防衛省サイバーセキュリティ調達基準の元となった「NIST SP 800-171」とは | ScanNetSecurity
2025.10.04(土)

防衛省サイバーセキュリティ調達基準の元となった「NIST SP 800-171」とは

 トレンドマイクロ株式会社は9月21日、防衛省のサイバーセキュリティ調達基準の元となった米国のサイバーセキュリティガイドライン「NIST SP 800-171」について、日本企業が取り組むべき対策を解説している。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 トレンドマイクロ株式会社は9月21日、防衛省のサイバーセキュリティ調達基準の元となった米国のサイバーセキュリティガイドライン「NIST SP 800-171」について、日本企業が取り組むべき対策を解説している。

 防衛装備品の管理や調達を担う防衛装備庁は2022年4月に、「防衛産業サイバーセキュリティ基準」を新たに整備、2023年度から適用開始となる。新基準は米国立標準技術研究所(NIST)が2015年に公開したサイバーセキュリティガイドライン「NIST SP800-171」を参考にしており、同水準となっている。

 「NIST SP800-171」は、NISTがサプライチェーンにおけるサイバー脅威に対抗するために策定したガイドラインで、Controlled Unclassified Information(CUI)と呼ばれる国家機密ではないが重要な情報をどのように管理すべきかを定義している。国防総省と直接やりとりする防衛企業に加え、その下請け企業でも、CUIを取扱う際は、「NIST SP800-171」のセキュリティ要件の実装は必須となっている。

 防衛省の新基準ではCUIを「保護すべき情報」と定義しており、防衛省と契約する防衛企業に加え、「保護すべき情報」を取扱う下請け企業も新基準に準拠する必要がある。最長5年間の移行期間があるが、国内でサプライチェーンを経由したサイバー攻撃が行われている現状を考慮し、企業はできるだけ早期の導入が求められるとしている。

 防衛省の新基準におけるセキュリティ要件で現状との大きな違いはサイバー攻撃を受けた後の対策の強化で、サイバーリスクに対処するための行動フェーズとして挙げられる、リスクの「特定」、サイバー攻撃からの「防御」、サイバー攻撃の兆候をいち早く見つける「検知」、サイバー攻撃を受けた原因などを分析し被害の低減などを行う「対応」、被害を受けたシステムの「復旧」の中で、新基準では、「検知」「対応」「復旧」が強化されている。

 トレンドマイクロでは、防衛省の新基準への対応を自社で完結することが難しい企業にとって、現実的な対応策はセキュアなクラウドサービスの採用となると案内している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

    パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

ランキングをもっと見る
PageTop