米サイバー基準NIST SP800-171、国防総省で義務化

インシデント対応で規格統一、72時間以内の報告必須

　EMCジャパンのセキュリティ部門RSAでアジア太平洋地域のチーフ･サイバー･セキュリティ･アドバイザーを務めるレナード･クレインマン氏は、米国防総省が取引企業に準拠を求めるサイバー･セキュリティ対策基準「NIST SP800-171」の日本企業への影響や要求仕様について説明した。同基準では、インシデント発生の際に、72時間以内でレポートを提出することが義務となっていて、その間に起こった事象の正確な証拠を集め、被害を食い止めることが求められる。
　サイバーセキュリティ対策は近年、国をターゲットにしたサイバー攻撃が増加傾向にあることなどから、急速に重要性が増している。防衛省でも、今年中に見直しを行う防衛大綱でサイバー分野が重視される見込み。日本では2015年から国家戦略として本格的にサイバーセキュリティに取組み、米国をはじめ近隣アジアと同様に取組みが行われている。同取組みでは各国とも似通った柱を成り立たせていて、オンライン活動の規律を設定する必要性や、慢性的な人材不足に対する人材育成、国際間の協力による情報共有などが課題の対象となっている。
　その中で米国では、サイバーインシデントが発生した際の対応について、規格を統一する必要性を考慮して、米国国立標準技術研究所（NIST）が「NIST SP800-171」をつくった。これを2015年に米国防総省が他省に先駆けて義務化し、今後は重要インフラや、自動車、機械など産業領域でも適用されることが予想される。
　直接間接を問わず国防総省と関わりのある企業は、すべて同基準をクリアする必要がある。同基準の必要条件は、1.アクセス制御、2.監査と責任、3.認識とトレーニング、4.構成管理、5.識別と認証、6.インシデント対応、7.メンテナンス、8.媒体保護、9.身体的な保護、10.人員保安、11.危険度査定、12.セキュリティ評価、13.システムと通信保護、14.システムと情報完全性の14カテゴリーからなり、さらに要件事項としては110にも及ぶことになる。

※写真＝NIST SP800-171について説明を行ったレナード･クレインマン氏