのことである。その途絶の発生で、国民生活や経済活動に甚大な影響を及ぼす恐れのある物資を「特定重要物資」として指定し、その安定供給のための財政支援を行う方向である。2番については、14業種を対象に安全保障上の脅威になりうる外国製品が入らないような仕組みづくりを目指す。3番は、AIや量子テクノロジーのように、軍事転用の可能性のあるものの保護を強化する。4番は安全保障と関連する特許情報については海外に漏洩しないようにするなどだ。

画像を説明するテキストなくても可
クリックすると拡大します

 内海氏によると、国内サイバーセキュリティ戦略でも、経済安全保障の観点を強く意識する傾向が顕著だという。内閣サイバーセキュリティセンター(NISC)のサイバーセキュリティ戦略をよく読むと、「サプライチェーン」という言葉が頻出する。セキュリティリーダーには、自組織を守るだけでなく、取引先を含めたサプライチェーン全体を守るという考え方への転換が求められるようになってきた

 また、防衛省が2022年4月に発表した新しい調達基準は、現行のものよりも厳格なものになった。2023年度から適用開始となるこの新基準では、米国防省の調達基準と同じ「NIST SP800-171」への準拠が求められることになった。米国政府が採用するクラウドのセキュリティ認証制度「FedRAMP」が、日本で「ISMAP」として制度化されたように、今後の日本政府の調達基準も“日本版NIST SP800-171”として制度化される可能性は高い。経済安全保障の文脈で、大企業のセキュリティリーダーには、サプライチェーン全体で制度に即した対策ができるかが問われている。

画像を説明するテキストなくても可
クリックすると拡大します

 もう1つ、米国政府の動向で重要なのが、連邦政府が利用するソフトウェアベンダーへのSBOM開示を義務付ける大統領令が2021年5月に発令されたことだ。日本政府への影響波及を見越して、SBOM開示への対応の準備を進める必要も出てきそうだ。

次のページ
NIST SP800-171を読み解いてわかったポイント

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2022レポート連載記事一覧

もっと読む

この記事の著者

冨永 裕子(トミナガ ユウコ)

 IT調査会社(ITR、IDC Japan)で、エンタープライズIT分野におけるソフトウエアの調査プロジェクトを担当する。その傍らITコンサルタントとして、ユーザー企業を対象としたITマネジメント領域を中心としたコンサルティングプロジェクトを経験。現在はフリーランスのITアナリスト兼ITコンサルタン...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16685 2022/10/24 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング