求められるサイバーセキュリティの新常識 グローバル基準制定の流れ

サイバージム

求められるサイバーセキュリティの新常識 グローバル基準制定の流れ

サイバーセキュリティに関する世界基準の設定が浸透しつつあります。

NIST(National Institute of Standards and Technology 米国国立標準技術研究所)は、米国の国立計量標準研究所であり、アメリカ合衆国商務省配下の技術部門です。ここが定めた米国の政府調達のセキュリティに関する要件が「NIST SP800-171」です。米国防総省が、同省の受託業者は2017 年12月31日までにNIST SP800-171に準拠することと定めたことにより、米国内の組織・企業であるかに関わらずこの基準を満たしていないと同省の調達先として認められないこととなりました。

サプライチェーンがグローバルにまたがる今日では、日本の企業もこの基準を満たしていないと今後の国際的な信用を得られず国際競争に参加すらできないということになります。日本国内での従来のリスク対策やセキュリティ対策は、「インシデントが起こらないようにする」というインシデント発生よりも前の段階での予防策に重点が置かれる傾向がありました。しかし、サイバーセキュリティの世界ではサイバー攻撃を事前の対策で100%防ぐことは難しく、むしろインシデントは起こり得るものであるとの認識のもと、その発生後にいかに検知・対応・復旧を迅速かつ適切に行うかという点に重きが置かれており、NIST SP800-171においても同様です。また、米国での法的観点においても「インシデントが発生した」ことを問われるのではなく、インシデントが発生する可能性も含め「あらゆる検討と対策が十分になされていたか」が焦点となります。

世界の主要国でも米国に追随する動きが取られていますが、日本国内でもNIST SP800-171を参照した米国同様の基準が制定される動きあります。例えば「プライバシーマーク」は国内で個人情報を扱う取引のうえでひとつの基準として浸透しており、保有していない企業との取引は行わないという例も多く見られます。サイバーセキュリティにおいても同様の認証の整備が進められており、その内容は国際基準に見合うものである必要があるということになります。防衛装備庁では、NIST SP800-171と同程度の防衛調達の新情報セキュリティ基準を設けるとしています。これによって、諸外国からの保全信頼性の向上と、防衛産業をハイレベルな産業サイバーセキュリティのモデルに育てようという目的です。

更に、米国防総省は今年に入って防衛産業基盤企業のサプライチェーン全体のセキュリティを強化していくために、CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)の枠組みを公開しています。これは米国全体ではなく米国防総省が独自に定めた認証プロセスですが、多層サプライチェーンに関する考慮がなされており、下請け業者も含め、同省案件を受託する企業すべてがCMMCの認証を受けることが必須となると考えられます。また、システム対応が必須となる要件も含まれており、該当システムの整備が必要となることも特徴です。

急速にサイバーの世界でのサービスが拡大し普及「当たり前のもの」となりつつある一方、同じ速度でサイバー界での脅威も広がっています。これまでの過渡期では一歩遅れていたところがあるセキュリティ対策について、これからは世の中に新しいサービスが出ると同時に、それはセキュリティも万全な対策が施されたものであることが「当たり前」になっていきます。その点における国内での対策については、現在はまだ中核企業のみが手を付け始めている段階と言えますが、今後はそのサプライチェーンに組み込まれるすべての企業がその規模の大小にかかわらず、近い将来に対応を求められることになります。

そして、専門家のみならず、すべての人たちが最低限の知識としてサイバーセキュリティに関する基礎が必須となる時代です。変わりゆく世の中の「当たり前」に対応していく、そのグローバルな流れに乗り遅れることの無いよう対策をしていく必要があります。