防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」　企業が倣う際に着目すべき要点

「NIST SP800-171」が注目される3つの要因

　NIST（米国国立標準技術研究所）が発行するセキュリティガイドラインの1つ、「NIST SP800-171」がサプライチェーンのセキュリティでも注目されている。背景には大きく3つの要因があるという。

　第一に、サプライチェーンへの攻撃が増加していること、攻撃内容が多様化していることがある。ニュートン・コンサルティング 執行役員 兼 CISO プリンシパルコンサルタントの内海良氏は、最近の攻撃パターンとして「物理被害サプライチェーン攻撃」「ソフトウェアサプライチェーン攻撃」「アイランドホップ攻撃（クラウド・MSP）」「アイランドホップ攻撃（その他）」の4つを挙げた。

　第二が、経済安全保障推進の機運が高まっていることだ。これまでは国土防衛の観点から語られることが多かった安全保障の考え方が、経済分野にまで拡がっている。特に、最近の米中関係の緊張は高まるばかりだ。経済のグローバル化の恩恵を受けられた時代は過去のものとなり、今後は友好国同士が構成する経済圏内での活動を前提に、サプライチェーンネットワークを見直さざるを得ない。

　第三に、調達基準が強化された要因も大きい。まず、2022年4月に防衛装備庁が発表した「防衛産業サイバーセキュリティ基準」が2023年5月から適用開始になった。この調達基準は、SP800-171を参考に内容の見直しがあり、旧基準にはなかった「検知」「対応」「復旧」の項目追加で、新基準はより厳格なものになった。もう一つ、内閣サイバーセキュリティセンター（NISC）が定めた「政府機関等のサイバーセキュリティ対策のための統一基準群（以降、政府統一基準）」整備の背景にも、サプライチェーンへのサイバー攻撃リスクの増大が関係している。この政府統一基準では、NISTのサプライチェーンリスク管理要件を参考にした、情報セキュリティ対策を委託先との契約に含めるとともに、委託期間を通じた実行を求めている。「SP800-171とサプライチェーンへのサイバーセキュリティ対策は密接に関わっている」と内海氏は評した。

　日本の各種ガイドライン策定のプロセスが、米国政府の動向に追随するとするならば、「今後はSP800-171が日本で認証制度化される可能性がある」と内海氏は予測する。その前例になるのが、米FedRAMP（Federal Risk and Authorization Management Program）制度を基に、制度化されたISMAP（Information system Security Management and Assessment Program）である。米国ではクラウドサービス事業者はFedRAMP認証を取得していなければ、政府および関連事業者との取引はできない。同様に、政府との取引を視野に入れ、日本のクラウド事業者がISMAP認証制度を取得する傾向も顕著になってきた。SP800-171を参照しているCMMC（Cybersecurity Maturity Model Certification）認定制度の日本版を検討する動きも出てきた。今後の対策強化に向けては、早めにガイドラインの内容を理解しておきたいところだ。