■新たな「防衛産業サイバーセキュリティ基準」について
防衛装備庁の「装備品等及び役務の調達における情報セキュリティの確保に関する特約条項(通称「防衛産業サイバーセキュリティ基準」、以下「新基準」)は、旧基準[i]に、米国の「NIST SP800-171」[ii]の要求管理策を取り込む形で2022年4月に整備されました。2023年4月より、防衛関連の調達契約[iii]を対象に、適用が開始されています。
図:米国のNIST SP800-171と、日本の新旧の防衛産業サイバーセキュリティ基準の違い
※防衛装備庁の図(https://www.mod.go.jp/atla/cybersecurity.html)をもとにNRIセキュアテクノロジーズで作成
調達契約を結ぶ企業に対しては、システム換装等を考慮して、新基準への準拠までに最長5年間の猶予期間が設けられています。しかし、要求される管理策が旧基準より広範かつ厳格になっており、計画的に対応を進める必要があります。また、防衛省や防衛装備庁と直接契約を結ぶ企業だけではなく、その企業のサプライチェーンネットワークに含まれる委託先企業に対しても、新基準への準拠が求められています。
NRIセキュアでは、本サービスの提供を通して企業の新基準への準拠を支援し、サプライチェーン全体のセキュリティレベル向上を目指します。
■本サービスの概要と特長
防衛産業を含む、さまざまな企業のセキュリティに関するルール策定や対策状況評価において、豊富な実績を持つNRIセキュアのコンサルタントが、丁寧なヒアリングを通じて各社固有の状況を把握したうえで、新基準の準拠に必要な対策を導出します。
本サービスの主な特長は以下の通りです。
1. NIST SP800-171への準拠を支援するサービス[iv]を通じて培った知見に基づき、対象企業の対策状況を的確に評価します。旧基準やISO27001[v]に既に準拠している企業に対しては、個社の現状に合わせてヒアリング項目を絞ることで、担当者の対応負荷を下げることができます。
2. 評価結果から「必要な対策一覧」を導き出し、対応の優先順位付けを行ったうえで、簡易的なロードマップを作成します。さらに、新たに作成すべきポリシー等の文書や既存文書に取り入れるべき要素を整理し、準拠に向けて何を実施すべきかを明確化するとともに、具体的な改善策を提示します。
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/defense-industry
さらに、サプライチェーン全体のセキュリティマネジメントのために、装備品の開発工程の各フェーズにおけるセキュリティリスクを低減するさまざまなソリューションも提供することが可能です(【ご参考】を参照)。
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
【ご参考】
図:サプライチェーンマネジメント(SCM)領域におけるNRIセキュアのサービス群
[i] 旧基準:「防経装 第9246号 装備品等及び役務の調達における情報セキュリティの確保について」(初版発行:2009年)
[ii] NIST SP800-171(National Institute of Standards and Technology Special Publication):「連邦政府外のシステムと組織における管理された非格付け情報の保護」(発行:2016年)米国防総省では、全世界の取引先に対してNIST SP800-171への準拠を求めています。
[iii] 調達契約:装備品等及び役務の調達に関する情報のうち、防衛省が企業に保護を求める情報として指定した”保護すべき情報”を取り扱う契約を指します。
[iv]「NIST SP800-171準拠支援サービス」の詳細は、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/nist-sp800-171
[v] ISO27001(International Organization for Standardization):「情報セキュリティマネジメントの国際標準規格」(発行:2006年)