防衛省とNIST SP800-171
こんにちは。
ネットワークセキュリティエバンジェリストの渡邊です。
ロシアの軍事進攻が始まって3ヵ月になりますが、
終わる気配が感じられません。
21世紀の世の中でリアルな戦争なんてちょっと信じられない、残念です。
ちまたで報道されているように、従来型の攻撃に加えてSNSを含むサイバー攻撃が重要な攻撃手段となっています。2014年のクリミア併合の際はロシアによるウクライナの重要インフラへのサイバー攻撃が機能しましたが、今回は欧米の支援により多くが失敗しているようです。
日本でも国家レベルの課題として、官公庁、重要インフラ14分野でのサイバーセキュリティ強化は必須と考えられます。しかし、(私見ですが)日本のサイバーセキュリティへの取組みは概念的なレベルに留まっているため、サイバー攻撃に対するより具体的なセキュリティ基準が求められていました。
本年4月1日、防衛省の調達先企業に対しUS国防総省と同等のセキュリティ基準(防衛産業サイバーセキュリティ基準)を適用するという報道発表がありました。令和5年度契約分からNIST SP800-171への準拠が義務化されるという内容で、防衛省のサプライチェーンのセキュリティが強化されることになります。3月17日のサイバー防衛隊の再編とともに、防衛省のサイバーセキュリティへの取り組みが本格化してきたと言えます。
従来のISO27001(ISMS)は、組織のコンプライアンスに主眼があり、セキュリティ対策としては抽象的で網羅性に欠けるものでした。それに対してNIST SP800-171は、サイバー攻撃があることを前提としたリスクベースセキュリティの考え方で、攻撃に対する対策と運用を含んでおり、より現実的かつ具体的な基準となっています。
NIST SP800-171は、2016年に策定されたUS連邦政府が調達先に要求するセキュリティ基準であり、一部メディアで今後のセキュリティのデファクトという位置付けで大きく取り上げられましたが、ようやく実際に実装を義務づける官庁が出てきたというところです。
今回の防衛装備庁の義務化は、防衛省とUS国防総省との関係で不可避的に対応したものと思われますが、これを契機として他の官公庁、重要インフラ14分野についても追随または同等レベルの採用が考えられます。また、民間企業でも被害が広がっているサプライチェーンへの攻撃に対する対応策の基準となることが期待されます。
出典:防衛装備庁ホームページ