SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2024 春の陣レポート

防衛省が語る「防衛産業サイバーセキュリティ基準」4つのポイント 企業が“保護すべき情報”を守るには

旧基準から新しく追加された「検知、対応、復旧」の対応を解説

 防衛省では、サイバー攻撃の深刻化に対応するため、より一層のセキュリティ対策を防衛関連企業向けに規定した「防衛産業サイバーセキュリティ基準」を整備した。同基準は、企業活動においてネットワーク利用が必須となる今のデジタル社会に対応し、米国の取り組みを参考に同水準の対策を盛り込んでいる。2023年3月13日に開催されたEnterpriseZine編集部主催のカンファレンス「Security Online Day 2024 春の陣」に登壇した防衛装備庁の竹口誠士氏は、同基準の概要や変更点など理解すべきポイントを解説した。

これまでの「防衛産業サイバーセキュリティ基準」の歩み

 防衛省は、情報漏えい防止に向け、2004年から調達などを依頼する防衛関連企業に情報セキュリティ対策の実施を求める「調達における情報セキュリティ基準」を整備した。同基準は2004年4月から情報システム分野で契約の特約条項の一部として締結が始まり、その後、航空機分野や誘導武器分野など適用の対象範囲を広げ、2010年4月には対象範囲はすべての装備品等および役務に至った。

 その後、サイバー攻撃は2020年ごろから急激に増加している。国内のサイバー攻撃件数は、2020年から2023年の間に75%も増加。2017年1月から2022年6月までの約5年半の統計では、サイバー攻撃の被害件数率が最も多い業種は製造業で、その数値は21%となった。防衛関連企業は製造業が多く、近年では攻撃手法も巧妙なため、防衛関連企業の情報漏えいや流出リスクが増大している状況といえる。

 竹口氏は、「これらのサイバー攻撃は今後も増加すると予想されます。そのため攻撃を防ぐ対策とともに、攻撃を受けた後の対策の重要性も高まっているのです」と近年の状況を説明した。

防衛装備庁 装備政策部 装備保全管理課 産業サイバーセキュリティ室 室長補佐 竹口誠士氏

 サイバー攻撃の増加に対応するため、防衛省は2022年3月に従来の「調達における情報セキュリティ基準」(旧基準)に新たな要件を加え、「防衛産業サイバーセキュリティ基準」(現基準)として整備。これを2023年4月以降の契約から適用開始した。この現基準は、米国国防省が国防産業に対して義務付けているセキュリティのガイドライン「NIST SP800-171」を参考にし、同水準の管理策を採用しているという。

新基準で強化されたのは「検知、対応、復旧」

 竹口氏は、防衛産業サイバーセキュリティ基準の主な変更点について「情報システムへの攻撃に対する防御策に加え、サイバー攻撃の早期発見と対処のための措置の強化、加えてサイバーセキュリティ対策だけでなく、物理的セキュリティや組織的セキュリティ対策も網羅的に規定された点」を挙げ、「保護すべき情報を取り扱う下請け企業も対象になっています」と述べた。

 新しい基準の項目数を見ると、旧基準の13から26と大幅に増加している。別紙の情報セキュリティ基準部分では、検知、対応、復旧の機能が拡充され、リスク査定が新たな要件として追加。付紙にあたるシステムセキュリティ実施要領は、新たにシステムセキュリティ実装計画書、構成管理、システムセキュリティ・メンテナンスが追加されている。こうした項目増加の背景には、旧基準が十数年前に制定され、当時は紙やスタンドアローンのパソコンでの運用が主流で、外部ネットワークに接続しない運用が一般的だったことが挙げられる。今や外部ネットワークに接続しない運用は現実的とはいえない。そこで現基準では、外部ネットワークへの接続が可能な管理策が策定されたのだ。

次のページ
現基準を理解する4つのポイント

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2024 春の陣レポート連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務やWebシステム開発事業を展開する会社・アンジーを創業。編集プロダクション業務においては、IT・HR関連の事例取材に加え、英語での海外スタートアップ取材などを手がける。独自開発のAI文字起こし・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19524 2024/05/10 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング