SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

EnterpriseZine Press(AD)

“現実的”なNIST SP800-171準拠法とは 経産省の5段階格付け制度にも関わる最新動向を解説

グローバル規模の企業が抱えるコストの問題……解決への道はあるのか

 サプライチェーンを狙ったサイバー攻撃が激化する中、日本政府もこの状況を打開すべく様々な対策を打ち始めている。特に、防衛装備庁が防衛産業企業に対して「防衛産業サイバーセキュリティ基準」を策定・改訂するなど、国としてのルール整備に向けた動きが見え始めた。こうした中で注目されているのが、米国国立標準技術研究所(NIST)が発行したセキュリティガイドライン「NIST SP800-171(以降、特記以外は「171」)」だ。今、日本政府が何をしようとしているのか、企業はそれにどう備えるべきなのか。セキュリティに関するコンサルティング事業を展開するニュートン・コンサルティングでCISOを務める内海良氏に話を聞いた。

経産省による“5段階格付け制度”にも影響?「NIST SP800-171」の動向

──内海さんは、CISOを務めながらコンサルティング事業も統括されるお立場ですね。「NIST SP800-171」に関する書籍も刊行されていますが、関心の高まりを感じられていますか。

 セキュリティのコンサルティングをしていると、最近は特に経済安全保障の流れもあり、「防衛産業サイバーセキュリティ基準へ準拠したい」「CMMC(Cybersecurity Maturity Model Certification)の認証を取得したい」といった相談が多く寄せられます。CMMCは、米国の国防総省が開発したサイバーセキュリティ成熟度モデル認証制度。防衛産業サイバーセキュリティ基準とCMMC双方のベースとなるものが、NISTが発行したセキュリティガイドライン「NIST SP800-171」です。お客様からこうした相談が寄せられる背景には、取引先が調達要件として定めていたり、感度の高い経営者が準拠を指示していたりするようなケースがあります。

 外部でセキュリティに関する講演やセミナーを行う機会もあるのですが、やはり昨今注目の集まるサプライチェーンセキュリティをテーマとしてお話しすることが多いです。サプライチェーンの話をすると必然的に171にたどり着くので、関連書籍『サイバーセキュリティの新標準 NIST SP800-171』(翔泳社)を出すなどの活動も行っています。

ニュートン・コンサルティング株式会社 執行役員 兼 CISO/プリンシパルコンサルタント 内海良氏

──サプライチェーンセキュリティへの関心は、経営陣においても高まっているのですね。では、現況をどのように見られていますか。

 日本は米国の制度に追随することが多いですよね。たとえば、クラウドサービスの認証制度「FedRAMP(Federal Risk and Authorization Management Program)」に対して、その日本版となるのが「ISMAP(Information system Security Management and Assessment Program)」。同様にCMMCや171に関して、日本で防衛装備庁が171を参考に2023年5月から適用を開始したものが「防衛産業サイバーセキュリティ基準」です。適用開始から1年が過ぎ、問い合わせなども本格化している感触を得ています。

 近年、サプライチェーン攻撃はIPA(情報処理推進機構)が発表する「情報セキュリティ10大脅威」でも上位に取りあげられているように、とても重大な課題です。一方で、サプライチェーンと一口に言っても攻撃対象や手法はかなり幅広い。メーカーの子会社がサイバー攻撃を受けて生産ラインが停止した場合でも、ソフトウェア更新を通じてマルウェアが拡散された場合でも「サプライチェーン攻撃だ」と言われてしまいます。

 日本に限らず、世界中でサプライチェーン攻撃対策のガイドラインが出されていますが、それらに共通している基本的な趣旨は「(サプライチェーン)全体でセキュリティを強化しよう」ということ。1社だけセキュリティを強化しても、サプライチェーンに弱いところがあればそこから侵入されて、影響が広範囲にわたってしまう。全体で目線を合わせるために出てきたのが171であり、日本政府も171をベースに基準を作っている状況があります。

 このような動きがある中で、経済産業省が企業のサイバー攻撃への対応力を格付けする制度を2025年度に開始する方針を出しました。この制度もCMMCとかなり似ている部分があるため、きっと参考にしていると思います。

──この格付け制度にはどのような意義があるのでしょうか。

 この格付けで一定のレベルを得ることが政府調達の要件になることが検討されているため、サプライチェーン全体でのセキュリティ強化につながると考えられます。今後は、官公庁の入札において「このセキュリティレベル以上でないと取引しません。入札に参加できません」といった基準ができることになるでしょう。

次のページ
がちがちのセキュリティには限界も、優先順位を踏まえた“現実的”な対策

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:ニュートン・コンサルティング株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20373 2024/10/11 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング