SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Day 2024 春の陣レポート(AD)

防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点

2024年春公開の最新バージョン「Rev 3.0」の追加要件も解説

 国際情勢が大きく変化する中、サイバーセキュリティ対策に高度な要件が課せられるようになってきた。2024年3月13日の「Security Online Day 2024 春の陣」では、「サプライチェーンセキュリティ」がテーマになった。本稿では、同イベントにおける「サイバーセキュリティはNIST SP800-171を中心に回り始めた~最新バージョンから読み解くサプライチェーンセキュリティの最適解~」の内容を解説する。

「NIST SP800-171」が注目される3つの要因

 NIST(米国国立標準技術研究所)が発行するセキュリティガイドラインの1つ、「NIST SP800-171」がサプライチェーンのセキュリティでも注目されている。背景には大きく3つの要因があるという。

 第一に、サプライチェーンへの攻撃が増加していること、攻撃内容が多様化していることがある。ニュートン・コンサルティング 執行役員 兼 CISO プリンシパルコンサルタントの内海良氏は、最近の攻撃パターンとして「物理被害サプライチェーン攻撃」「ソフトウェアサプライチェーン攻撃」「アイランドホップ攻撃(クラウド・MSP)」「アイランドホップ攻撃(その他)」の4つを挙げた。

クリックすると拡大します

 第二が、経済安全保障推進の機運が高まっていることだ。これまでは国土防衛の観点から語られることが多かった安全保障の考え方が、経済分野にまで拡がっている。特に、最近の米中関係の緊張は高まるばかりだ。経済のグローバル化の恩恵を受けられた時代は過去のものとなり、今後は友好国同士が構成する経済圏内での活動を前提に、サプライチェーンネットワークを見直さざるを得ない。

クリックすると拡大します

 第三に、調達基準が強化された要因も大きい。まず、2022年4月に防衛装備庁が発表した「防衛産業サイバーセキュリティ基準」が2023年5月から適用開始になった。この調達基準は、SP800-171を参考に内容の見直しがあり、旧基準にはなかった「検知」「対応」「復旧」の項目追加で、新基準はより厳格なものになった。もう一つ、内閣サイバーセキュリティセンター(NISC)が定めた「政府機関等のサイバーセキュリティ対策のための統一基準群(以降、政府統一基準)」整備の背景にも、サプライチェーンへのサイバー攻撃リスクの増大が関係している。この政府統一基準では、NISTのサプライチェーンリスク管理要件を参考にした、情報セキュリティ対策を委託先との契約に含めるとともに、委託期間を通じた実行を求めている。「SP800-171とサプライチェーンへのサイバーセキュリティ対策は密接に関わっている」と内海氏は評した。

 日本の各種ガイドライン策定のプロセスが、米国政府の動向に追随するとするならば、「今後はSP800-171が日本で認証制度化される可能性がある」と内海氏は予測する。その前例になるのが、米FedRAMP(Federal Risk and Authorization Management Program)制度を基に、制度化されたISMAP(Information system Security Management and Assessment Program)である。米国ではクラウドサービス事業者はFedRAMP認証を取得していなければ、政府および関連事業者との取引はできない。同様に、政府との取引を視野に入れ、日本のクラウド事業者がISMAP認証制度を取得する傾向も顕著になってきた。SP800-171を参照しているCMMC(Cybersecurity Maturity Model Certification)認定制度の日本版を検討する動きも出てきた。今後の対策強化に向けては、早めにガイドラインの内容を理解しておきたいところだ。

クリックすると拡大します

次のページ
CSFとの大きな違いは?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2024 春の陣レポート連載記事一覧

もっと読む

この記事の著者

冨永 裕子(トミナガ ユウコ)

 IT調査会社(ITR、IDC Japan)で、エンタープライズIT分野におけるソフトウエアの調査プロジェクトを担当する。その傍らITコンサルタントとして、ユーザー企業を対象としたITマネジメント領域を中心としたコンサルティングプロジェクトを経験。現在はフリーランスのITアナリスト兼ITコンサルタン...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:ニュートン・コンサルティング株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19452 2024/04/17 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング