Q:日本企業に対して、今後サイバーセキュリティ対策の指針になる指標はありますか?

K:アメリカ国立標準技術研究所(NIST)が定めた企業のサイバーセキュリティ対策基準「NIST SP800-171」は、今後世界中のあらゆる企業が参考にできると考えています。

■「NIST SP800-171」日本語訳版(出典:独立行政法人 情報処理推進機構)
https://www.ipa.go.jp/files/000057365.pdf

この基準は、もともと米国政府に関連する「機密情報以外の重要情報(CUI)」を取り扱う企業・組織に求めるサイバーセキュリティ対策の基準として2015年6月に発表されました。これを受けて米国防総省では、同省と取引する企業に対して、この「NIST SP800-171」の基準を遵守することを実質的要件としており、その業界に属する世界中の企業が適用に動いています。

Q:具体的にはその基準はどのような内容になるのでしょうか?

K:この基準の第3章は14のカテゴリーで構成され、全110個の要件が細かく提示されています。この全ての要件を満たすことで初めて、CUIの対象となる情報を保護できていることが認められるのです。
ーーーーー
・1 アクセス制御 22項目
・2 意識向上と訓練 3項目
・3 監査と責任追跡性 (説明責任) 9項目
・4 構成管理 9項目
・5 識別と認証 11項目
・6 インシデント対応 3項目
・7 メンテナンス 6項目
・8 メディア保護 9項目
・9 人的セキュリティ 2項目
・10 物理的保護 6項目
・11 リスクアセスメント 3項目
・12 セキュリティアセスメント 4項目
・13 システムと通信の保護 16項目
・14 システムと情報の完全性 7項目
ーーーーー
企業が一つひとつの項目で基準を満たしていくことは大変な労力がかかりますが、これを適用することで企業は大きくサイバーセキュリティの防御力を強化できます。

Q:この規格が今後、企業のサイバーセキュリティ対策の世界標準になるでしょうか?

K:この基準により、企業は情報を守るために自社が何をすべきかということを非常に明確にすることができます。実際にこれが企業に適用されれば、企業のサイバーセキュリティはかなり強化されるのではと思います。

世界標準になるかどうか、もちろんその確証はありません。でも例えば米国で、政府から官公庁を通じて企業に対し一定のサイバーセキュリティを要件化することで実質的な業界標準になりつつあるように、政府主導のモデルが今後各国に広まれば、世界標準になり得ると思います。

Q:最後に日本企業の皆さんにアドバイスをいただけますか?

K:サイバーセキュリティは、個別企業の対応では完結せず、取引のあるサプライチェーンすべてが対応することを求められます。サプライチェーンに属する企業の一つでもセキュリティが不十分であれば、そこからすべてのサプライチェーン企業に脅威をもたらしてしまいます。この点では、世界中のどの国の企業であっても、一定レベル以上の基準を満たしていく必要があるのです。

米国のように政府が企業に対して一定のサイバーセキュリティ基準を要件化すれば、民間企業にも急速に広がっていくでしょう。今後米国モデルが世界中に広がれば、日本でも同様のことが起きる可能性があります。

日本では2020年に東京オリンピック・パラリンピックを控えています。このような国際的イベントは、日本政府が変革する原動力となり、ITセキュリティが大きく進展する良いきっかけになるでしょう。サイバーセキュリティ対策に先進的に取り組むことで、日本企業にとって競争力の源泉になることを願っています。

(了)

リスク対策.com:峰田 慎二