「SP800-171」は「SP800-53」とセットで理解すべき
防衛装備庁は2023年度より、取引先の民間企業に対して新たに「防衛産業サイバーセキュリティ基準」への対応を求めるようになった。このセキュリティ基準は、米国防総省が2017年から取引先企業に対して適用している「SP800-171」とほぼ同じ内容のものだが、米国政府ではさらにもう一歩踏み込み、2020年から国防総省だけでなく全省庁に対してSP800-171を取引先の民間企業に対して適用するよう要求している。
これに追随する形で、日本政府もいわゆる「政府統一基準」にSP800-171の内容を取り込もうとしている。こうした動向を受けて、これまで「SP800-171対応は防衛産業に限った話だ」「うちには関係ない」と思っていた企業も、急遽SP800-171について調査に乗り出すようになった。
西尾氏も講演の冒頭で、「SP800-171やその源流であるSP800-53は、決して政府のレギュレーションとしてだけではなく、今やあらゆる産業で求められるセキュリティ対策のボトムラインとして対応が求められるようになりつつあります。つまり単なる規制対応ではなく、『サイバーセキュリティの実質』として捉えることが重要です」と力説する。
ストラテジック インパクト Geoeconomics strategy パートナー 西尾素己氏
ではSP800-171とは、そもそも一体何か。これは米商務省傘下の標準化機関「NIST(国立標準技術研究所)」が定めたセキュリティ標準規格で、よく引き合いに出されるNISTの「セキュリティフレームワーク」の概念を具現化するために組織が満たすべき技術・非技術要件をまとめた「SP-800」シリーズの一部を構成している。
SP-800自体は元々米国政府機関向けに作られたもので、セキュリティ分野ごとにそれぞれ詳細な基準を定めた約200の文書から構成される。ただしこれらの内容をすべて網羅するとなると負担が大きすぎるため、この中から特に重要なものを抽出して「カタログ」としてまとめたものが「SP800-53」だ。
さらにこの内容を政府機関だけでなく民間に対しても適用するにあたり、「53に絞った内容でも、民間にとってはなお負担が大きすぎる」との判断から、SP800-171が新たに作られた。こうした一連の経緯を振り返れば、SP800-171がSP800-53のサブセットであることが分かる。しかし日本ではこの点が誤解されがちだと西尾氏は指摘する。
「SP800-171へ対応するということは、同時にこれと紐付くSP800-53への対応も意味します。したがって、SP800-171だけを単体で捉えても意味がありません。この点について日本では正しく認識していない方が多いため、特に強調しておきたいポイントです」(西尾氏)
またSP800-171が防衛産業だけではなくあらゆる業界の企業にとって重要である理由の1つに、今後日本において政府統一基準として採用されることで、いわゆる「善管注意義務」の基準ラインとして採用される可能性が高いという点が挙げられる。つまり、たとえインシデントを引き起こしたとしても、SP800-171に準拠していれば「不測の事態」と見なされる一方、もし準拠を怠っていれば「善管注意義務違反」として過失責任が問われることになるのだ。
