COLUMN COLUMN
2020.8.24 /
世界のサイバーセキュリティの基準例ーアメリカのNIST グローバルビジネスへの影響も解説
サイバーセキュリティに関する基準制定の流れが世界的に加速しています。NIST(National Institute of Standards and Technology 米国国立標準技術研究所)が米国内の基準を定めていますが、サイバーセキュリィの世界的な基準とどのように関係があるのでしょうか?グローバルビジネスへの影響も含め、解説いたします。
サイバーセキュリティの世界基準を定めるNIST(米国国立標準技術研究所)とは?
サイバーセキュリティに関する世界基準の設定が浸透しつつあります。
NIST(National Institute of Standards and Technology 米国国立標準技術研究所)は、米国の国立計量標準研究所であり、アメリカ合衆国商務省配下の技術部門です。ここが定めた米国の政府調達のセキュリティに関する要件が「NIST SP800-171」です。米国防総省が、同省の受託業者は2017 年12月31日までにNIST SP800-171に準拠することと定めたことにより、米国内の組織・企業であるかに関わらずこの基準を満たしていないと同省の調達先として認められないこととなりました。
サプライチェーンがグローバルにまたがる今日では、日本の企業もこの基準を満たしていないと今後の国際的な信用を得られず国際競争に参加すらできないということになります。日本国内での従来のリスク対策やセキュリティ対策は、「インシデントが起こらないようにする」というインシデント発生よりも前の段階での予防策に重点が置かれる傾向がありました。しかし、サイバーセキュリティの世界ではサイバー攻撃を事前の対策で100%防ぐことは難しく、むしろインシデントは起こり得るものであるとの認識のもと、その発生後にいかに検知・対応・復旧を迅速かつ適切に行うかという点に重きが置かれており、NIST SP800-171においても同様です。また、米国での法的観点においても「インシデントが発生した」ことを問われるのではなく、インシデントが発生する可能性も含め「あらゆる検討と対策が十分になされていたか」が焦点となります。
サイバーセキュリティの世界基準NISTと日本、そしてグローバルビジネスへの影響
世界の主要国でも米国に追随する動きが取られていますが、日本国内でもNIST SP800-171を参照した米国同様の基準が制定される動きあります。例えば「プライバシーマーク」は国内で個人情報を扱う取引のうえでひとつの基準として浸透しており、保有していない企業との取引は行わないという例も多く見られます。サイバーセキュリティにおいても同様の認証の整備が進められており、その内容は国際基準に見合うものである必要があるということになります。防衛装備庁では、NIST SP800-171と同程度の防衛調達の新情報セキュリティ基準を設けるとしています。これによって、諸外国からの保全信頼性の向上と、防衛産業をハイレベルな産業サイバーセキュリティのモデルに育てようという目的です。
更に、米国防総省は今年に入って防衛産業基盤企業のサプライチェーン全体のセキュリティを強化していくために、CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)の枠組みを公開しています。これは米国全体ではなく米国防総省が独自に定めた認証プロセスですが、多層サプライチェーンに関する考慮がなされており、下請け業者も含め、同省案件を受託する企業すべてがCMMCの認証を受けることが必須となると考えられます。また、システム対応が必須となる要件も含まれており、該当システムの整備が必要となることも特徴です。
急速にサイバーの世界でのサービスが拡大し普及「当たり前のもの」となりつつある一方、同じ速度でサイバー界での脅威も広がっています。これまでの過渡期では一歩遅れていたところがあるセキュリティ対策について、これからは世の中に新しいサービスが出ると同時に、それはセキュリティも万全な対策が施されたものであることが「当たり前」になっていきます。その点における国内での対策については、現在はまだ中核企業のみが手を付け始めている段階と言えますが、今後はそのサプライチェーンに組み込まれるすべての企業がその規模の大小にかかわらず、近い将来に対応を求められることになるのです。
まとめ
サイバーセキュリティの専門家のみならず、すべての人たちが最低限の知識としてサイバーセキュリティに関する基礎が必須となる時代です。変わりゆく世の中の「当たり前」に対応していく、そのグローバルな流れに乗り遅れることの無いよう対策をしていく必要があります。グローバルビジネスの影響を与えるならば、早急にあなたの会社も対策を考えなければならないのではないでしょうか。
弊社CYBERGYM(サイバージムジャパン)は、急速にサイバー環境の拡大が進む昨今において、サイバーセキュリティを前提としたリスクマネジメントの重要性の高まりを受け、設立されました。サイバーセキュリティ業界で最先端の技術とノウハウを有するイスラエルのCYBERGYM社と提携し、日本及びアジアで、各種サイバーセキュリティトレーニングを弊社専用アリーナでご提供しています。対応チームの構築や強化、組織内レッドチーム養成、脆弱性診断等のサイバーセキュリティトータルソリューションを展開しています。
あなたの会社にもサイバー攻撃がくる時代になってきました。もはやサイバーセキュリティ対策は経営課題そのものです。その時、経営者はどうするべきなのでしょうか?「あなたが経営者に知らせておくべきサイバーセキュリティとは?」というダウンロード資料は、企業における最低限のサイバーセキュリティの備えや考え方をわかりやすくまとめています。
また「CYBERGYM サイバーセキュリティトレーニング 総合ガイドブック」は、サイバー攻撃に対する具体的かつ実践的なトレーニング内容や価格がご覧いただける資料になっています。サイバーセキュリティに対する具体的な解決策を探している方は、ぜひ、当サイトより資料をダウンロードください。