SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2024 春の陣レポート

「SP800-171対応は防衛産業だけの課題ではない」 EY西尾氏が説く最新動向と今すぐできる対策

SP800-171を正しく理解するカギは「CUI」にあり

 2024年3月13日、EnterpriseZine編集部主催のセキュリティカンファレンス「Security Online Day 2024 春の陣」が開催された。同カンファレンスの最後を締めくくるクロージングセッションには、EYストラテジー・アンド・コンサルティング ストラテジック インパクト Geoeconomics strategy パートナーの西尾素己氏が登壇し、「今さら聞けない日本版CUI保護政策 影響と今すぐできる対応策」と題した講演で、セキュリティ基準として注目される「SP800-171」の動向と、日本においても導入が進む「CUI保護政策」について解説した。

「SP800-171」は「SP800-53」とセットで理解すべき

 防衛装備庁は2023年度より、取引先の民間企業に対して新たに「防衛産業サイバーセキュリティ基準」への対応を求めるようになった。このセキュリティ基準は、米国防総省が2017年から取引先企業に対して適用している「SP800-171」とほぼ同じ内容のものだが、米国政府ではさらにもう一歩踏み込み、2020年から国防総省だけでなく全省庁に対してSP800-171を取引先の民間企業に対して適用するよう要求している。

 これに追随する形で、日本政府もいわゆる「政府統一基準」にSP800-171の内容を取り込もうとしている。こうした動向を受けて、これまで「SP800-171対応は防衛産業に限った話だ」「うちには関係ない」と思っていた企業も、急遽SP800-171について調査に乗り出すようになった。

 西尾氏も講演の冒頭で、「SP800-171やその源流であるSP800-53は、決して政府のレギュレーションとしてだけではなく、今やあらゆる産業で求められるセキュリティ対策のボトムラインとして対応が求められるようになりつつあります。つまり単なる規制対応ではなく、『サイバーセキュリティの実質』として捉えることが重要です」と力説する。

EYストラテジー・アンド・コンサルティング
ストラテジック インパクト Geoeconomics strategy パートナー 西尾素己氏

 ではSP800-171とは、そもそも一体何か。これは米商務省傘下の標準化機関「NIST(国立標準技術研究所)」が定めたセキュリティ標準規格で、よく引き合いに出されるNISTの「セキュリティフレームワーク」の概念を具現化するために組織が満たすべき技術・非技術要件をまとめた「SP-800」シリーズの一部を構成している。

 SP-800自体は元々米国政府機関向けに作られたもので、セキュリティ分野ごとにそれぞれ詳細な基準を定めた約200の文書から構成される。ただしこれらの内容をすべて網羅するとなると負担が大きすぎるため、この中から特に重要なものを抽出して「カタログ」としてまとめたものが「SP800-53」だ。

 さらにこの内容を政府機関だけでなく民間に対しても適用するにあたり、「53に絞った内容でも、民間にとってはなお負担が大きすぎる」との判断から、SP800-171が新たに作られた。こうした一連の経緯を振り返れば、SP800-171がSP800-53のサブセットであることが分かる。しかし日本ではこの点が誤解されがちだと西尾氏は指摘する。

 「SP800-171へ対応するということは、同時にこれと紐付くSP800-53への対応も意味します。したがって、SP800-171だけを単体で捉えても意味がありません。この点について日本では正しく認識していない方が多いため、特に強調しておきたいポイントです」(西尾氏)

 またSP800-171が防衛産業だけではなくあらゆる業界の企業にとって重要である理由の1つに、今後日本において政府統一基準として採用されることで、いわゆる「善管注意義務」の基準ラインとして採用される可能性が高いという点が挙げられる。つまり、たとえインシデントを引き起こしたとしても、SP800-171に準拠していれば「不測の事態」と見なされる一方、もし準拠を怠っていれば「善管注意義務違反」として過失責任が問われることになるのだ。

次のページ
日本の全省庁でSP800-171を導入する動きが進展中

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2024 春の陣レポート連載記事一覧

もっと読む

この記事の著者

吉村 哲樹(ヨシムラ テツキ)

早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19513 2024/04/23 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング