防衛省サイバーセキュリティ調達基準の元となった「NIST SP 800-171」とは | ScanNetSecurity
2025.10.24(金)

防衛省サイバーセキュリティ調達基準の元となった「NIST SP 800-171」とは

 トレンドマイクロ株式会社は9月21日、防衛省のサイバーセキュリティ調達基準の元となった米国のサイバーセキュリティガイドライン「NIST SP 800-171」について、日本企業が取り組むべき対策を解説している。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 トレンドマイクロ株式会社は9月21日、防衛省のサイバーセキュリティ調達基準の元となった米国のサイバーセキュリティガイドライン「NIST SP 800-171」について、日本企業が取り組むべき対策を解説している。

 防衛装備品の管理や調達を担う防衛装備庁は2022年4月に、「防衛産業サイバーセキュリティ基準」を新たに整備、2023年度から適用開始となる。新基準は米国立標準技術研究所(NIST)が2015年に公開したサイバーセキュリティガイドライン「NIST SP800-171」を参考にしており、同水準となっている。

 「NIST SP800-171」は、NISTがサプライチェーンにおけるサイバー脅威に対抗するために策定したガイドラインで、Controlled Unclassified Information(CUI)と呼ばれる国家機密ではないが重要な情報をどのように管理すべきかを定義している。国防総省と直接やりとりする防衛企業に加え、その下請け企業でも、CUIを取扱う際は、「NIST SP800-171」のセキュリティ要件の実装は必須となっている。

 防衛省の新基準ではCUIを「保護すべき情報」と定義しており、防衛省と契約する防衛企業に加え、「保護すべき情報」を取扱う下請け企業も新基準に準拠する必要がある。最長5年間の移行期間があるが、国内でサプライチェーンを経由したサイバー攻撃が行われている現状を考慮し、企業はできるだけ早期の導入が求められるとしている。

 防衛省の新基準におけるセキュリティ要件で現状との大きな違いはサイバー攻撃を受けた後の対策の強化で、サイバーリスクに対処するための行動フェーズとして挙げられる、リスクの「特定」、サイバー攻撃からの「防御」、サイバー攻撃の兆候をいち早く見つける「検知」、サイバー攻撃を受けた原因などを分析し被害の低減などを行う「対応」、被害を受けたシステムの「復旧」の中で、新基準では、「検知」「対応」「復旧」が強化されている。

 トレンドマイクロでは、防衛省の新基準への対応を自社で完結することが難しい企業にとって、現実的な対応策はセキュアなクラウドサービスの採用となると案内している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

ランキングをもっと見る
PageTop