編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」
経済安保推進法で企業に求められる基幹インフラの安全性・信頼性

第4回:セキュリティ対策とデータ保護、今後に向けた課題

平井克人 (クニエ)

2022-10-04 07:00

 本連載では、これまでに「経済安全保障推進法」(以下、本法)の概要や諸外国の動向、本法の影響を受ける民間企業に必要となる取り組みについて説明してきた。最終回となる第4回では、重要設備の運用面におけるセキュリティ対策とデータ保護に関する今後の課題ついて、最新の動向を交えて紹介していく。

1.重要設備の運用面でのセキュリティ対策強化

 重要設備の導入時や維持管理などの委託時の事前審査が制度化されることにより、重要設備に関わるサプライチェーン(モノ〈機器・製品〉・ヒト〈開発や運用委託先〉・プロセス)のセキュリティは強化されていくだろう。一方で、基幹インフラの安全性・信頼性を継続的に確保していく上で、その後の運用面でのセキュリティ対策も重要となる。

 基幹インフラ分野のセキュリティ対策については、米国国立標準研究所(NIST)のサイバーセキュリティフレームワーク(以下、NIST-CSF)がグローバルスタンダードになりつつあり、日本でも経済産業省の「サイバーセキュリティ経営ガイドライン」や内閣官房の「重要インフラの情報セキュリティ対策に係る行動計画」において、NIST-CSFを参考にアップデートしている。 ただ、本法の対象候補となる基幹インフラ14分野の各事業者のセキュリティ規程類まで浸透しているかといえば、まだ道半ばの状態であり、筆者がこれまで担当してきたクライアントの多くは従来の「ISO27001」(ISMS)ベースで運用している。

 NIST-CSFが支持される理由の一つとして、サイバー攻撃などのリスクに対する「特定」「防御」「検知」「対応」「復旧」の各プロセスにおいて、網羅的に対策が定義されている点にある。一方でISO27001では、サイバー攻撃を「未然に防ぐ」という考えから、「特定」と「防御」に重点が置かれており、その後の「検知」「対応」「復旧」についての対策が少ない傾向にある。

NIST-CSFとISO27001の違い(出所:クニエ作成)
NIST-CSFとISO27001の違い(出所:クニエ作成)

 NIST-CSFについては、2016年に米国防総省が取引を行う全ての企業(日系企業も含む)に対し、セキュリティ管理の具体的な手法と手順を明記したガイドライン「NIST SP800-171」への準拠が必要となった。それを追随するように、日本でもNIST SP800-171相当のセキュリティ対策を求める新防衛調達基準の整備が進められ、2019年度から防衛省との取引がある約9000社を対象に施行導入を開始、2022年4月に「防衛産業サイバーセキュリティ基準」が発表されている(2023年度からの契約で適用予定)。

 今後、防衛分野に限らず、機密情報や個人情報を取り扱う基幹インフラ事業のセキュリティ強化として波及することも考えられるため、NIST-CSFを参考に「検知」「対応」「復旧」の対策の強化を推奨する。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]