EY Japanは7月10日、日本政府のサイバーセキュリティ対策の一環となる、民間企業への「NIST SP800-171」(SP800-171)に相当する基準への対応義務化に関するメディア勉強会を開催した。

SP800-171は、米国のNIST(国立標準技術研究所)が定めたサイバーセキュリティのガイドラインだ。NISTのCSF(Cyber Security Framework)をベースとしており、セキュリティ対策の具体的な実装方法などのベストプラクティスが、14の領域と110項目に分かれて記されている。

2023年6月には、政府が2023年度中に業務委託先の企業に対して同ガイドラインに沿った8項目の点検を課し、それらへの対応を義務付ける旨が報じられた。防衛庁が取引する企業には、同対応がすでに適用されており、他省庁の業務委託先にも対象が拡大される予定だという。

勉強会では、今後定められる基準に盛り込まれる内容や、企業に求められる対応などが解説された。

  • 米NISTが定めたサイバーセキュリティガイドライン「NIST SP800-171」

    米NISTが定めたサイバーセキュリティガイドライン「NIST SP800-171」

CUIに相当する政府関連機密情報を社内で定義

日本のサイバーセキュリティ政策はサイバーセキュリティ戦略本部が担っており、サイバーセキュリティ基本法に基づいてさまざまな対策や、基準、ガイドラインが定められている。そして、同本部の事務局であるNISC(内閣サイバーセキュリティセンター)が、中央省庁や独立行政法人など、政府に関係する機関の情報保全に統一基準群を策定している。

EYストラテジー・アンド・コンサルティング パートナーの西尾素己氏は、「今回の報道内容からは、統一基準群において最低限守る必要のあるベースラインが、SP800-171に準拠したものになる可能性があると読み解ける。統一基準群では民間企業に対する基準は定められていない。だが、中央省庁や政府関連機関の業務委託先の民間企業のうち、政府の重要情報を扱う企業や、重要情報にアクセスできる機器を扱う企業などはSP800-171に準じた対応が求められるだろう」と予想する。

  • EYストラテジー・アンド・コンサルティング パートナー 西尾素己氏

    EYストラテジー・アンド・コンサルティング パートナー 西尾素己氏

政府のサイバーセキュリティ対策がSP800-171に準拠した内容に変わっていく中で、西尾氏は米国政府が2010年に発した大統領令「EO 13556」と、2021年に発した「EO 14208」に注目する。

EO 13556は、F-35戦闘機の設計情報が2009年に中国へ漏えいしたことを受けて発令されたものだという。ハッカーによって政府外の民間企業から少しずつ戦闘機の情報が集められて情報漏えいが起こったことから、CUI(Controlled Unclassified Information、管理対象非機密情報)という新たな情報区分を作成した。CUIには、米国の国家安全保障に影響を及ぼすものの民間企業が生成しており、機密扱いになっていない情報が相当する。

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら