グローバル展開を見据え、日本企業が対応すべきサイバー空間の「ルール」

[2018/10/05 08:00]齋藤公二 ブックマーク ブックマーク

グローバル経営に必須のガイドライン「SP800-171」

こうしたルール形成は2010年にオバマ米大統領(当時)が出した大統領令(EO13556)から始まっており、8年かけて、管理すべき重要情報(CUI:Controlled Unclassified Information)の実装が進められてきた。そして、民間企業が取り扱う機密情報以外の重要情報を保護するためのガイドラインとして策定されたのが「SP800-171」だ。今後は、米国政府調達規制化により、さらに産業展開が進む見込みだという。

「各省庁によりレジストリ登録されたCUIは、多様な産業にまたがって存在しています。そのため、北米事業を行う日本企業は当該情報を取り扱っている可能性が高い。気をつけたいのは、政府からもらう情報だけでなく、民間企業の重要情報を一方的に指定していることです。ヘルスケアの個人情報、自動車の走行データ、基地局の情報などもCUIです」(同氏)

ビジネス取引でCUI情報を得たとき「うちはSP800-171を使っていないから関係ない」では済まない。グローバル経営をするならCUIには意識的に対応しなければならず、実際に米国では、SP800-171対応のIT製品市場が伸びているという。

これは、米国がサイバーセキュリティを戦略的に活用して、IT市場の成長を図ったという見方ができる。SP800-171対応した企業がスタンダードになれば、米国企業と取引する日本企業もそれらに対応した企業のサービスを使わざるを得なくなる。実際、物流などでは、DHLやFedexなどSP800-171に対応したセキュリィインフラを整備した企業を中心にそうした動きが進んでいるという。

「SP800-171は、ISO27001などとは違い、技術フレームワークとして『技術について何をどうすべき』という点が事細かに書かれています。すでに、ブラックリストと推奨ソフト、ハードも記載されていて、日本企業の製品名もブラックリストに相当載っています。推奨リストを見ていくと、調達計画で使いにくくなりますから、製品の設計思想を持っていないと、ブラックリストに載った時点で調達から弾かれるということが起こり得ます。事実上の営業ツールになっているということです」(同氏)

SP800-171は、政府機関向けの要件である「SP800-53」を基に、個々の要求強度を下げずに民間組織向けの要件を抽出したものだ。そのため國分氏は「SP800-171は、CUI保護に必要な要件をSP800-53から抽出するためのカタログに過ぎません。準拠のためにはSP800-171を忘れていただいて、SP800-53を参照すべきだと考えます」と見解を示した。

日本企業に向けたアドバイス

では、日本企業は、SP800-171にどう対応していけばいいのか。国分氏は「SP800-171の要求水準に効率的に近づけるためには、ハード、ソフト、ネットワーク機器の購入計画を見直し、NIST要求水準を満たす商品へ入れ替えることが有効」だとアドバイスする。また、SP800-171準拠クラウドや171対応オフィス機器など、国内企業向けにCUIを効率的に管理(処理/格納/通信)できるソリューションの充実も待たれるという。

また、IoT製品のセキュリティ対策についても、米国上院の法案S.1691で、連邦政府にIoT機器を供給するメーカーは、米国の脆弱性情報データベース「NVD」への脆弱性情報を登録することが事実上義務化されている。さらにSP800-171においても、情報システムの構成に関連する脆弱性情報を把握して対応することが求められている。

これらを踏まえ、國分氏は「IoT機器の設計段階で、考慮すべきサイバー攻撃のシナリオ数が品質指標となる場合、日本のメーカーは劣位となるリスクがある」と懸念を見せ、脆弱性情報の収集の重要度も今後より高まってくるとコメントした。

最後に、國分氏は次のように述べ、講演を締めくくった。

「これらは『セキュリティの個別技術にどう対応するか』という話ではありません。サイバーセキュリティに対する見方の変化です。どのように他国の調達基準に乗るのか、どうサプライチェーンの枠組みに入り、どうコネクテッドインダストリを作っていくのか、その際のクオリティをどう提唱するのか。それが、貿易戦争とも絡んできます。サイバーセキュリティを1つのルールの起点にして、貿易圏を見据え、自分の会社が何をしていくべきかを考える必要があるということです」(同氏)

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

セキュリティ事故に直面した企業の対応に迫る! ぴあが語った「あの時」の話

セキュリティ事故に直面した企業の対応に迫る! ぴあが語った「あの時」の話

第88回IT Search+スペシャルセミナーでは、今年3月に開催した「第3回 情報セキュリティ事故対応アワード」で優秀賞を受賞したぴあの取締役社長室長 兼 広報室長 小林覚氏とCISO室長 兼 システム局専任局次長 川上誠氏が登壇。事故発生当時の対応を振り返りながら、5名の審査員らと共にディスカッションを行った。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
対話システムをつくろう! Python超入門
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
PowerShell Core入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る