SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

政府の統一基準と「NIST SP800-171」を巡る報道、EY西尾素己氏が提言

 7月10日、EY Japanは日本政府が「NIST SP800-171」に沿ったサイバーセキュリエティ対策を義務付けるとの報道を受け、EYストラテジー・アンド・コンサルティング Strategic Impact Unit パートナー 西尾素己氏が解説と提言を行った。

 2023年6月22日に日経新聞では、「政府、サイバー対策で米基準義務付け 委託先1000社超に」との見出しで報道がなされている。政府統一基準は、サイバーセキュリティ基本法に基づいた政府機関等が満たすべき最低限のセキュリティ基準であり、ここが『NIST SP800-171』を反映したものになるとする一方で、「すべての民間企業に適用するのではなく、政府機関と取り引きがあったり特定情報にアクセスする業務を担っていたりなど、何かしらの基準に基づいた形で適用されていくだろう。一方で、取引先企業と官公庁などでは求められる基準が異なるため、両方ともに『NIST SP800-171』に沿ったものになるのか揺れているのではないか」と解説する。

 では、なぜ日本政府が「NIST SP800-171」に沿った形での統一基準に踏み切ろうとしているのか、西尾氏は「EO(Executive Order) 13556(2010年)」「EO 14028(2021年)」の2つが大きく影響を与えていると説明。今回の日本政府における動きと連動している部分も見受けられるという。EO 13556は、民間サプライチェーンにおけるセキュリティ水準の底上げが目的とされているとして、「9.11(アメリカ同時多発テロ事件)がきっかけと説明されることも多いが、F-35戦闘機の設計情報が2009年に中国へ漏えいしたことが大きな引き金となっている。国外の民間企業へのサイバー攻撃が原因となっており『Controlled Unclassified Information:CUI』と命名して、『NIST SP800-171』を最低水準とすることが定められた」と話す。

 また、EO 14028については、ソフトウェアサプライチェーン攻撃対策と言えるとして、2020年にロシアのAPT29がSolarWinds社のソフトウェアにバックドアを混入させたインシデント、2021年にDarkSideがコロニアルパイプライン社のサイバー攻撃を仕掛けて身代金を支払う事態になったことを挙げると「これら2つはソフトウェアサプライチェーンに起因する大きな事件であり、米国政府はSBOM導入やゼロトラストアーキテクチャの導入などを義務付けた。今回の日本政府の統一基準に関しても、これら2つのExecutive Orderが大きな影響を与えているだろう」と述べた。

 実際に米国では、EO 13556を皮切りにCUI保護政策が展開されており、各省庁がCUIを定義し、2015年にはそれらの保護基準を「NIST SP800-171」と定めると2017年から入札要件化が進んでいる。EO 13556発出から約5年で「NIST SP800-171」が整備されたことを振り返り、「米政府が5年かけて策定した際には、業界団体から批判もあったが緩和を認めておらず、法曹界の支持も得ている。『連邦調達規則(FAR)52.204-21』で定められると、『国防調達規則(DFARS)252.204-7012/21』『32連邦規則(CFR)2002.14』で適用され、2020年からは全産業対応が必須になるなど足かけ10年を要している」と西尾氏は説明する。

 さらに、「ここで重要なことは、CUIを保護するために『NIST SP800-171』が定められたこと」だとすると、CUIレジストリには20カテゴリが存在し、サブカテゴリを含めると多岐にわたって定義されていると紹介。「定義の粒度は粗いが、CUIという箱をつくることで国家安全保障に関する情報を『NIST SP800-171』に沿って保護するという考え方だ」と話す。

 加えて、日本企業においても2017年ごろから、DoD(Department of Defense:アメリカ国防総省)と直接取引をしていない再々委託のような場合でも「NIST SP800-171」への対応は迫られていたと紹介。日本政府も2018年からCUI保護政策に則った情報保護規定を制定しており、防衛装備庁では「防衛産業サイバーセキュリティ基準」を整備して新基準として2023年からの運用開始を予定している。西尾氏は、「日本政府における動きは米国政府と同様であり、『EO 13556』だけでなく『EO 14028』についても意識せざるを得ないはずだ。おそらく、政府統一基準の中でもソフトウェアサプライチェーンに関する何らかのアプローチが取られているのではないか」と指摘。今回の報道を受けて、どのシステムを「NIST SP800-171」に対応させるかなど、政府による情報指定が明確でないとした。

 「日本政府は情報指定を長らくしてこなかったため、『NIST SP800-171』に則するCUIと対になるような指標を明確にすべき。ソフトウェアサプライチェーンに目を向けず、『EO 14028』を巡る一連の動きを考慮しないのであれば、10年遅れでの対応となってしまう」と西尾氏。「昨今、多くの攻撃が観測されており、『ISMAP』も制定されているが本当に安全性を担保できているのか見直しの時期にきている。本来であれば『NIST SP800-171』を満たすような基準であるためISMAP対応のクラウド利用だけでも十分なはずが、昨今続く不祥事を鑑みると踏み切れない政府の事情も透けて見える」と締めくくった。

【関連記事】
EY Japan、損害車リユース事業者の環境価値定量化を支援 新車と再生車のCO2差も見える化
EY Japan、TCFDで要求される気候変動リスクの財務インパクトの分析ツールを開発
グローバル環境では過半数の企業がデータ&アナリティクスを最優先の投資対象に EYが調査結果を発表

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
この記事の著者

岡本 拓也(編集部)(オカモト タクヤ)

1993年福岡県生まれ。京都外国語大学イタリア語学科卒業。ニュースサイトの編集、システム開発、ライターなどを経験し、2020年株式会社翔泳社に入社。ITリーダー向け専門メディア『EnterpriseZine』の編集・企画・運営に携わる。2023年4月、EnterpriseZine編集長就任。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/18053 2023/07/10 18:06

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング