第4回：セキュリティ対策とデータ保護、今後に向けた課題

今回は「第4回：セキュリティ対策とデータ保護、今後に向けた課題」についてご紹介します。

関連ワード （特集・解説、経済安保推進法で企業に求められる基幹インフラの安全性・信頼性等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　本連載では、これまでに「経済安全保障推進法」（以下、本法）の概要や諸外国の動向、本法の影響を受ける民間企業に必要となる取り組みについて説明してきた。最終回となる第4回では、重要設備の運用面におけるセキュリティ対策とデータ保護に関する今後の課題ついて、最新の動向を交えて紹介していく。

　重要設備の導入時や維持管理などの委託時の事前審査が制度化されることにより、重要設備に関わるサプライチェーン（モノ〈機器・製品〉・ヒト〈開発や運用委託先〉・プロセス）のセキュリティは強化されていくだろう。一方で、基幹インフラの安全性・信頼性を継続的に確保していく上で、その後の運用面でのセキュリティ対策も重要となる。

　基幹インフラ分野のセキュリティ対策については、米国国立標準研究所（NIST）のサイバーセキュリティフレームワーク（以下、NIST-CSF）がグローバルスタンダードになりつつあり、日本でも経済産業省の「サイバーセキュリティ経営ガイドライン」や内閣官房の「重要インフラの情報セキュリティ対策に係る行動計画」において、NIST-CSFを参考にアップデートしている。 ただ、本法の対象候補となる基幹インフラ14分野の各事業者のセキュリティ規程類まで浸透しているかといえば、まだ道半ばの状態であり、筆者がこれまで担当してきたクライアントの多くは従来の「ISO27001」（ISMS）ベースで運用している。

　NIST-CSFが支持される理由の一つとして、サイバー攻撃などのリスクに対する「特定」「防御」「検知」「対応」「復旧」の各プロセスにおいて、網羅的に対策が定義されている点にある。一方でISO27001では、サイバー攻撃を「未然に防ぐ」という考えから、「特定」と「防御」に重点が置かれており、その後の「検知」「対応」「復旧」についての対策が少ない傾向にある。

　NIST-CSFについては、2016年に米国防総省が取引を行う全ての企業（日系企業も含む）に対し、セキュリティ管理の具体的な手法と手順を明記したガイドライン「NIST SP800-171」への準拠が必要となった。それを追随するように、日本でもNIST SP800-171相当のセキュリティ対策を求める新防衛調達基準の整備が進められ、2019年度から防衛省との取引がある約9000社を対象に施行導入を開始、2022年4月に「防衛産業サイバーセキュリティ基準」が発表されている（2023年度からの契約で適用予定）。

　今後、防衛分野に限らず、機密情報や個人情報を取り扱う基幹インフラ事業のセキュリティ強化として波及することも考えられるため、NIST-CSFを参考に「検知」「対応」「復旧」の対策の強化を推奨する。