2019/01/17
防災・危機管理ニュース
Q:日本企業に対して、今後サイバーセキュリティ対策の指針になる指標はありますか?
K:アメリカ国立標準技術研究所(NIST)が定めた企業のサイバーセキュリティ対策基準「NIST SP800-171」は、今後世界中のあらゆる企業が参考にできると考えています。
■「NIST SP800-171」日本語訳版(出典:独立行政法人 情報処理推進機構)
https://www.ipa.go.jp/files/000057365.pdf
この基準は、もともと米国政府に関連する「機密情報以外の重要情報(CUI)」を取り扱う企業・組織に求めるサイバーセキュリティ対策の基準として2015年6月に発表されました。これを受けて米国防総省では、同省と取引する企業に対して、この「NIST SP800-171」の基準を遵守することを実質的要件としており、その業界に属する世界中の企業が適用に動いています。
Q:具体的にはその基準はどのような内容になるのでしょうか?
K:この基準の第3章は14のカテゴリーで構成され、全110個の要件が細かく提示されています。この全ての要件を満たすことで初めて、CUIの対象となる情報を保護できていることが認められるのです。
ーーーーー
・1 アクセス制御 22項目
・2 意識向上と訓練 3項目
・3 監査と責任追跡性 (説明責任) 9項目
・4 構成管理 9項目
・5 識別と認証 11項目
・6 インシデント対応 3項目
・7 メンテナンス 6項目
・8 メディア保護 9項目
・9 人的セキュリティ 2項目
・10 物理的保護 6項目
・11 リスクアセスメント 3項目
・12 セキュリティアセスメント 4項目
・13 システムと通信の保護 16項目
・14 システムと情報の完全性 7項目
ーーーーー
企業が一つひとつの項目で基準を満たしていくことは大変な労力がかかりますが、これを適用することで企業は大きくサイバーセキュリティの防御力を強化できます。
Q:この規格が今後、企業のサイバーセキュリティ対策の世界標準になるでしょうか?
K:この基準により、企業は情報を守るために自社が何をすべきかということを非常に明確にすることができます。実際にこれが企業に適用されれば、企業のサイバーセキュリティはかなり強化されるのではと思います。
世界標準になるかどうか、もちろんその確証はありません。でも例えば米国で、政府から官公庁を通じて企業に対し一定のサイバーセキュリティを要件化することで実質的な業界標準になりつつあるように、政府主導のモデルが今後各国に広まれば、世界標準になり得ると思います。
Q:最後に日本企業の皆さんにアドバイスをいただけますか?
K:サイバーセキュリティは、個別企業の対応では完結せず、取引のあるサプライチェーンすべてが対応することを求められます。サプライチェーンに属する企業の一つでもセキュリティが不十分であれば、そこからすべてのサプライチェーン企業に脅威をもたらしてしまいます。この点では、世界中のどの国の企業であっても、一定レベル以上の基準を満たしていく必要があるのです。
米国のように政府が企業に対して一定のサイバーセキュリティ基準を要件化すれば、民間企業にも急速に広がっていくでしょう。今後米国モデルが世界中に広がれば、日本でも同様のことが起きる可能性があります。
日本では2020年に東京オリンピック・パラリンピックを控えています。このような国際的イベントは、日本政府が変革する原動力となり、ITセキュリティが大きく進展する良いきっかけになるでしょう。サイバーセキュリティ対策に先進的に取り組むことで、日本企業にとって競争力の源泉になることを願っています。
(了)
リスク対策.com:峰田 慎二
- keyword
- サイバーセキュリティ
- RSA
- インタビュー
- NIST SP800-171
- デル
防災・危機管理ニュースの他の記事
おすすめ記事
-
-
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
-
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
-
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
-
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
-
民間企業の強みを発揮し3日でアプリ開発
1月7日、SAPジャパンに能登半島地震の災害支援の依頼が届いた。石川県庁が避難所の状況を把握するため、最前線で活動していた自衛隊やDMAT(災害派遣医療チーム)の持つ避難所データを統合する依頼だった。状況が切迫するなか、同社は3日でアプリケーションを開発した。
2024/04/11
-
-
組織ごとにバラバラなフォーマットを統一
1月3日、サイボウズの災害支援チームリーダーである柴田哲史氏のもとに、内閣府特命担当の自見英子大臣から連絡が入った。能登半島地震で被害を受けた石川県庁へのIT支援要請だった。同社は自衛隊が集めた孤立集落や避難所の情報を集約・整理し、効率的な物資輸送をサポートするシステムを提供。避難者を支援する介護支援者の管理にも力を貸した。
2024/04/10
-
リスク対策.com編集長が斬る!【2024年4月9日配信アーカイブ】
【4月9日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:安全配慮義務
2024/04/09
-
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方