ニュース

EMCジャパン、米国サイバーセキュリティ対策基準「NIST SP 800-171」について説明

諸外国のセキュリティ戦略の現状と日本企業がとるべき対策とは

 EMCジャパン株式会社のセキュリティ部門であるRSA事業本部は4月12日、「米国サイバーセキュリティ対策基準 NIST SP 800-171と日本企業の対策」をテーマにしたプレスセミナーを開催した。セミナーでは、RSA APJ Chief Cyber Security Advisorのレナード・クレインマン氏が登壇し、諸外国のサイバーセキュリティ戦略と「NIST SP 800-171」の概説、および日本企業がとるべき対策について説明した。

RSA APJ Chief Cyber Security Advisorのレナード・クレインマン氏

 NIST(米国国立標準技術研究所)が公開しているサイバーセキュリティ対策基準「NIST SP 800-171」は、国防総省が他省に先駆けて同省の取引企業に準拠を求めたもので、直接間接を問わず物品やサービスを納める企業が対象となっている。さらに今後、重要インフラや自動車、機械などの産業領域への適用が予想されており、米国企業とビジネスを展開している日本企業は、同等のセキュリティ基準を求められる可能性が高く、「NIST SP800-171」への注目度が高まっているという。

 こうした背景を踏まえ、クレインマン氏は、まずグローバルでのサイバーセキュリティ対策の最新状況を紹介。「昨今、サイバーセキュリティ対策の重要な要素として、世界各国で『レジリエンス』が組み込まれつつある。レジリエンスとは、万が一、サイバー攻撃を受けてシステムダウンなどが起こったとしても、迅速に復旧して事業を継続できる復元力のことだ。このレジリエンスを高めるには、業界で確立されたサイバーセキュリティ対策のガイドラインを活用することが有効とされている」と、サイバーセキュリティ対策のトレンドワードとして「レジリエンス」を挙げた。

 日本を含めたアジア諸国のサイバーセキュリティ対策の取り組みについては、「日本では、2013年にサイバーセキュリティ戦略が公式に採用された。サイバー攻撃が国に大きなリスクをもたらすということが、この時初めて認められたことになる。アジア諸国の動きをみると、オーストラリアでは2010年、シンガポールでは2016年後半、ニュージーランドでは2015年、フィリピンでは2016年末に、それぞれサイバーセキュリティ戦略が立案されており、サイバー攻撃が各国の重要インフラに甚大なインパクトを与えるという見解が国家戦略に盛り込まれた」と説明した。

 「各国のサイバーセキュリティ戦略に共通しているのは、国の重要インフラをしっかり守っていく必要があるという認識だ。そして、守るべき分野を特定して、重点的に対策を行っている。また、レジリエンスへの対応や、サイバー空間での安全性の確保、サイバーセキュリティ対策の人材育成といった取り組みも、各国共通のテーマとなっている。さらに、国ごとに単独で動くのではなく、国際的にもっと協調し、積極的に情報交換をしていこうという機運も高まってきている」と、各国で異なるサイバーセキュリティ戦略が立案されているが、そのアプローチは似たものであり、同じ方向に向かっているとの見解を述べた。

 「一方で、課題として考えられるのが、業界全体に大きな変化が起こった時、各国のサイバーセキュリティ戦略が足並みを揃えて対応できるかどうかという点だ」と、クレインマン氏は指摘する。そして、この課題を解決するために重要な役割を担うのが、業界標準のサイバーセキュリティ対策ガイドラインであり、その一つが米国のサイバーセキュリティ対策基準「NIST SP 800-171」なのだという。

 「『NIST SP 800-171』は、14のカテゴリに分けられ、合計115の要件事項で構成されており、米国国防総省と取引をするすべての企業に準拠が求められている。例えば、『Incident Responce』のカテゴリでは、国のインフラシステムに重大なインシデントが発生した場合、インシデントが検出されてから72時間以内に状況を報告することが義務づけられている。また、オペレーションレベルでインシデント対応能力を整備しておくことや、迅速なインシデント対応のための優秀な人材の確保・育成を行うこと、組織全体で重大インシデントに対応していける体制を整えることなどが要件事項に含まれている」と、「NIST SP 800-171」の具体的な内容について紹介した。

 「NIST SP 800-171」の厳しい要件に準拠するために、日本企業がとるべき対策についてクレインマン氏は、「まず、ギャップ分析から始めることを推奨する。自社の立ち位置を確認し、目指すべき姿とのギャップをどうすれば埋められるかを分析することだ。次に、ギャップ分析を基に、システムのセキュリティプランとアクションプランを立案する。そして、そのプランを実行し、長期にわたって継続しながら、改善していくことが重要になる」との考えを示した。