防衛省サイバーセキュリティ調達基準の元となった「NIST SP 800-171」とは

　トレンドマイクロ株式会社は9月21日、防衛省のサイバーセキュリティ調達基準の元となった米国のサイバーセキュリティガイドライン「NIST SP 800-171」について、日本企業が取り組むべき対策を解説している。

　防衛装備品の管理や調達を担う防衛装備庁は2022年4月に、「防衛産業サイバーセキュリティ基準」を新たに整備、2023年度から適用開始となる。新基準は米国立標準技術研究所（NIST）が2015年に公開したサイバーセキュリティガイドライン「NIST SP800-171」を参考にしており、同水準となっている。

　「NIST SP800-171」は、NISTがサプライチェーンにおけるサイバー脅威に対抗するために策定したガイドラインで、Controlled Unclassified Information（CUI）と呼ばれる国家機密ではないが重要な情報をどのように管理すべきかを定義している。国防総省と直接やりとりする防衛企業に加え、その下請け企業でも、CUIを取扱う際は、「NIST SP800-171」のセキュリティ要件の実装は必須となっている。

　防衛省の新基準ではCUIを「保護すべき情報」と定義しており、防衛省と契約する防衛企業に加え、「保護すべき情報」を取扱う下請け企業も新基準に準拠する必要がある。最長5年間の移行期間があるが、国内でサプライチェーンを経由したサイバー攻撃が行われている現状を考慮し、企業はできるだけ早期の導入が求められるとしている。

　防衛省の新基準におけるセキュリティ要件で現状との大きな違いはサイバー攻撃を受けた後の対策の強化で、サイバーリスクに対処するための行動フェーズとして挙げられる、リスクの「特定」、サイバー攻撃からの「防御」、サイバー攻撃の兆候をいち早く見つける「検知」、サイバー攻撃を受けた原因などを分析し被害の低減などを行う「対応」、被害を受けたシステムの「復旧」の中で、新基準では、「検知」「対応」「復旧」が強化されている。

　トレンドマイクロでは、防衛省の新基準への対応を自社で完結することが難しい企業にとって、現実的な対応策はセキュアなクラウドサービスの採用となると案内している。