“現実的”なNIST SP800-171準拠法とは　経産省の5段階格付け制度にも関わる最新動向を解説

経産省による“5段階格付け制度”にも影響？「NIST SP800-171」の動向

──内海さんは、CISOを務めながらコンサルティング事業も統括されるお立場ですね。「NIST SP800-171」に関する書籍も刊行されていますが、関心の高まりを感じられていますか。

　セキュリティのコンサルティングをしていると、最近は特に経済安全保障の流れもあり、「防衛産業サイバーセキュリティ基準へ準拠したい」「CMMC（Cybersecurity Maturity Model Certification）の認証を取得したい」といった相談が多く寄せられます。CMMCは、米国の国防総省が開発したサイバーセキュリティ成熟度モデル認証制度。防衛産業サイバーセキュリティ基準とCMMC双方のベースとなるものが、NISTが発行したセキュリティガイドライン「NIST SP800-171」です。お客様からこうした相談が寄せられる背景には、取引先が調達要件として定めていたり、感度の高い経営者が準拠を指示していたりするようなケースがあります。

　外部でセキュリティに関する講演やセミナーを行う機会もあるのですが、やはり昨今注目の集まるサプライチェーンセキュリティをテーマとしてお話しすることが多いです。サプライチェーンの話をすると必然的に171にたどり着くので、関連書籍『サイバーセキュリティの新標準 NIST SP800-171』（翔泳社）を出すなどの活動も行っています。

──サプライチェーンセキュリティへの関心は、経営陣においても高まっているのですね。では、現況をどのように見られていますか。

　日本は米国の制度に追随することが多いですよね。たとえば、クラウドサービスの認証制度「FedRAMP（Federal Risk and Authorization Management Program）」に対して、その日本版となるのが「ISMAP（Information system Security Management and Assessment Program）」。同様にCMMCや171に関して、日本で防衛装備庁が171を参考に2023年5月から適用を開始したものが「防衛産業サイバーセキュリティ基準」です。適用開始から1年が過ぎ、問い合わせなども本格化している感触を得ています。

　近年、サプライチェーン攻撃はIPA（情報処理推進機構）が発表する「情報セキュリティ10大脅威」でも上位に取りあげられているように、とても重大な課題です。一方で、サプライチェーンと一口に言っても攻撃対象や手法はかなり幅広い。メーカーの子会社がサイバー攻撃を受けて生産ラインが停止した場合でも、ソフトウェア更新を通じてマルウェアが拡散された場合でも「サプライチェーン攻撃だ」と言われてしまいます。

　日本に限らず、世界中でサプライチェーン攻撃対策のガイドラインが出されていますが、それらに共通している基本的な趣旨は「（サプライチェーン）全体でセキュリティを強化しよう」ということ。1社だけセキュリティを強化しても、サプライチェーンに弱いところがあればそこから侵入されて、影響が広範囲にわたってしまう。全体で目線を合わせるために出てきたのが171であり、日本政府も171をベースに基準を作っている状況があります。

　このような動きがある中で、経済産業省が企業のサイバー攻撃への対応力を格付けする制度を2025年度に開始する方針を出しました。この制度もCMMCとかなり似ている部分があるため、きっと参考にしていると思います。

──この格付け制度にはどのような意義があるのでしょうか。

　この格付けで一定のレベルを得ることが政府調達の要件になることが検討されているため、サプライチェーン全体でのセキュリティ強化につながると考えられます。今後は、官公庁の入札において「このセキュリティレベル以上でないと取引しません。入札に参加できません」といった基準ができることになるでしょう。