米国のセキュリティ基準「NIST SP800-171」とは–EY Japanが解説

今回は「米国のセキュリティ基準「NIST SP800-171」とは–EY Japanが解説」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 EY Japanは7月10日、政府のサイバー対策に関するメディア勉強会を開催した。防衛装備庁は2023年度の契約から、米国立標準技術研究所(NIST)が定めた「NIST SP800-171」に準ずる防衛産業サイバーセキュリティ基準の適用を求めている。EYストラテジー・アンド・コンサルティング ストラテジックインパクトパートナーの西尾素己氏は、「日本も情報クライテリア(条件)を持たなければならない。さらに『EO(Executive Order)14028』のソフトウェアサプライチェーン攻撃対策に目を向けることも必要だ」と提言した。

 SP800-171は、NISTが定めたサイバーセキュリティフレームワークの一つである。2009年に米軍戦闘機の設計情報が国外民間企業から漏えいしたことを踏まえ、民間企業が保有する情報を「CUI」(Controlled Unclassified Information)と命名して、SP800-171を最低水準とする保護を命じた。これが2010年の「EO 13556」である。

 SP800-171は2015年6月から運用を開始し、米軍需産業界には2017年から、全産業には2020年から適用を開始した。CUI自身は20カテゴリーと124のサブカテゴリーから成り立ち、その適用範囲は多岐にわたる。防衛や軍需特許はもとより、政府要人のプライバシー保護やインテリジェンス(諜報)に関する定義も含めまれる。その分、抽象度が高いため、民間企業団体からは米政府に多くの苦情が寄せられたものの、その意見は無視され、軍需産業や情報産業に関わる企業は対応に苦慮している。

 西尾氏は「例えば、自動運転試験の走行時は米国土安全保障省(DHS)への申請が必要だが、この情報もCUIに当たる。CUIの定義自体が曖昧なので致し方ない」と状況を説明した。

 ただ、一連の話は米国内に限らない。米国防総省(DoD)の案件を受注した米国企業が国内企業に再委託した場合、下請けとなる国内企業も責任を負うことになる。他方でDoDは2018年からCUI保護政策に沿った情報保護規定を制定し、日本の防衛装備庁も2023年から同運用を開始した。

 だが、同庁はCUIを「保護すべき情報」、SP800-171から8項目に絞り込んだ「新情報セキュリティ基準」として定義付けた。西尾氏は「(米政府から情報)防御を同等にしてほしいと(日本政府に)強い要請があったと聞いている」と内情を説明する。

 端的に述べれば、防衛装備庁の防衛産業サイバーセキュリティ基準は、DoDのセキュリティ基準や各条項を同等にしたものである。おそらく国内の軍事関連企業や関連企業もSP800-171の監視や制限を受けることになるだろう。一説では国内軍事関連企業は約9000社に及ぶため、影響は少なくない。

 さらに米政府はソフトウェアサプライチェーン攻撃対策として、2021年にEO 14028を発している。背景には中国やロシアのサイバー攻撃集団による被害・損害が多発し、ソフトウェア部品表(SBOM)の提出・公開の義務化や記述内容の記述規定を設けるという。今後はSP800-171と同様に日本政府へもEO 14028に準じた対応が求められるだろう。

 西尾氏は「EO 13556は2010年に発出されたもので、我が国はようやく追いついた。今後は2021年のEO 14028をたどらなければならない。よく『日本は10年遅れている』といわれるが、(一連の対応は)文字通りに表している」と指摘した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Facebook、開発言語に「Rust」採用 次期ビルドシステムの開発で
クラウドユーザー
2021-07-29 10:52
ロシア国家関与のサイバーアクター、多要素認証と「Windows」の脆弱性悪用–FBIとCISAが警告
IT関連
2022-03-19 15:55
患者の負担を軽減する液体生検を用いた白血病遺伝子検査提供のLiquid Mineが資金調達
VC / エンジェル
2021-02-04 14:40
Google、賃金格差のあった女性やアジア系エンジニアに総計約260万ドル支払い
企業・業界動向
2021-02-03 09:34
さいたま市、基幹業務システムの統合基盤をNutanixに移行
IT関連
2024-07-13 18:24
富士通、CPU/GPUの計算処理をリアルタイムに切り替える新技術–世界的なGPU不足に対応
IT関連
2023-11-11 02:39
富士通の研究戦略はこれまでと何が変わり何が変わらないのか
IT関連
2023-10-20 03:55
KDDI、モバイルオーダーに特化した無人店舗「auミニッツストア 渋谷店」をオープン
IT関連
2022-09-15 11:01
マルハニチロ、「Bill One」導入で紙の請求書を年間24万枚削減–インボイス制度対応も
IT関連
2023-02-01 15:41
コンピューターシステム販売店の約6割がインフレで経営に影響–JCSSA調査
IT関連
2024-12-18 21:05
SambaNova、富岳で学習した「Fugaku-LLM」を「Samba-1 CoE」のエキスパートに
IT関連
2024-05-15 00:01
世界最大級の食品会社が新製品を開発するとき、まず相談するAIデータ分析「Tastewise」
IT関連
2022-03-04 00:09
プライバシー重視のブラウザ開発Braveが独自の検索エンジンを発表、欧州版Firefoxの元開発者と技術の協力で
ソフトウェア
2021-03-26 11:19
バーチャル「最高情報セキュリティ責任者」を提供するCynomiが約4億円調達、中小企業のセキュリティ自動化を支援
IT関連
2022-02-07 10:46